Đánh giá bảo mật dữ liệu và quyền riêng tư
Bảo vệ dữ liệu khách hàng
TikTok, cũng như nhiều tổ chức khác, phải đối mặt với các mối đe dọa an ninh mạng và chúng tôi cam kết bảo vệ dữ liệu của khách hàng cũng như các bên liên quan. Việc giữ cho dữ liệu, hệ thống và tài sản của chúng tôi an toàn trước các mối đe dọa an ninh mạng mới nổi là ưu tiên hàng đầu, và sự cẩn trọng này cũng được áp dụng cho các nhà cung cấp dịch vụ bên thứ ba của chúng tôi.
Tất cả các nhà cung cấp tiềm năng và hiện tại đều phải xác thực việc truy cập, xử lý và/hoặc lưu trữ Dữ liệu được bảo vệ, vị trí trụ sở chính của doanh nghiệp, mức độ sở hữu của nước ngoài, các địa điểm làm việc chính và dự phòng, vị trí của hệ thống, và việc sử dụng nhà thầu phụ.
Chúng tôi mong đợi điều gì từ đối tác
Trước khi ra mắt app của bạn trên TikTok Shop App Store, chúng tôi yêu cầu tất cả các đối tác tiềm năng hoàn thành Đánh giá bảo mật dữ liệu và quyền riêng tư ("DSPR"). Quá trình đánh giá này nhằm thẩm định mức độ trưởng thành trong các thực tiễn về quyền riêng tư và bảo mật của mỗi đối tác, đảm bảo chúng tuân thủ cả các yêu cầu pháp lý lẫn các tiêu chuẩn tuân thủ của TikTok trước khi truy cập dữ liệu khách hàng.
Quyền riêng tư
Việc tuân thủ luật về quyền riêng tư và các tiêu chuẩn ngành là điều thiết yếu đối với tất cả các bên liên quan tới TikTok Shop, bao gồm cả các đối tác của chúng tôi. Mục tiêu của chúng tôi là tạo ra một hệ thống hàng đầu để bảo vệ và bảo đảm an toàn cho mọi dữ liệu thông qua việc công bố minh bạch và các biện pháp bảo vệ quyền riêng tư xuyên suốt vòng đời dữ liệu (bao gồm thu thập, lưu trữ, xử lý, chuyển giao và hủy bỏ dữ liệu).
Các cơ chế về quyền riêng tư được liệt kê dưới đây là bắt buộc nhằm tuân thủ tất cả các luật về quyền riêng tư của từng khu vực (ví dụ GDPR, CPRA), các tiêu chuẩn ngành và các tiêu chuẩn quản lý dữ liệu của riêng chúng tôi. Việc không tuân thủ có thể dẫn đến các hình phạt pháp lý đáng kể và/hoặc mất quyền truy cập dữ liệu của TikTok Shop.
Vai trò & Trách nhiệm chuyên trách
Trong tổ chức của bạn, cần có những cá nhân chịu trách nhiệm giám sát việc tuân thủ quyền riêng tư dữ liệu để đảm bảo dữ liệu cá nhân được xử lý và bảo vệ đúng cách, đồng thời đóng vai trò là đầu mối liên hệ cho bất kỳ thắc mắc nào liên quan đến quyền riêng tư. Một Cán bộ bảo vệ dữ liệu (Data Protection Officer) cũng là bắt buộc tại một số khu vực pháp lý nhất định.
Thông báo về quyền riêng tư
Thông báo về quyền riêng tư cung cấp các giải thích rõ ràng cho từng khía cạnh của vòng đời dữ liệu, bao gồm dữ liệu nào sẽ được thu thập, vì sao dữ liệu này được thu thập, dữ liệu này sẽ được sử dụng như thế nào, dữ liệu này sẽ được chuyển giao đến đâu, dữ liệu này sẽ được bảo vệ như thế nào, và dữ liệu này sẽ được lưu trữ trong bao lâu.
Quyền của chủ thể dữ liệu
Quyền của chủ thể dữ liệu trao cho cá nhân quyền kiểm soát dữ liệu của họ, bao gồm khả năng truy cập, tải xuống, cập nhật và xóa dữ liệu của họ theo yêu cầu. Đối tác phải có khả năng hỗ trợ người bán thực hiện các quyền này, đặc biệt khi được yêu cầu bởi các quy định địa phương.
Lưu giữ dữ liệu
Dữ liệu cá nhân không được lưu giữ lâu hơn mức cần thiết để hoàn thành mục đích mà dữ liệu đó ban đầu được thu thập và xử lý. Khi người bán không còn cho phép chia sẻ dữ liệu với đối tác, đối tác phải xóa dữ liệu cá nhân một cách kịp thời. Hơn nữa, các tổ chức phải cung cấp khả năng xóa dữ liệu cho người dùng tại một số bang nhất định theo luật của bang đó.
