安全项
m.51md.cn
具体要求 51秒懂电商资讯网
安全职责明确 51秒懂
开发者应将相关人员(开发、测试、运维、管理等)的安全职责向拼多多进行报备。
51md.cn
安全专职负责人 www.51md.cn
开发者应指定专职的安全负责人作为与拼多多安全团队的安全接口人,并且在多多云平台上设置安全负责人,定期保持安全联络和沟通。 www.51md.cn
安全意识教育 51秒懂电商资讯网
开发者应对相关人员(开发、测试、运维、管理等)每年进行至少一次的安全意识教育,并对安全教育和培训的情况和结果进行记录及归档保存。
www.51md.cn
安全制度学习
开发者应建立和文档化其必要的安全制度和操作流程,并要求相关人员(开发、测试、运维、管理等)每年至少一次确认自己已经阅读并了解公司的安全要求和制度流程。
安全责任书
开发者的相关人员(开发、测试、运维、管理等)应签订数据安全责任书。
安全自查
开发者应至少每年执行一次安全自查,并在环境发生重大变更时(例如收购、合并、迁址等)不定期地对线上应用执行安全评估,根据安全评估结果执行相应操作(如补丁管理、软件升级、系统加固等),并将该安全评估结果和安全整改情况通报给拼多多相关的接口人。
风险运营
1、开发者应及时、有效地配合拼多多日常的服务排查,不应做出屏蔽拼多多 IP 等恶意行为。
2、平台依据相应授权使用开发者在多多云上的安全监控数据进行安全认证、风险监测等安全运营工作。安全监控数据包括但不限于:态势感知的告警数据、WAF/DDOS 接入和告警数据、数据库审计数据等。
3、由棱镜产出的各类安全漏洞、风险、事件,包括但不限于安全认证、渗透测试、安全扫描以及多多云安全数据的告警分析等,应在风险提示的规定时间内完成处置。
服务和端口开放
应用(含前后台)应附有详细的列表,列明应用所必须使用的系统服务和通信端口,且应仅开放应用运行所必须的系统服务和通信端口。
变更管理
1、开发者应识别应用开发和运维中的主要变更需求,并制定相关的变更方案。
2、开发者应建立相关的变更流程和审批机制。
3、当相关系统变更时,开发者应向所有相关人员(开发、测试、运维、管理等)通告;实施变更时,必须进行记录且应妥善保存这些记录。
应急响应
1、开发者应制定安全事件报告和处置管理制度,明确安全事件的现场处理、事件报告和后期恢复的角色职能及处理流程。
2、开发者应建立负责线上应急响应的团队,明确安全事件响应的角色和责任人员 / 组织。
3、开发者应制定有 7x24 应急响应计划(突发安全事件预案),并定期演练。
4、开发者应监控相关软件程序的安全漏洞和威胁情报,及时修复应用及相关支撑系统的安全漏洞。
5、开发者应记录和保存所有报告中的安全弱点和可疑事件,分析事件原因,监督事态发展,并采取措施避免安全事件发生。
推荐阅读: