《亚马逊问题QA.docx》由会员分享,可在线阅读,更多相关《亚马逊问题QA.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1、描述您打算使用所请求角色中的功能来构建的应用程序或功能。This application is used to manage FBA inventory data, FBA order information and delivery, product pricing, statistical analysis and Amazon logistics processing.A:我们作为卖家以应用程序的方式与亚马逊进行数据对接,我们主要涉及的功能有商品发布和上架,商品信息更新、商品定价、库存商品管理、交易订单查询、物流追踪查询和管理等2、描述您为何需要个人识别信息来构建您的应用程序或功能。
2、We require the personally identifiable information to manage and fulfill MFN orders; In this way we need to send ordered products directly to the customer and generate shipping labels.A:我们是以公司主体性质来接入的亚马逊平台,不存在个人主体接入的情况。且公司的程序分为功能角色和数据角色,对页面功能的权限控制由功能角色定义。对页数据分访问由数据角色来定义。3、列出您的机构与之共享亚马逊信息的所有外部方,并描述您的
3、组织如何共享此信息。Amazon Information is only for internal use, we cannot share Amazon Information with any outside parties.A:无4、列出您检索亚马逊信息时发现的所有非亚马逊 MWS 来源。We did not find information from non-Amazon MWS sources;A:没有发现非亚马逊mws来源,我们只调用亚马逊官方mws5、描述您的机构针对数据库、文件服务器和桌面/开发人员端点的公共访问所使用的网络保护控制。We installed anti-viru
4、s and anti-virus software on the developers machine and a firewall on the database and file server. We set up a fixed IP access list, and stipulated that only developers can access.A:在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。根据企业具体应用,也可以配
5、备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。对于远程拔号访问用户的安全性访问,可以利用防火墙的一次性口令认证机制,对远程拔号用户进行身份认证,实远程用户的安全访问。阿里云部署了高防IP抗DDOS、WAF应用防火墙、安骑士主机安全,保障阿里云资源可以应对300G以上DDOS攻击,对承载在阿里云的系统进行安全检测并根据漏洞报告进行及时升级;鹏博士中心部署外网防火墙、内网防火墙、WAF应用防火墙、漏洞扫描系统、主机安全产品、堡垒机产品,确保鹏博士中心业务及数据的安全;亦庄创云中心部署下一代防火墙、入侵检测系统、未知威胁防范系统等实现亦庄数据的安全保障。通过VPN设备联入内网
6、,访问生产系统,VPN设备具有数据加密功能。6、描述您的机构如何单独识别有权访问亚马逊信息的员工,并在需要知道的基础上限制员工访问亚马逊信息In the system a unique account ID and password can be assigned to each employee who have access to Amazon Information; The system assigns fixed role to each account ID to restrict employee access to Amazon Information on a need-to
7、-know basis.A:系统提供基于角色的授权体系,能将用户的权限限制到具体功能和数据项目(如具体的某一个数据字段)的某一项或多项具体操作上(如添加、修改、删除、查看、打印),能准确授予用户职权范围。建立面向不同用户的应用系统的身份认证和授权管理系统,根据用户安全级别的不同,允许用户使用常规的“ID+口令”、“动态口令”、“数字证书结合密钥”等多种身份认证手段,经过用户管理系统,对用户实施集中的身份认证和权限管理。同时对各种用户对系统的访问进行详细的日志记录,并对日志进行审计。7、描述贵机构为监控和防止从员工个人设备(例如 USB 闪存盘、手机)访问亚马逊信息而实施的机制,以及在发生此类事
8、件时如何向您发出提醒。We have installed special equipment to prevent Amazon Information from being accessed from employees personal devices. When the computer is equipped with U disks, mobile phones and other physical isolation and alarm response, and protected by passwords. When someone accesses these devices
9、 without authorization, an alarm will sound to warn them.A:保障关键区域的物理与环境安全,严格实施关键区域人员及设备的出入管理;对用户在网站上的行为进行有效监控,保证信息安全,具体有:禁止使用非公司电脑,路由和防火墙封禁3389,/21/22等常用上传和远程管理端口,通过VPN设备联入内网,访问生产系统,VPN设备具有数据加密功能。8、提供贵机构的隐私和数据处理政策,以描述如何收集、处理、存储、使用、共享和处置亚马逊数据。您可以以公共网站 URL 的形式提供此信息。We can not share or disclose user pr
10、ivacy and data to any other third party without the users consent, and our system encrypts the storage of privacy and data, and our collection of user privacy data must also be subject to the users consent and compliance with laws and regulations.Developers must not hardcode sensitive credentials in
11、 their code, including encryption keys, secret access keys, or passwords. Sensitive credentials must not be exposed in public code repositories. Developers must maintain separate test and production environments.A:北京墨北科技有限公司及其关联公司(以下简称“墨北科技”或“我们”)深知隐私权对您的重要性,我们尊重您的隐私权并非常重视保护您的个人信息。您在使用我们的产品与/或服务时,我们
12、可能会收集和使用并保护您的相关信息。鉴于此,我们根据相关法律法规,制定本隐私权政策。本隐私权政策将向您说明我们如何收集、使用、保存、共享您的信息,以及我们为您提供的访问、更新、删除和保护这些信息的方式。本政策与您使用我们的产品与/或服务关系紧密,请您在使用我们的产品与/或服务前认真阅读并确认充分理解本隐私权政策。本隐私权政策中涉及的相关术语,我们努力以通俗易懂的表达帮助您理解,并对本政策中与您的权益存在重大关系的条款,特别采用粗体字进行标注以提示您注意。您使用或在我们更新本隐私权政策后(我们会及时提示您更新的情况)继续使用我们的产品与/或服务,即意味着您同意本隐私权政策(含更新版本)内容,并且
13、同意我们按照本隐私权政策收集、使用、保存和共享您的相关信息。本政策将帮助您了解以下内容:一、我们如何收集和使用您的个人信息二、我们如何使用 Cookie 和同类技术三、我们如何共享、转让、公开披露您的个人信息四、我们如何保存您的个人信息五、我们如何保护您的个人信息六、您如何访问和管理您的个人信息七、未成年人的个人信息保护八、修订和通知一、我们如何收集和使用您的个人信息个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。在您使用我们的产品与/或服务的过程中,在以下情形中我们需要收集您的一些信息,用以向您提供服务、提升服务质量、保护
14、您的账户安全和资金保障以及符合国家法律法规及监管规定:1. 当您注册向前金服账号时,我们将收集您的真实姓名、手机号码、身份证件号码、电子邮箱、登录密码、手势密码或面部特征等个人生物识别信息,以满足相关法律法规的网络实名制要求并保护您的账号安全。2. 当您使用我们提供的网络借贷服务时,您需进行银行存管账户开立、银行账户绑定、充值、出借、提现、还款、缴费等操作,我们和/或我们委托的存管银行将收集您的真实姓名、身份证件号码、银行账号信息和/或手机号码,并对您的身份信息及银行账户信息进行验证,以满足相关法律法规关于网络借贷业务资金存管的要求,如果您不提供此类信息,您可能无法正常使用我们的服务。3. 我
15、们和/或我们委托的存管银行将收集您的充值记录、出借记录、提现记录以及您账户中的财产信息(包括总资产、出借金额、账户余额及积分等财产信息),以完成资金结算、账务核对及提供信息报告等服务,以及满足相关法律法规的信息披露要求。4. 在您使用我们提供的产品与/或服务的过程中收集您的个人常用设备信息(包括设备名称、设备型号、设备识别码、操作系统和应用程序版本)和日志信息(如访问内容、IP地址、访问日期和时间及访问记录等),以向您提供更好的产品和/或服务并改善用户使用体验。5. 您在此同意并授权,我们将在向您提供产品与/或服务的过程之中所收集的信息用作下列用途:i. 向您提供服务;ii. 在我们提供服务时
16、,用于身份验证、客户服务、安全防范、存档和备份用途,确保我们向您提供的产品与/或服务的安全性;iii. 帮助我们设计新服务,改善、优化我们的现有服务;iv. 使我们更加了解您如何接入和使用我们的服务,以根据您的个性化需求提供针对性的服务;v. 有针对性地向您推荐我们提供的产品、服务或推广活动,以及与我们的关联方、合作方共享,以向您提供或推荐我们的关联方、合作方的商品、服务或推广活动。您同意我们、我们的关联方及合作方通过站内信、电子邮件、电话、短信等方式向您提供、发送服务状态的通知、营销活动及其他商业性信息。如不需要我们推广相关信息,您可联系向前金服客服取消、退订该类信息推广服务;vi. 评估我
