为营造规范、有序、安全的淘宝开放平台环境,提升淘宝开放平台合作伙伴(以下简称“开发者”或“您”)提供的应用安全性,从而保障开发者及用户的合法权益,依据《淘宝平台服务协议》、《淘宝规则》、《淘宝合作伙伴开发协议》、《开放平台&聚石塔安全违规行为及处罚规范》等内容,特制定此规范。
本规范规定了对开发者所提供的应用在开发、部署、运营、维护和管理等方面的安全准则要求,适用于所有的开发者和相关应用的运营者。
| 术语 | 定义 |
| 电子商务 | 以电子形式进行的商务活动。它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享,以管理和执行商业、行政和消费活动中的交易。 |
| 淘宝开放平台 | Taobao Open Platform,简称“TOP”或“开放平台”,指基于淘宝平台各类电子商务业务的开放,由淘宝提供一些软件和支持材料,开发者通过这些软件和支持材料开发应用以便服务于自身或服务于淘宝平台其他用户。开发者可以通过开放平台应用编程接口调用指定的功能服务,访问由淘宝提供的或用户授权的与用户相关的数据和/或来自其他淘宝应用程序的数据信息,或者由开发者应用向淘宝提供、回流数据。开放平台可能包括但不限于一个或多个API、编程工具和文档。 |
| 开发者 | 指淘宝网会员中通过有效申请并通过验证的可以基于开放平台进行应用开发的单位或者个人,在开放平台开发者也可称为“淘宝合作伙伴”。 |
| 应用 | 指开发者基于开放平台所开发的软件或服务,包括自用型应用和他用型应用两种类型。 |
| App key & App secret | 指开发者在申请开发新应用时获得的由淘宝授予的应用程序接入账户和密钥。App key是应用的唯一标识,淘宝通过App key来识别应用开发者的身份。App secret是淘宝给应用分配的密钥,该密钥在一定技术条件下可保证应用来源的可靠性。 |
| 聚石塔 | 指基于阿里巴巴数据分享战略、依托于云计算技术、联合电商类开发者合作伙伴,帮助企业快速发展电子商务的开放的电商云工作平台。聚石塔给开发者的应用提供了一个非常稳定、安全的环境,其中包括了云主机的安全性、RDS的安全性以及数据集成中的安全性。 |
| 聚石塔内调用 | 指由聚石塔环境内的系统和应用发起的对淘宝开放平台API的使用行为,聚石塔环境包括聚石塔的云主机、应用运行引擎和托管主机等,以开发者发起调用的IP地址是否属于聚石塔认定的IP范围为准。 |
| 信息安全 | 保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 |
| 安全策略 | 用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。 |
| 用户 | 使用淘宝合作伙伴所提供应用的机构或自然人,以注册的ID与用户信息为判断依据。 |
| 商家 | 租用电子商务平台进行经营活动的法人、法人委派的行为主体、其它组织机构或自然人。 |
| 网络交易 | 发生在企业(或其他组织机构)之间、企业(或其他组织机构)与消费者之间、消费者之间通过网络手段缔结的商品或服务交易。 |
| 二次验证 | 在用户注册或登录后进行一些重要或敏感业务操作时,通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式。 |
| 加密 | 加密是将明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码(通常称为"密文")。 |
| 安全事件 | 特指电子商务安全事件,不仅包括网络上攻击或入侵行为造成的安全事件,也包括电子商务业务应用中出现的欺诈、盗号、违禁等恶意行为。 |
| 敏感数据 | 针对本标准中的敏感数据特指买家(消费者)的姓名、昵称、收货地址、电话号码、电子邮箱、支付宝账号、银行账号及身份证等敏感数据。 |
| 信息安全风险 | 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 |
