amazon申请PII接口四大开发者问题答案.docx

-?网络保护?1.1

问题?-?描述贵组织用来限制对数据库、文件服务器和桌面/开发者终端节点的公共访问权限的网络保护控制措施。

????????您的回复应描述您的组织用来限制对数据库、文件服务器和桌面/开发人员端点的公共访问的网络保护控制。

1.数据库限制措施：生产数据库只对内网服务器开放，敏感数据脱敏后才可用于测试。只有管理员才有对数据库的管理权限。测试和开发人员只有对测试数据的操作权限，无对正式线的数据库操作权限，开发与生产环境完全隔离。

2.文件服务器管控措施：可分为普通文件，敏感文件。1）普通文件根据部门权限，分发相应的读写管理权限。敏感文件只针对特定人员开放读写权限，其他无权限；2）所有文件部门与部门的文件隔离，小组内也划分相应的到个人或管理者，只有相应部门内的管理者可以分配相应的人员权限。

3.桌面/开发人员端点的公共访问措施：1）使用https通讯；2）封装接口访问；3）授权访问+权限控制

-?资产管理?2.3.

问题?-?描述贵组织目前实施的机制，用于监控亚马逊信息并防止从员工个人设备（例如?USB?闪存驱动器、手机）访问亚马逊信息，以及在发生此类事件时如何向您发出提醒。

????????您的回复应描述您的组织如何阻止员工个人设备访问亚马逊信息。

????????您的回复应说明您是否启用了在将?PII?数据下载到设备时发出警报/警报的解决方案/工具。

????????如果您不这样做，您的回复应描述您的组织为监控和防止亚马逊信息从员工个人设备（例如?USB?闪存驱动器、手机）访问而采取的机制，以及在发生此类事件时如何向您发出警报?.

1).禁止使用非公司电脑

2).禁用usb，蓝牙等串行接口

3).禁用远程控制工具

4).路由和防火墙封禁3389,/21/22等常用上传和远程管理端口

5）禁止使用ftp工具

6）封锁当前流行云平台网址，禁止使用云工具

7）所有获取pll数据的亚马逊接口都重新封装一次，封装程序中防治监控程序，包含ip、使用人、平台、使用次数等信息，然后保留相应的操作日志，超过使用限制，将由短信或者邮件发送至相应的管理员或者维护人员手中！

！

-安全编码实践?2.5

问题?-?采取了哪些措施来防止凭证泄露？

????????您的回复应说明凭据是否在您的应用程序代码中硬编码。

????????您的回复还应说明凭据是否以加密方式存储，如果是，使用何种加密算法用于此目的。

没有使用硬编码，凭证保存在数据库中，使用了AES+RSA加密，RSA密钥另外保存，只有管理员可知。

-漏洞管理?2.7

问题?-?您如何追踪通过漏洞扫描和渗透测试确定的调查结果的修复进度？

????????您的回复应总结贵公司检测和修复漏洞的计划。

????????您的回复还应提供一个时间表或时间估计，说明修复漏洞扫描和渗透测试中发现的结果需要多长时间。

系统漏洞通过定期更新系统补丁方式修补系统漏洞。

安装相关的杀毒软件和防木马程序。

项目的漏洞由相关测试人员提交问题，开发人员处理相应的漏洞。

根据使用人员反馈相应漏洞，及时完善项目。

修复漏洞或修复bug的时间一般为1-3天左右