17、们服务中的广告和其他促销及推广活动的效果,并加以改善;vii. 软件认证或管理软件升级;viii. 请您参与有关我们产品和服务的调查;ix. 您知晓并同意,在收集您的个人信息后,我们可能会通过技术手段对您的个人信息进行脱敏。我们有权在不透露您个人信息的前提下使用已经脱敏的信息。6. 您充分知晓,以下情形中,我们收集、使用个人信息无需征得您的授权或同意:i. 与国家安全、国防安全有关;ii. 与公共安全、公共卫生、重大公共利益有关;iii. 与犯罪侦查、起诉、审判和判决执行等有关;iv. 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;v. 所收集的个人信息是个人
18、信息主体自行向社会公众公开的;vi. 从合法公开披露的信息中收集的您的个人信息,如合法的新闻报道、政府信息公开等渠道;vii. 根据您的要求签订合同所必需的;viii. 用于维护所提供的产品与/或服务的安全稳定运行所必需,例如发现、处置产品与/或服务的故障;ix. 为合法的新闻报道所必需;x. 学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行匿名化处理的;xi. 法律法规规定的其他情形。二、我们如何使用 Cookie 和同类技术1. 为了让您获得更轻松的使用体验,我们和第三方合作伙伴可能通过Cookies和网络Beacon收集和使
19、用您的信息。2. 我们使用自己的Cookies和网络Beacon,以为您提供更个性化的用户体验和服务,并用于以下用途:i. 识别您的身份、判断您的账户或数据安全。例如:Cookies和网络Beacon有助于我们辨认您作为我们的注册用户的身份,简化您重复登录的步骤、存储您的浏览习惯和偏好等数据;ii. 为您提供个性化服务。我们可利用Cookies和网络Beacon来了解您使用我们的服务的相关偏好;iii. 帮助您优化对广告的选择。Cookies和网络Beacon有助于我们根据您的信息,向您提供与您相关的广告而非进行普遍的广告投放。3. 我们的产品和服务上可能会有广告商和其他合作方放置的Cooki
20、es和网络Beacon。这些Cookies和网络Beacon可能会收集与您相关的非个人身份信息,以用于分析用户如何使用该等服务、向您发送您可能感兴趣的广告,或用于评估广告服务的效果。这些第三方Cookies和网络Beacon收集和使用该等信息不受本隐私权政策约束,而是受到其自身的隐私权政策约束,我们不对第三方的Cookies或网络Beacon承担责任。您可以通过浏览器设置拒绝或管理Cookies或网络Beacon。但如果您停用Cookies或网络 Beacon,我们有可能无法为您提供最佳的服务体验,某些服务也可能无法正常使用三、我们如何共享、转让、公开披露您的个人信息1. 我们将根据相关法律法
21、规及监管规定对您的个人信息(包括您主动提供的和我们收集、记录的所有数据、信息、资料和相应的交易行为记录、交易文件,下同)承担保密义务。但为了向您提供更优质的多元化、个性化服务,您同意并授权我们在以下情形下将您的信息向第三方进行共享。并且,我们将促使该等第三方在使用您信息的过程中对您的信息采取适当保密与安全措施:i. 事先获得您的明确同意或授权;ii. 根据可适用的法律法规、法律程序的要求、强制性的行政或司法要求所必须的情况下进行提供;iii. 提供给中国互联网金融协会及其他合法成立的行业协会,以供有关单位和个人依法查询和使用,并按照中国互联网金融协会及其他行业协会的要求依法进行信息披露和展示;
22、iv. 在法律法规允许的范围内,为维护我们、我们的关联方或合作方,您或其他用户,或社会公众利益、财产或安全免遭损害而有必要提供;v. 提供给我们的关联方、合作方以用于现在或将来向您提供我们、我们的关联方、合作方的相关服务;vi. 符合我们、我们的关联方、合作方与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定所提供;vii. 如我们或我们的关联方涉及合并、分立、收购、资产或业务转让或类似的交易,您的个人信息可能作为此类交易的一部分而被共享,我们将确保该等信息在共享时的机密性,您同意对此予以认可和理解;viii. 基于学术研究而使用;ix. 基于符合法律法规的社会
23、公共利益而使用;x. 为实现本隐私权政策目的所需的、或者本隐私权政策或其他协议中经您授权许可的其他共享方式。2. 我们将会在以下情况下公开披露您的个人信息:i. 根据您的需求,在您明确同意的披露方式下披露您所指定的个人信息;ii. 根据法律法规的要求、强制性的行政执法或司法要求所必须提供您个人信息的情况下,我们将会依据所要求的个人信息类型和披露方式公开披露您的个人信息。四、我们如何保存您的个人信息1. 保存地域:我们将在中华人民共和国境内收集的个人信息存储在中华人民共和国境内。2. 保存期限:我们仅在本隐私权政策所述目的所必需期间和法律法规要求的时限内保留您的个人信息。五、我们如何保护您的个人
24、信息我们非常重视用户的个人信息安全,并将采取一切合理可行的措施,保护您的个人信息:1. 我们会采用符合业界标准的安全防护措施以及行业内通行的安全技术来防止您的个人信息遭到未经授权的访问、修改,避免您的个人信息泄露、损坏或丢失。2. 一旦不幸发生个人信息安全事件,我们将按照法律法规的要求,及时向您告知安全事件的基本情况及可能产生的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们同时将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您;难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报个人信息安