| ECS主机 | ECS(Elastic Compute Service,云计算服务)主机是一种简单高效、处理能力可弹性伸缩的计算服务器,可以帮助用户快速构建更稳定、安全的应用。提升运维效率,降低IT成本,使用户更专注于核心业务创新 |
| RDS | RDS(Relational Database Service,关系型数据库服务)是采取主从双机热备架构,具有多重安全防护措施和完善的性能监控体系,并提供专业的数据库备份、恢复及优化方案,使用户能专注于应用开发和业务发展。 |
| 云盾 | 云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里巴巴云计算平台强大的数据分析能力,为客户提供DDoS防护,主机入侵防护,以及弱点分析、Web木马检测和攻击防护等多层面一体化的安全防护服务。 |
| 安骑士 | 安骑士是阿里巴巴集团云盾系列安全产品中的其中一个,其主要针对云服务器安全,包括:暴力破解防护、云服务器后门查杀、高危漏洞修复。 |
| 御城河 | 阿里巴巴集团开发的安全解决方案,为聚石塔建立更安全的计算环境,阻防各类攻击,让数据开放无忧。用户可按需为其聚石塔资源(如ECS主机)配置安全策略,提升安全防护能力,同时获得访问高价值数据的能力。 |
| 孔明锁 | 孔明锁是御城河前端防御和日志采集模块。 |
| 千牛客户端 | 千牛(work.taobao.com)是阿里巴巴集团面向卖家的多端多角色一站式协同工作平台,其核心是为卖家整合:店铺管理工具、经营资讯消息、商业伙伴关系,借此提升卖家的经营效率,促进彼此间的合作共赢。让卖家可以更加便捷和高效的管理店铺。 |
OMS |
订单管理系统(Order Management System,简称OMS)是物流管理系统的一部分,通过对客户下达的订单进行管理及跟踪,动态掌握订单的进展和完成情况,提升物流过程中的作业效率,从而节省运作时间和作业成本,提高物流企业的市场竞争力。 |
WMS |
仓库管理系统(Warehouse Management System,简称WMS)是通过入库业务、出库业务、仓库调拨、库存调拨和虚仓管理等功能,综合批次管理、物料对应、库存盘点、质检管理、虚仓管理和即时库存管理等功能综合运用的管理系统,有效控制并跟踪仓库业务的物流和成本管理全过程,实现完善的企业仓储信息管理。 |
WAF |
Web应用防护系统(Web Application Firewall,简称WAF)。 |
Webshell |
Webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。 |
3.1 《中华人民共和国网络安全法》,2016年11月7日;
3.2 《信息系统安全等级保护基本要求》,国标GB/T 22239 – 2008,2008年6月;
3.3 《数据安全法》,2021年9月1日;
3.4 《个人信息保护法》,2021年11月1日;
3.5《移动智能终端安全能力技术要求》,工信部,YD/T 2407-2013,2013年4月;
3.6 《信息系统通用安全技术要求》,GBT 20271-2006,2006年5月;
3.7 《电子商务基本术语》,GB/T 18811;
3.8 《信息安全技术 术语》,GB/T 25069-2010;
3.9 《信息技术 安全技术 信息安全事件管理指南》,GB/Z 20985-2007;
3.10《信息安全技术 信息安全事件分类分级指南》,GB/Z 20986-2007;
3.11《信息技术 系统安全工程 能力成熟度模型》,GBT 20261-2006;
开发者所开发的应用为电商平台上的商户提供支撑和服务,必须具备保证其参与电子商务活动中的数据安全的能力。本规范对开发者所开发的应用所提出的安全要求包括但不限于云设施的安全技术配置、应用的安全功能开发、用户使用的安全风险告知和开发者运营的安全保障管理等方面的要求。
开发者在开展业务过程中,涉及数据获取、存储、传输和使用等环节需严格遵循以下基本要求。
安全项 |
具体要求 |
获取途径 |
a) 禁止应用从聚石塔外部的服务器上发起TOP API的数据请求,应用标签包含但不限于ERP/进销存软件、服务商后台系统、商家后台系统、客户关系管理、促销管理、订单管理、订单付费、商品管理、在线订购应用、电商财务、全渠道ERP、行业/店铺分析、客户服务、阿里妈妈营销工具、图片/视频工具、分销应用等。 b) 禁止应用通过其他应用的聚石塔服务器发起TOP API的数据请求。 c)禁止在未获得商家、用户单独授权的前提下,擅自使用或授权他人使用商家、用户的数据,包括但不限于采取任何技术措施将服务运营数据擅自保存、展示、聚合(比如聚合多个商家店铺数据等)等,也不得私自泄露商家、用户数据。服务运营数据包括但不限于:用户会员名、手机号码、地址等个人资料、行业数据、交易数据、接口数据及其他服务使用数据等; d)禁止通过任何爬虫和插件等手段,帮助商家或客户非法获取、存储或搬运平台、用户数据。 |
安全项 |
具体要求 |
口令存储 |
应用对用户口令应使用安全的不可逆的加密算法进行加密保存,防止特权用户获取用户口令。 |
Access Token存储 |
a) 应用对其获取访问用户数据的Access Token(授权令牌,即原来的Session Key),应按照平台认可的安全方案进行加密存储; b) 如该Access Token涉及访问用户的隐私数据,该Access Token(授权令牌,即原来的Session Key)应存储在聚石塔内。 |
数据储存 |
应用中的数据应存储在聚石塔内,通过平台提供的解密接口获得涉及用户个人敏感信息的订单数据,禁止任何形式保存,包含不限于本地服务器或数据库等。 |
数据清理 |
对服务到期或者处于退订状态的商家客户,应用应及时删除商家及用户在应用上的数据信息,并不得进行任何未经授权的使用。 |
备份恢复 |
应用应开启ECS主机和RDS的云快照和备份的功能,定时对云服务进行备份。 |
安全项 |
具体要求 |
传输加密 |
应用中涉及敏感数据的传输应按照平台安全相关方案对涉及消费者个人敏感信息采取加密、去标识化等安全技术措施进行加密传输。 |
应用间的数据交互 |
a) 聚石塔内部的应用涉及敏感数据(如订单数据等)与其它应用(包括同一个开发者的不同应用和不同开发者的应用)的数据传输(包括聚石塔内部应用之间的数据传输、聚石塔内部应用与外部应用之间的数据传输),应通过奇门所定义的标准化协议进行数据传输; b) 聚石塔内部的应用涉及非敏感数据与其它应用的数据传输,应通过奇门所定义的标准化协议或奇门自定义协议进行数据传输。 |
安全项 |
具体要求 |
数据处理 |
a) 应用在对其敏感数据(如订单数据等)进行后台的处理或计算时,其相关功能的组件和模块应部署在聚石塔内部的系统里; b)开发者应用调用解密接口须选择使用场景及使用数据具体用途回传至平台,并且保证回传数据的真实性; c) 数据处理应根据业务场景处理业务实现所必须的最小量数据。 |
数据展示 |
a)禁止应用对用户个人敏感信息(如姓名、电话号码、地址等)进行非必要的明文展示; b)如必要场景必须展示的,要进行去标识化处理(模糊化、脱敏、匿名处理等),展示形式须严格按照平台最新要求; c)数据展示需设置权限控制。 |
数据使用 |
应用禁止不当使用信息,禁止协助商家、用户获取平台商业信息、敏感数据,或未经允许发布、传递、出售、使用平台商业信息、敏感数据,影响平台正常运营秩序、效率、体验或致使平台商业信息、敏感数据存在泄露风险。 |
数据导出 |
应用禁止提供涉及用户敏感信息的导出功能,包括但不限于姓名、联系方式、地址等。应用涉及非用户敏感信息的导出须具备二次验证的能力,如短信验证等。 |
本部分是对开发者应用所依赖云设施的技术配置所提出的安全要求。
安全项 |
具体要求 |
攻击检测能力 |
a)系统具备自动化监测恶意代码和系统漏洞能力; b)系统具备其常见的主机入侵风险检测能力; c)系统具备内外双向网络流量监控的能力; d)系统具备脆弱性检测的能力,检测Web漏洞,检测弱口令的能力; e)系统具备对网站后门Web shell的查杀能力; f)系统具备异常检测并告警的能力; |
