Chuyển tới nội dung chính

Yêu cầu quyền truy cập dữ liệu nhạy cảm

Shopee Open Platform bảo vệ dữ liệu kinh doanh của người bán và dữ liệu cá nhân của người dùng được coi là nhạy cảm (bao gồm tên khách hàng, số điện thoại, địa chỉ email và địa chỉ).

Theo mặc định, dữ liệu nhạy cảm bị ẩn. Nhà phát triển phải hoàn thành các yêu cầu bảo mật cụ thể để yêu cầu quyền truy cập vào dữ liệu nhạy cảm không bị che.

Yêu cầu đủ điều kiện

Để yêu cầu quyền truy cập vào dữ liệu kinh doanh nhạy cảm, nhà phát triển phải đáp ứng các điều kiện sau:

  1. Gửi Báo cáo kiểm thử xâm nhập
  • Bắt buộc đối với Nhà phát triển Nền tảng đối tác bên thứ ba (ISV) đang phục vụ hoặc có kế hoạch phục vụ người bán Thái Lan.
  • Báo cáo kiểm thử xâm nhập hợp lệ phải được gửi qua Open Platform Console.
  1. Đưa địa chỉ IP vào danh sách trắng
  • Bắt buộc đối với tất cả nhà phát triển
  • Địa chỉ IP của các máy chủ lưu trữ ứng dụng của bạn phải được khai báo và đưa vào danh sách trắng.

⚠️ Lưu ý: Đối với Nhà phát triển Nền tảng đối tác bên thứ ba (ISV), quyền truy cập dữ liệu nhạy cảm được phê duyệt có hiệu lực trong hai (2) năm kể từ ngày phát hành báo cáo kiểm thử xâm nhập.

Cách gửi Báo cáo kiểm thử xâm nhập

Làm theo các bước bên dưới để tải lên báo cáo kiểm thử xâm nhập của bạn:

  • Bước 1: Đăng nhập vào Open Platform console bằng tài khoản nhà phát triển của bạn

Lưu ý: Tài khoản thành viên không có quyền tải lên báo cáo.

  • Bước 2: Điều hướng đến Trung tâm cá nhân → Thông tin tài khoản (ISV Trung Quốc đại lục: Liên kết, ISV khu vực khác: Liên kết)
  • Bước 3: Trong phần Thông tin Báo cáo & Chứng chỉ Bảo mật, nhấp "Thêm"

  • Bước 4: Trong phần Loại Báo cáo & Chứng chỉ Bảo mật, chọn "Báo cáo kiểm thử xâm nhập"
  • Bước 5: Tải lên báo cáo kiểm thử xâm nhập mới nhất của bạn
  • Bước 6: Nhấp "Lưu"

Thời gian xem xét

  • Trạng thái gửi (Được phê duyệt / Bị từ chối) sẽ được cập nhật trong phần Thông tin tài khoản.
  • Kết quả xem xét thường có trong vòng 10 ngày làm việc.

📌 Vui lòng tham khảo phần cuối trang này để biết các thực hành tốt nhất và hướng dẫn về việc gửi báo cáo kiểm thử xâm nhập.

Cách bật danh sách trắng địa chỉ IP

Để bật danh sách trắng địa chỉ IP cho ứng dụng của bạn:

  • Bước 1: Đăng nhập vào Open Platform console và vào Danh sách ứng dụng
  • Bước 2: Chọn ứng dụng cần quyền truy cập dữ liệu nhạy cảm
  • Bước 3: Nhấp Go Live và điền thông tin bắt buộc

  • Bước 4: Trong phần "Danh sách trắng địa chỉ IP", nhập (các) địa chỉ IP của (các) máy chủ lưu trữ ứng dụng của bạn
  • Bước 5: Bật Danh sách trắng địa chỉ IP sang ON
  • Bước 6: Nhấp Gửi

⚠️ Quan trọng: Sau khi Danh sách trắng địa chỉ IP được bật, các lần gọi API chỉ có thể được thực hiện từ các ứng dụng được lưu trữ trên (các) địa chỉ IP đã khai báo.

Thực hành tốt khi gửi Báo cáo kiểm thử xâm nhập

  1. Nhà cung cấp kiểm thử được đề xuất

Để cải thiện chất lượng báo cáo và hiệu quả xem xét, ISV được khuyến khích thuê các kiểm thử viên xâm nhập có uy tín, được công nhận.

  • Đối với tất cả ISV: Sử dụng kiểm thử viên xâm nhập được công nhận CREST.

  • Đối với ISV có trụ sở tại Trung Quốc (CN): Chúng tôi khuyến nghị các kiểm thử viên được công nhận bởi:

  • 奇安信: Qianxin

  • 360: 360

  • 深信服: Sangfor

  • 长亭科技: Chaitin

  • Báo cáo từ các kiểm thử viên xâm nhập khác vẫn sẽ được xem xét và cân nhắc phê duyệt theo từng trường hợp cụ thể.

  1. Yêu cầu chất lượng báo cáo

Một Báo cáo kiểm thử xâm nhập đầy đủ cần:

  • Phản ánh phạm vi tiếp cận bên ngoài của ứng dụng
  • Đánh giá các lỗ hổng trong tất cả hệ thống hoặc ứng dụng liên quan
  • Bao gồm danh sách đầy đủ các phát hiện
  • Xác nhận rằng không còn vấn đề nghiêm trọng hoặc rủi ro cao nào chưa được giải quyết
  1. Ngày phát hành báo cáo được đề xuất
  • ISV được khuyến khích gửi báo cáo kiểm thử xâm nhập được phát hành trong vòng một (1) năm qua.
  • Quyền truy cập dữ liệu nhạy cảm sẽ được cấp trong hai (2) năm kể từ ngày phát hành báo cáo.