25、全事件的处置情况。3. 请您务必妥善保管好您的向前金服登录名及其他身份要素。您在使用我们的产品与/或服务时,我们会通过您的登录名及其他身份要素来识别您的身份。一旦您泄漏了前述信息,您可能会蒙受损失,并可能产生对您不利的法律后果。六、您如何访问和管理您的个人信息我们非常重视并保护您关于管理个人信息的权利,并为您提供了管理个人信息的方法:1. 访问权:除法律法规规定的例外情况,无论您何时使用我们的服务,我们都会力求让您顺利访问自己的个人信息。2. 更正权:您有权对您的个人信息做出更正或更新。您可以自行在相关网页端或APP端进行更正,或将您的更正申请提交给我们,我们将在验证您的身份后处理您的请求。3
26、. 注销权:您可以通过电子邮件(csc)联系我们申请注销您的账户。一旦您注销账户,我们将停止为您提供服务,因此请您谨慎操作。但您知悉并理解,在您注销账户前提供的个人信息,我们将继续依照可适用的法律法规规定及本隐私权政策进行保存或披露。4. 按照法律法规要求,以下情况中,我们将无法响应您的请求:i. 与国家安全、国防安全有关的;ii. 与公共安全、公共卫生、重大公共利益有关的;iii. 与犯罪侦查、起诉和审判等有关的;iv. 有充分证据表明您存在主观恶意或滥用权利的;v. 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的。七、未成年人的个人信息保护我们非常重视对未成年人个人信息的保护
27、。如您是18周岁以下的未成年人,在使用我们的服务前,我们建议未成年人的父母或监护人阅读本隐私权政策,并建议未成年人在提交个人信息前寻求父母或监护人的同意和指导。八、修订和通知本隐私权政策将会随着我们的业务的发展而进行更新,以便为您提供更加优质的服务。我们会通过在网站、APP或其他平台上发出更新版本并在生效前通过公告或以其他适当方式提醒您相关内容的更新,请您及时访问以便了解最新的隐私权政策。9、描述您的机构存储静态亚马逊信息的位置,并提供关于所使用的任何加密算法的详细信息。We use a 2048-bit RSA-encrypted hardware firewall and are equi
28、pped with a dedicated physical server to store Amazon information.A:存储静态亚马逊信息的位置存储在公司的内网mysql服务器上,使用RSA非对称加密10、描述您的机构如何备份或存档亚马逊信息,并提供所使用的所有加密算法的详细信息。We provide a dedicated backup server with a 2048-bit RSA data encryption algorithm, which can back up Amazon information and use dual-machine heating f
29、or encryption, so that it can store backup information safely for a long time, and restore data in a timely and efficient manner.A:通过私有云每周进行服务器镜像和每天进行数据库盘备份或存档亚马逊信息,使用RSA非对称加密11、描述您的机构如何监控、检测和记录应用程序中的恶意活动。We have deployed automated scripts on the server to collect system and application logs, as wel
30、l as analyze and audit logs to monitor and detect and log all malicious activity, and as soon as malicious activity is detected, we immediately notify the system administrator of the malicious activity in real time and generate a full range of exception reports for analysis, the logs do not contain
31、PII and are stored for at least 130 days.A:系统业务逻辑处理集中对接口数据进行格式校验,实时对非法的SQL注入行为进行拦截。系统始终对接口请求进行安全性过滤,防止非授权访问,并对重要业务操作进行日志记录,使问题有据可查。定期对服务器进行安全性扫描,防止出现系统级安全漏洞。目前网络入侵安全问题主要采用网络入侵检测系统等成熟产品和技术来解决。在我们网上系统中,网络入侵检测系统应能满足以下要求:(1)能在网络环境下实现实时地入侵检测,全面检测可能的入侵行为,能及时识别各种黑客攻击行为,发现攻击时,阻断、弱化攻击行为,并能详细记录、生成入侵检测报告,及时向管理
32、员报警;(2)能够按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描;(3)所采用的入侵检测产品和技术不能被绕过或旁路;12、总结贵机构再事件应对计划中执行的步骤如何解决数据库入侵、未经授权的访问以及数据泄露问题We have a dedicated operations and maintenance team responsible for server security and ensuring the proper functioning of our servers. In the event of a security incident, we will