防入侵能力 |
a)系统能抵抗内外部网络发起的拒绝服务攻击; b)系统具备口令暴力破解拦截能力; c)系统具备SQL注入、代码执行攻击防御能力; d)系统具备Web shell上传拦截的能力; e)DDOS防护能力; f)系统具备对扫描行为进行及时发现并告警和阻断的能力; g)系统具备针对Web用户的IP设置为白名单的能力; h)系统具备异常检测并告警的能力; |
安全项 |
具体要求 |
应用的主机要求 |
a)所有涉及淘宝业务的应用应使用聚石塔提供的ECS主机; b)每台ECS主机默认会加入2个安全组且该台ECS主机所属的安全组不能更改; c)对于在同一个安全组内的ECS主机其网络是可互通的,但对该安全组外的ECS主机其网络是不可互通的。 |
应用主机入驻御城河 |
系统管理员应在聚石塔管理后台中的御城河管理页中开启并设置御城河安全边界,将主机划分到不同的安全边界里,边界间网络隔离(避免因一台ECS主机被入侵所有资源面临高风险的问题)。 |
应用的安全隔离 |
如果同一个开发者有多个应用,开发者应为不同的应用使用不同的APP Key,不同的应用需要独立部署在聚石塔内不同的ECS主机中,确保应用之间是被安全隔离的。 |
ECS主机管理员账号的重命名及默认口令的修改 |
系统管理员应在安装完成后,对ECS主机系统管理员的默认账号进行重命名,并修改账号的默认口令,修改后的口令应达到一定的口令强度。 说明: a) 对于Windows,应重命名Administrator; b) 对于Linux,应为需要相关权限的账号配置sudo权限,并且限制root登录。 |
RDS管理员 账号的重命名及默认口令的修改、 |
数据库管理员在完成RDS数据库的初始化后,对RDS管理员的默认账号进行重命名,并修改账号的默认口令,修改后的口令应达到一定的口令强度。 说明: a) 对于mysql类型的RDS数据库,应重命名管理员账号 root; b) 对于sql server类型的RDS数据库,应重命名管理员账号 sa。 |
删除ECS主机无用账号 |
系统管理员应在安装完成后,删除ECS主机的临时账号和测试账号。 |
删除RDS无用账号 |
数据库管理员应在安装完成后,删除RDS的临时账号和测试账号。 |
匿名登录 |
对于部署在ECS主机系统上的FTP应用程序,应不得开启匿名登录的功能,其FTP目录不得为操作系统的根目录,并同时不能在Web的目录下。 |
访问端口 |
a) ECS主机对公网的默认开放端口仅包括:80、443、21、22及30000-30005; b) 相关数据库的服务端口不能直接对公网进行开放; c) 对于在同一个安全组内的ECS主机之间,其端口都是直接开放且可相互访问的,但在不同的安全组之间的ECS主机之间,其端口默认是禁止的且网络是隔离的。 |
管理端口 |
系统管理员应在御城河管理后台中进行安全边界的设置,使ECS主机系统限定来自外界对边界内的ECS主机访问,只开放少数且必须的服务端口(如登录端口22/3389、web服务端口80/443,后台管理端口8080)。 |
| 安全项 | 具体要求 |
| 基于白名单访问控制 | 应用应检查并绑定访问者的昵称白名单和访问来源的IP白名单,并提供绑定白名单的列表。 说明: a)对于APPKEY IP白名单,应用管理员应在淘宝开放平台中设置应用调用TOP API的IP访问来源范围,应绑定主机外网IP且不允许绑定IP网段; b)对于RDS IP白名单,应用管理员应在聚石塔管理后台,为每一个RDS支持可以访问的ECS主机 IP范围,只允许其配置为特定的1个或多个IP且不允许绑定IP网段,默认情况下RDS是没有外网的访问权限的。 |
| 基于黑名单访问控制 | 应用应提供黑名单的保护机制,通过黑名单来拦截非法的访问,黑名单的纬度包括IP、用户账号和终端标识。 |
本部分是对应用的后台管理所提出的安全要求,包括对后台管理所使用的终端的安全要求、后台管理的安全要求。
安全项 |
具体要求 |
限制登录 |
