开放平台安全开发规范
文档ID: 400076
页面标识: 9d39f2d99861d7fb00bcf1665a60cdfc1614264249470
更新时间: 1660829568033
浏览量: 1959
1. 账号安全
1.1 账号唯一
(1)使用快手统一提供的登录接口登录,并考虑对登录态做校验。若应用有自己的登录系统,需做好用户引导和新用户承接提示,避免影响用户正常使用。
(2)应用应维护自有账号和快手账号的对应关系,为不同的用户分配不同的账号,确保一个用户一个账号,应禁止多人使用同一个账号
1.2 账号风控
(1)能识别帐号异常登录(被盗/撞库、异地登录),并采取手机验证码等方式确保帐号登录安全;
(2)当用户名或密码错误时统一展示:”用户名或密码不正确”;
(3)发生过异常登录,系统应以合适方式提示用户异常信息
(4)系统登入页面需要增加图片验证码进行安全验证
1.3 账号管理
(1)线上系统禁止出现管理员权限测试账号
1.4 账号回收
(1)应用应及时清理和回收应用相关的开发账号、测试账号和后台管理账号及权限。如:相关账号使用者离职或转岗时
(2)帐号超过一定时间不用、多余帐号等情况,系统应及时回收
1.5 口令强度
系统、应用、数据库帐号口令要求满足一定的长度和复杂度,确保口令强度(口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联
1.6 口令更换
(1)帐号口令应定期更换;建议口令至少每六个月更换一次。
(2)每次更换不能与前三次密码有重复
1.7 口令重置
口令重置应该有较强的身份校验机制,避免被轻易更改口令导致帐号丢失
2. 日志审计安全
2.1 用户日志
系统应记录用户行为日志:帐号、应用标识(APP ID)、源IP、时间、行为类型、行为内容(操作的订单标识)等
2.2 日志上传
系统应上传用户行为日志到快手平台:包括但不限于登录/退出、更改帐号、订单查看、管理、导出、敏感信息查询等。
2.3 服务器端向第三方应用传递订单日志
包括但不限于帐号、应用标识(APP KEY)、应用名、时间、订单标识
2.4 日志存储保护
应用应保护所存储的日志审计记录的完整性,避免其受到未预期的删除、修改或覆盖等。
2.5 日志保存期限
所有日志留存时间不低于六个月,敏感数据访问的日志保留时间不少于1年
3. 权限安全
3.1 会话退出
所有会话具备超时退出机制
3.2 权限控制
可被用户直接访问的功能必须进行权限控制校验,权限和角色绑定
3.3 会话验证
登录时用户身份鉴别,包括用户名密码/短信/语音/邮件/UKey等;尤其管理端外部可访问时,要提供账号密码外的其他二次身份验证方式(例如手机验证码等)。
3.4 异常会话
帐号异常时,应触发用户验证机制,通过两个和以上的方式验证用户身份
4. 数据安全
4.1 数据获取
(1)快手电商开放平台将以openId字段替换sellerId字段作为店铺唯一标识,用于获取商家相关信息。
(2)快手电商开放平台所有接口均不再返回用户userId字段。
4.2 数据存储
获取的敏感数据必须采用安全的加密方式进行存储
4.3 数据传输
(1)应用中涉及敏感数据(比如订单数据等)的传输必须进行加密传输,实现系统管理数据、鉴别信息和重要业务数据的传输保密性
(2)加密算法应使用RSA非对称加密算法或AES-256位及以上强度。
(3)数据不得从ISV软件传递到第三方软件。关于ISV及自研商家对接的第三方仓储问题以及传递数据给其他任意第三方公司,如有此类需求,ISV及自研商家需要到我司备案,并签署特殊保密协议。(注:本条暂不强制执行,但数据传输过程中必须使用加密传输如https。后续若强制执行,将把报备方式、流程进行公告同步)
4.4 数据下载
对于可批量下载导出(订单、面单)等功能,需要进行手机短信验证功能,验证后方可下载(并记录日志)
4.5 数据展示
(1)系统前端展示部分对用户敏感信息(如电话号码、邮箱、快手昵称等)应该进行打码等遮盖方式处理
(2)用户如查询,则应该记录详细查询日志,包括但不限于查询帐号、时间、IP、查询订单标识等
4.6 数据导出
应用禁止提供涉及用户隐私信息的导出功能,包括但不限于姓名、联系方式、地址、身份证号、快手帐号等。应用涉及非用户隐私信息的导出需要具备二次验证的能力。
备注:对于客户有实际导出明文信息需求,建议增加引导文案,引导用户到小店后台导出。
4.7 审查
数据存储、传输和下载改造完成节点为2021年1月31日,截止日期之后,平台将定期对已上架应用进行抽样确认,未完成改造服务将进行下架处理。
5.应用开发安全
5.1 安全开发
开发者要遵循安全开发原则,防止因为SQL注入、XSS、文件上传、越权查询等漏洞导致数据泄漏
5.2 安全扫描
(1)开发者要定期对应用进行安全检查和扫描,并及时修复漏洞。
(2)如发现漏洞,开发者要尽快完成漏洞修复。建议修复时间:
严重:1天;高危:3天;中危:7天;低危:14天
5.3 安全行为
ISV不得有任何商家未授权情况下获取账号、修改密码、访问数据等行为
6. 主机安全
6.1 数据库安全
(1)数据库应有备份功能,确保数据在意外发生时可以进行数据恢复
(2)数据库禁止外部直接连接和访问
(3)数据库具备一定的控制能力,防止批量数据获取,如一次超过50条。
6.2 主机端口