33、 take immediate steps to remedy the situation, restore the relevant data and report it to Amazon 3p- security24 Email within a few hours.A:服务器设有白名单,没有权限无法访问数据,并且有访问日志的记录。若有入侵、未经授权的访问以及数据泄露问题,我们会及时查找问题的出处,及时排查,修复系统。并且会通过邮件告诉亚马逊。13、在密码所需长度、复杂性(大写/小写、数字、特殊字符)和有效期方面,您如何在整个组织中强制实施这些密码管理实践?Our passwords n
34、eed to be at least 8 characters in length and must contain 1 upper and lower case letter and 1 special symbol. Passwords are valid for 1 month.A:(1)密码设置为8-20位,由大小写字母、数字以及特殊符号等字符组成;(2)密码应在90天内至少更换一次;(3)密码设置不得使用最近3次以内重复的口令。(4)设立非授权访问限制机制,例如锁上多次登录失败后的用户账号。14、测试期间如何为个人身份信息 (PII) 提供保护?We have a separate
35、testing environment. The test server is equipped with a firewall and anti-virus software. We encrypted PII with 2048-bit RSA, restricted the use of PII and logged its use to establish accountability and compliance.A:个人身份信息脱敏,例如:370826*1115、采取了哪些措施来防止凭证泄露?We stipulate that developers can only maintai
36、n in internally accessible development and test servers, and stipulate that developers must not add any credential information to the code in any way.A:(1)没有使用硬编码,凭证保存在数据库中,使用了AES+RSA加密,RSA密钥另外保存,只有管理员可知,凭证90天修改一次(2)采用堡垒机来访问服务器(3)凭证有使用登记记录留痕16、您如何追踪在漏洞扫描和渗透测试中发现的问题的修复进度?The developers must conduct a
37、 vulnerability scan or penetration test at least every 180 days and scan for vulnerable code prior to each release. Only applications with 0 fatal and critical flaws and 95% general flaw rate are allowed to be released.A:建立问题跟踪表,包含问题内容、状态、提出人、提出时间、解决人、计划解决时间等,由专人负责每周定期跟进问题修复进展,并及时更新问题跟踪表至问题完全解决。17、您
38、如何处理在开发生命周期和运行期间发现的代码漏洞?The developers scan the code through the open source vulnerability scanning tool. Every version submitted in the development cycle needs to be scanned. During the operation period, vulnerability scanning or penetration test shall be carried out at least every 180 days. After
39、discovering the vulnerability, the vulnerability shall be handled in time according to the official solution.A:对发现的缺陷进行记录,并进行分析和定位,按照标准格式填写并提交缺陷报告,跟踪缺陷并对修复的缺陷进行验证,最后直至缺陷解决。18、谁负责变更管理?如何授予他们访问权限? 请指定职务。The system operation and maintenance personnel are automatically deployed to the server through Jenkins, and the operation and maintenance personnel only have the right to deploy.A:运维经理负责管理公司员工的堡垒机账号,业务系统帐户,VPN账号均需通过授权方可被授予开通。其中,业务系统帐户由各部门总监根据其工作职责审核授予。堡垒机账号,VPN账号由技术总监负责审批。账户权限依据其完成工作职责的最小范围授权。