应用管理员应在聚石塔管理后台的御城河管理页面中,为ECS主机“添加VPN服务器”,来限制用户对应用和管理后台的登录,通过VPN拨入或者通过特定的IP登录。 |
登录管理后台 |
应用管理员若登录安全边界内的ECS主机以及访问8080端口的管理后台,应通过千牛PC客户端的“ECS主机远程登录”功能和“应用后台”插件、或者通过御城河VPN来实现。 |
终端屏幕保护 |
应用的后台管理的终端应设置屏幕保护程序及口令保护功能。 说明:后台终端的操作系统应配置锁屏保护功能,当后台管理用户操作空闲超过一定时间(如10分钟)应锁定屏幕,用户重新激活必须再次认证,防止非授权用户的非法操作(如在用户离开期间)。 |
禁用终端的访客账号 |
应用的后台管理终端应禁用Guest账户。 |
重命名终端的默认账号 |
应用管理员应对应用管理员的默认账号进行重命名,并修改账号的默认口令,修改后的口令应达到一定的口令强度。 |
终端的补丁管理 |
a)应用的后台管理终端应制定相应的操作系统和必要应用程序的补丁管理计划,定期或不定期的维护; b)对于高危漏洞应在24小时内完成修复,对于其他级别的漏洞应在七天内完成修复。 |
禁用终端的其他应用程序 |
应用的后台管理终端应仅限于执行后台管理的业务功能,终端上不得安装与该业务功能无关的应用程序,和来源不明的应用程序。 |
终端的病毒防护 |
应用的后台管理终端应安装防病毒软件,防护范围包括但不限于病毒、特洛伊木马、蠕虫病毒、间谍软件、广告软件和rootkit 内核型病毒等恶意代码。 |
终端的病毒库更新 |
应用管理员应定期进行病毒库更新及全盘杀毒,防病毒软件应设置有系统全盘扫描计划(如每周执行一次),开启病毒库的自动更新。 |
管理员指南 |
对于应用的后台管理员,开发者应提供详尽全面的操作指导文档(如电子文档或纸质文档),就管理员如何以安全方式使用终端进行详细而全面的说明,便于管理员查询,覆盖内容应包括:屏幕保护、禁用访客账号、重命名默认账号、系统补丁、禁用其他应用程序、病毒防护、病毒库更新等。 |
风险提示 |
开发者对于在文档中对于影响后台管理安全性的操作(如修改口令、更换密钥),应明确提示相关的风险。对于会影响应用正常运行的关键配置项和操作,文档中也应用警告标志标示,并明示其可能的影响。 |
本部分是对开发者应用应开发实现的安全功能所提出的安全要求,包括:账号管理、身份认证、权限管理和安全审计。
| 安全项 | 具体要求 |
| 账号唯一 | 应用应为不同的用户分配不同的账号,确保一个用户一个账号,应禁止多人使用同一个账号。 |
| 账号风控 | 应用应接入账号风控,使其具备保护和管理平台账号的安全能力(登陆风控、弱密码监测、账号生命周期管理、登陆认证行为统一管控),能及时地识别账号的异常风险(包括但不限于账号被盗、暴力破解等问题),并给予及时的管控。 |
| 账号对应关系 | a) 应用应维护自有账号和淘宝账号的对应关系; b) 如果一个用户管理一个店铺,应对应这个店铺的淘宝账号; c) 如果一个用户管理多个店铺,则应同时对应多个淘宝账号; d) 用户可管理的店铺关系变动时,应通知淘宝。 |
| 多店铺绑定 | 如果应用涉及到一个账号访问/管理多个淘宝店铺时(多店铺绑定),应用在用户绑定关联店铺的过程中,应验证用户对店铺的真实管理权,验证应通过“组合鉴别”方式来进行。 |
| 账号锁定 | 应用应通过在达到六次登录尝试后锁定用户账号的方式限制反复访问尝试;锁定持续至少30 分钟,或者直到管理员启用该用户账号。 |
| 账号有效期 | 应用应对用户账号和应用管理员的账号设置有效期。 |
| 无用账号删除 | 应用应及时删除或禁止多余的、过期的用户账号,避免共享账号的存在。 |
| 账号权限回收 | 应用应及时清理和回收应用相关的开发账号、测试账号和后台管理账号及权限,如:相关账号使用者离职或转岗时。 |
| 初始口令 | 应用管理员账号的初始口令应为系统随机产生的满足口令强度要求的口令。 |
| 口令更换 | 应用应定期(每半年)提醒用户对口令进行修改,建议口令至少每六个月更换一次。 |