不得暴露445、135、137、138、139等高风险端口;系统服务器只能开放WEB服务端口,常见的有80,8080,443,8443
6.3 框架安全
所有应用、框架都必须使用最新稳定版可在各组件版本官网下载最新版本,禁止使用带有安全问题的老版本;(包括但不限于struts2版本、discuz低版本、openssl版本不低于1.0.2g或者1.0.1s,fastjson)
6.4 主机备份恢复
具备数据恢复能力,在业务发生故障后,如主系统数据损坏,能快速恢复
6.5 口令安全
(1)主机不应该使用默认帐号的默认密码;
(2)系统投入使用后必须确保密码具备足够的安全强度;
(3)口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联
6.6 访问控制
(1)主机可设置访问规则,只允许特定的设备(MAC)、IP访问
(2)应用应提供基于黑名单的保护机制,通过黑名单来限制非法的访问。黑名单的纬度包括但不限于IP, 用户账号和终端标识
7. ISV运维安全
7.1 运维平台
ISV系统上线后应该有专门的运维平台。应限制随意系统接入后台。
7.2 运维平台安全访问
运维平台在内网,外网不能直接登录,需通过VPN接入
7.3 运维平台安全控制
管理员可设置运维平台白名单,只允许特定的IP、帐号登录
7.4 运维平台安全查杀
运维平台应该有查杀病毒的软件或系统;管理员应定期进行病毒查杀
7.5 运维平台口令安全
3个月到半年定期更新管理员密码;管理员密码要满足安全强度要求;口令不能为空、不能为默认、不能少于8位、应该有字母大小写、数字、特殊符号,不能与身份信息关联
7.6 运维平台安全更新
管理员应及时给系统打补丁
8. 运维保障制度
8.1 全职责明确
(1)应用应将相关人员(开发、测试、运维、管理等)的安全职责向快手进行报备(注:目前非强制要求)。
(2)应用应指定专人作为安全接口人,当出现安全问题时方便联络和沟通(注:目前非强制要求)。
8.2 安全意识教育
应用应对相关人员(开发、测试、运维、管理等)每年进行至少一次的安全意识教育,并对对安全教育和培训的情况和结果进行记录并归档保存。
8.3 安全制度学习
应用应建立和文档化其必要的安全制度和操作流程,并要求相关人员(开发、测试、运维、管理等)每年至少一次确认自己已经阅读并了解公司的安全要求和制度流程
8.4 安全责任书
应用的相关人员(开发、测试、运维、管理等)应签订数据安全责任书
8.5 安全自查
应用应至少每年执行一次安全自查,并在环境发生重大变更时(例如收购、合并、迁址等)不定期地对线上应用执行安全评估,根据安全评估执行相应操作(如补丁管理、软件升级、系统加固等),并将该安全评估结果和安全整改情况通报给快手相关的接口人
8.6 变更管理
(1)开发者应识别应用开发和运维中的主要变更需求,并制定相关的变更方案;
(2)开发者应建立相关的变更流程和审批机制;
(3)当相关系统变更时,开发者应向所有相关人员(开发、测试、运维、管理等)通告;实施变更时,必须进行记录且应妥善保存这些记录。
9. 安全应急响应
9.1 安全跟进
安全接口人应对发生的安全事件,按照快手的安全响应要求进行响应,如重大漏洞事件后应及时修复安全漏洞
9.2 漏洞修复
如发现漏洞,开发者要尽快完成漏洞修复。修复时间:
严重:1天;高危:3天;中危:7天;低危:14天
9.3 安全风险
(1)ISV服务商应对快手安全标准进行确认,满足快手安全标准才能入驻快手小店第三方应用服务
(2)ISV服务商应不低于每年一次的频率对自身系统进行安全检查,并根据实际情况不定期进行检查。发现问题后应及时通知快手相关接口人
9.4 安全记录
ISV服务商应记录和保存所有报告中的安全弱点和可疑事件,分析事件原因,监督事态发展,并采取措施避免安全事件发生
10. 安全违规行为及处罚规范
为营造安全、有序的环境,依据《快手服务市场违规处罚规范》、《开放平台开发者协议》等内容制定《安全违规行为及处罚规范》,适用于快手电商开放平台及所有开发者应用。
| 违规类型 | 违规内容 | 扣分 |
| 恶意利用平台缺陷 | 开发者隐瞒其所发现的快手平台缺陷且恶意利用 | 6 |
| 非法的数据用途 | 开发者违背在保证应用正常运行、功能正常使用情况下所需数据、用户授权最小化原则,包括但不限于调用开放平台获取数据但实际没有使用该数据情况 | 1 |
| 开发者将用户数据进行擅自聚合、泄漏或授权他人使用 | 6 | |
| 非法获取用户数据 | 开发者在收集、获取业务数据时,没有事前获得用户授权同意 | 4 |
| 开发者通过请求、收集等方式从任何用户侧获取其快手账号、密码等身份凭证,为用户提供包括但不限于为用户自动登陆到快手平台功能 | 4 | |
| 开发者和其他开发者共享快手电商开放平台APPKey等相关权限获取用户数据 | 6 | |
| 应用安全违规 | 开发者及其应用在没有获得用户授权的情况下通过爬虫、数据共享等非法、非合规方式获取快手侧相关数据信息 | 6 |
| 开发者及其应用存在安全漏洞且被恶意利用导致快手、用户受到直接损失、负面影响等 | 4 | |
| 开发者及其应用未满足快手《开放平台安全开发规范》内要求,给快手、用户等造成损失、影响或在收到快手安全整改要求后没有在指定时间内改造 | 4 |
注:如有其他特殊合同约定以其为准。