| 口令强度 | 口令强度应同时满足如下要求: a) 应用应保存加密后的口令历史,并要求新口令与前四次使用的口令不同; b) 口令不能为空; c) 不允许使用默认口令; d) 口令长度至少8位以上; e) 包含字母大写、字母小写、数字、特殊字符其中的三种或以上,不能使用连续字母或单纯数字,不能使用键盘上连续字符; f) 不能使用与用户自身强关联(如生日、姓名)的单词。 |
| 口令重置 | 应用应提供给用户口令重置功能,口令重置的功能需要经过开发者客服人工确认或者经过“组合鉴别”通过才能生效,且重置后的口令必须通过短信、邮件等用户绑定的可信任的渠道告知用户。 |
| 重新验证 | 当会话空闲超过30分钟,应用应要求用户重新验证或重新激活会话。 |
| 登录控制 | 应用应对登录应用的用户进行身份标识和鉴别。 |
| 组合鉴别 | a) 应用应支持对同一用户采用两种或两种以上组合的鉴别技术(口令验证、邮箱验证、短信验证等)实现用户身份鉴别; b) 在执行敏感操作(口令修改或重置)或账号行为异常的情况下,应用应采用两种或两种以上的组合鉴别方式。 说明: 短信、邮箱验证可以通过发送验证信息到用户绑定的可信手机号或邮箱中,并且需要对验证信息设置过期时间,建议10分钟。 |
本部分是对应用的后台管理所提出的安全要求,包括对后台管理所使用的终端的安全要求,后台管理的安全要求。
安全项 |
具体要求 |
限制登录 |
应用管理员应在聚石塔管理后台的御城河管理页面中,为ECS主机“添加VPN服务器”,来限制用户对应用和管理后台的登录,通过VPN拨入或者通过特定的IP登录。 |
登录管理后台 |
应用管理员若登录安全边界内的ECS主机以及访问8080端口的管理后台,应通过千牛PC客户端的“ECS主机远程登录”功能和“应用后台”插件、或者通过御城河VPN来实现。 |
终端屏幕保护 |
应用的后台管理的终端应设置屏幕保护程序及口令保护功能。 说明:后台终端的操作系统应配置锁屏保护功能,当后台管理用户操作空闲超过一定时间(如10分钟)应锁定屏幕,用户重新激活必须再次认证,防止非授权用户的非法操作(如在用户离开期间)。 |
禁用终端的访客账号 |
应用的后台管理终端应禁用Guest账户。 |
重命名终端的默认账号 |
应用管理员应对应用管理员的默认账号进行重命名,并修改账号的默认口令,修改后的口令应达到一定的口令强度。 |
终端的补丁管理 |
a)应用的后台管理终端应制定相应的操作系统和必要应用程序的补丁管理计划,定期或不定期的维护; b)对于高危漏洞应在24小时内完成修复,对于其他级别的漏洞应在七天内完成修复。 |
禁用终端的其他应用程序 |
应用的后台管理终端应仅限于执行后台管理的业务功能,终端上不得安装与该业务功能无关的应用程序,和来源不明的应用程序。 |
终端的病毒防护 |
应用的后台管理终端应安装防病毒软件,防护范围包括但不限于病毒、特洛伊木马、蠕虫病毒、间谍软件、广告软件和rootkit 内核型病毒等恶意代码。 |
终端的病毒库更新 |
应用管理员应定期进行病毒库更新及全盘杀毒,防病毒软件应设置有系统全盘扫描计划(如每周执行一次),开启病毒库的自动更新。 |
管理员指南 |
对于应用的后台管理员,开发者应提供详尽全面的操作指导文档(如电子文档或纸质文档),就管理员如何以安全方式使用终端进行详细而全面的说明,便于管理员查询,覆盖内容应包括:屏幕保护、禁用访客账号、重命名默认账号、系统补丁、禁用其他应用程序、病毒防护、病毒库更新等。 |
风险提示 |
开发者对于在文档中对于影响后台管理安全性的操作(如修改口令、更换密钥),应明确提示相关的风险。对于会影响应用正常运行的关键配置项和操作,文档中也应用警告标志标示,并明示其可能的影响。 |
安全项 |
具体要求 |
审计所有用户的行为和操作 |
应用应提供覆盖到每个用户的安全审计功能,对应用重要安全事件进行审计;审计内容应包括重要用户行为(包括:所有的登录访问、RDS的调用、TOP的调用、来自用户端的访问和订单的传递等)以及系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 |
日志存储保护 |
应用应保护所存储的日志审计记录的完整性,避免其受到未预期的删除、修改或覆盖等。 |
日志保存期限 |
应用应保存日志至少六个月。 |
流量日志 |
应用应实现流量打点和流量风险审计。 |
用户端的应用日志 |
应用应通过御城河平台将用户端的日志上报并记录回传给平台。 |
服务器端登录日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报应用所有的登录日志,包括且不限于: 1)用户登录应用的日志; 2)应用管理员登录管理后台的登录日志; 3)主机端进行的系统登录。 b) 日志的内容应包括:时间、用户在开发者的自有账号、用户的淘宝账号、应用标识(App Key)、应用名称、源IP和登录结果(成功或失败)等。 |
服务器端订单访问日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报用户通过应用查看、管理、导出订单的详细日志。 b) 日志的内容应包括:用户在开发者的自有账号、源IP、时间、应用标识(App Key)、应用名称、订单URL、订单号列表和对订单的操作等。 |
服务器端向第三方应用传递订单日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报应用服务器之间的涉及到订单的所有数据通信记录,包括且不限于: 1)同应用内部的订单接口访问; 2)不同应用之间的数据传递,如OMS到WMS。 b) 日志的内容应包括:源IP、时间、用户在开发者的自有账号、应用标识(App Key)、应用名称、请求的URL、订单号列表和订单推送的目的地URL等。 |
服务器端调用RDS日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报服务器端调用RDS的日志; b) 日志的内容应包含:用户在开发者的自有账号、源IP、时间、应用标识(App Key)、用户请求的URL、连接RDS的实例域名和SQL语句等。 |
服务器端调用TOP日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报服务器端调用TOP的日志; b) 日志的内容应包括:源IP、时间、用户在开发者的自有账号、应用标识(App Key)、应用名称和用户调用TOP API的URL等。 |
通用隐私数据访问日志 |
a) 应用应通过调用阿里巴巴提供的御城河日志API,记录和上报用户通过应用查看、管理、导出通用隐私数据的详细日志; b) 日志的内容应包括:用户在开发者的自有账号、源IP、时间、应用标识(App Key)、应用名称、订单URL和对订单的操作等; c) 隐私数据包括不限于用户手机号、用户收货地址和用户敏感属性等。 |
本部分是对开发者应用在被使用的过程中,用户应知晓和注意的相关安全风险所提出的安全要求,包括:通过用户手册和系统提示的途径告知用户如何有效地使用应用的安全功能,以及用户应注意和避免的不良使用行为。
| 安全项 | 具体要求 |
| 安全功能介绍 | 对于应用的商家用户,开发者应提供详尽全面的操作指导文档(如帮助文件和纸质文档),便于用户查询,用于指导用户使用或配置开发者提供的应用的安全功能。在文档中应写明应用中所提供的安全功能介绍,对于用户影响系统安全性的操作(如修改口令、配置权限等),在操作时应明确提示相关的风险;对于会影响应用正常运行的关键配置项和操作,文档中也应用警告标志标示,并明示其可能的影响。 |
| 应用间的数据交互 | a) 开发者应告知用户对口令进行安全保护,包括:检验口令强度并提示用户设置强口令、设定口令修改默认时期,到期提示修改口令、口令不得存储在本地; b) 开发者应告知用户终端的安全使用需要注意的不安全的日常使用行为和基本安全建议:包括:屏保的安全设置、操作系统的及时升级、防病毒软件的有效安装、主机防火墙的正确配置、应用软件的下载与安装; c) 开发者应告知用户移动终端的安全使用,包括:设置屏幕解锁口令或图案、防病毒软件的有效安装等; d) 开发者应告知用户移动介质的安全管理,包括:U盾、U盘、移动硬盘的安全存放,设置用户口令等; e) 开发者应告知用户互联网的安全访问的注意事项,包括:无线上网、浏览上网、电子邮件、社交网络、即时通信、网上交易等方面; f) 开发者应告知用户防止基于社会工程的欺诈,包括: 基于人:物理的非授权访问呢; 基于电话:呼叫者电话的欺骗; 基于电子邮件:钓鱼攻击、Email地址欺骗; 基于即时通信软件:通过QQ、微信等的欺骗。 |
| 安全项 | 具体要求 |
| 使用风险提示 | 应用应在合适的界面提示用户使用应用时的安全风险及学习安全指南的建议,至少应包括:不开启云盾的风险、口令被盗的风险、使用默认账号的风险、使用共享账号的风险。 |
| 终端风险提示 | 应用应在合适的界面提示用户终端安全方面的风险及学习安全指南的建议,至少应包括:病毒感染的风险、不及时安装补丁的风险、使用访客账号的风险、使用默认账号的风险、不进行口令保护的风险、不设置屏幕保护的风险。 |
本部分是对开发者在开发者应用的开发和运营中应进行的安全管理所提出的安全要求,包括:应用开发过程的安全管理,相关的安全漏洞管理以及日常运维中的安全保障。
| 安全项 | 具体要求 |
| 安全职责明确 | 开发者应将相关人员(开发、测试、运维、管理等)的安全职责向阿里巴巴进行报备。 |
| 安全专职负责人 | 开发者应指定专职的安全负责人作为与阿里巴巴安全团队的安全接口人,并且在御城河平台上设置安全负责人,定期保持安全联络和沟通。 |
| 安全意识教育 | 开发者应对相关人员(开发、测试、运维、管理等)每年进行至少一次的安全意识教育,并对对安全教育和培训的情况和结果进行记录并归档保存。 |
| 安全制度学习 | 开发者应建立和文档化其必要的安全制度和操作流程,并要求相关人员(开发、测试、运维、管理等)每年至少一次确认自己已经阅读并了解公司的安全要求和制度流程。 |
| 安全责任书 | 开发者的相关人员(开发、测试、运维、管理等)应签订数据安全责任书。 |
| 安全自查 | 开发者应至少每年执行一次安全自查,并在环境发生重大变更时(例如收购、合并、迁址等)不定期地对线上应用执行安全评估,根据安全评估执行相应操作(如补丁管理、软件升级、系统加固等),并将该安全评估结果和安全整改情况通报给阿里巴巴相关的接口人。 |
| 风险运营 | a) 开发者应及时、有效地配合阿里巴巴日常的服务排查,不应做出屏蔽淘宝IP等恶意行为; b) 平台依据相应授权使用开发者在聚石塔上的安全监控数据进行安全认证、风险监测等安全运营工作。安全监控数据包括但不限于云安全中心(态势感知)的告警数据、WAF/DDOS接入和告警数据、数据库审计数据、安全组规则配置数据,ECS/RDS等资源的运行监控数据等; c) 由御城河产出的各类安全漏洞、风险、事件,包括但不限于安全认证、渗透测试、安全扫描以及聚石塔安全数据的告警分析等,应在风险提示的规定时间内完成处置; d)应用引发重大风险事件,如产生信息泄露风险,应组织风险运营人员在24小时内响应并止血。 |
| 服务和端口开放 | 应用(含前后台)应附有详细的列表,列明应用所必须使用的系统服务和通信端口,且应仅开放应用运行所必须的系统服务和通信端口。 |
| 变更管理 | a) 开发者应识别应用开发和运维中的主要变更需求,并制定相关的变更方案; b) 开发者应建立相关的变更流程和审批机制; c) 当相关系统变更时,开发者应向所有相关人员(开发、测试、运维、管理等)通告;实施变更时,必须进行记录且应妥善保存这些记录。 |
| 应急响应 | a) 开发者应制定安全事件报告和处置管理制度,明确安全事件的现场处理、事件报告和后期恢复的角色职能及处理流程; b) 开发者应建立负责线上应急响应的团队,明确安全事件响应的角色和责任人员/组织; c) 开发者应制定有7X24应急响应计划(突发安全事件预案),并定期演练; d) 开发者应监控相关软件程序的安全漏洞和威胁情报,及时修复应用及相关支撑系统的安全漏洞; e) 开发者应记录和保存所有报告中的安全弱点和可疑事件,分析事件原因,监督事态发展,并采取措施避免安全事件发生; |