Tối thiểu hóa dữ liệu
Đối tác chỉ được yêu cầu/truy cập lượng dữ liệu tối thiểu cần thiết cho dịch vụ mà bạn cung cấp. Để đạt được điều này, chỉ yêu cầu quyền truy cập vào các API cần thiết nhằm thực hiện mục đích kinh doanh cụ thể của họ.
Bảo mật
Bảo mật là nền tảng cho mọi hoạt động chuyển giao dữ liệu. Việc các đối tác của chúng tôi có các biện pháp kiểm soát tổ chức và kỹ thuật phù hợp để bảo vệ dữ liệu nhạy cảm của người bán và người mua, duy trì niềm tin và tuân thủ các yêu cầu pháp lý là điều thiết yếu.
Đối với các đối tác của chúng tôi, chúng tôi mong đợi bạn đã triển khai các biện pháp bảo mật sau đây để bảo vệ dữ liệu của khách hàng.
Chính sách an ninh thông tin
Đối tác phải có một khung an ninh thông tin được thiết lập làm chuẩn mực vận hành hàng ngày nhằm đảm bảo an toàn dữ liệu. Chính sách hoặc hướng dẫn này cần được rà soát, cập nhật thường xuyên và được lãnh đạo cấp cao phê duyệt để đảm bảo các biện pháp bảo mật đúng đắn được thực thi trong toàn tổ chức.
An ninh mạng
Đối tác phải phân tách các môi trường mạng để bảo vệ các truy cập mạng nội bộ, và triển khai các công cụ an ninh mạng (chẳng hạn NIDS/HIPS) để giám sát các mối đe dọa từ bên ngoài.
Bảo vệ thiết bị đầu cuối
Đối tác phải cài đặt phần mềm diệt virus hoặc hệ thống ngăn chặn xâm nhập máy chủ (HIPS) để đảm bảo an toàn cho thiết bị đầu cuối. Việc quét bảo mật cần được thực hiện thường xuyên, và các chính sách về virus cần được cập nhật mới nhất.
Chuẩn mực bảo mật
Đối tác phải áp dụng một loạt các biện pháp bảo mật tại nơi làm việc thông qua quản lý miền (domain control) hoặc các công cụ bảo mật khác để đảm bảo an toàn cho hoạt động vận hành hàng ngày. Chẳng hạn như các yêu cầu mật khẩu tối thiểu (chữ hoa/chữ thường, độ dài, ký tự đặc biệt, v.v.), Xác thực đa yếu tố (MFA) cho các tài khoản quản trị, tự động khóa màn hình sau một khoảng thời gian (ví dụ 15 phút), đào tạo nâng cao nhận thức định kỳ, v.v.
Bảo vệ dữ liệu
Đối tác phải có một chính sách Kiểm soát truy cập được công bố. Đối tác cần mã hóa tất cả dữ liệu cá nhân khi lưu trữ (at-rest) bằng ít nhất AES-256 hoặc RSA-1024 trở lên, và dữ liệu khi truyền (in-transit) bằng TLSv1.2 trở lên.
Kiểm soát truy cập
Đối tác phải có một chính sách Kiểm soát truy cập được công bố dựa trên nguyên tắc "Cần-phải-biết" (Need-to-know) và "Đặc quyền tối thiểu" (Least-privilege). Nhân viên và nhà thầu cần được cấp quyền dựa trên các vai trò cụ thể. Nhật ký truy cập hệ thống cần được lưu giữ và đặc quyền của người dùng đối với các hệ thống của công ty cần được rà soát ít nhất mỗi năm một lần.
Quản lý lỗ hổng:
Đối tác phải có các biện pháp bảo mật để đảm bảo các mối đe dọa được giám sát, theo dõi và khắc phục liên tục. Việc quét lỗ hổng hoặc kiểm thử xâm nhập cần được thực hiện và các báo cáo cần được lưu giữ.
Quản lý sự cố
Đối tác phải có một chính sách ứng phó sự cố được công bố. Các buổi diễn tập sự cố cần được thực hiện ít nhất mỗi năm một lần để kiểm tra tính hiệu quả của các quy trình khôi phục. Các báo cáo sự cố cần được ghi nhận đầy đủ để phục vụ rà soát.
Ghi chú
Quá trình đánh giá thông thường sẽ mất 2 tuần. Chúng tôi khuyến nghị bạn cung cấp thêm chi tiết để đẩy nhanh quá trình phê duyệt. Nếu ứng dụng của bạn bị từ chối, vui lòng tham khảo các nhận xét của người đánh giá để cung cấp thêm thông tin.
Xin lưu ý, không có nội dung nào được đề cập trong trang này nhằm thay thế các yêu cầu bảo mật tối thiểu như đã nêu trong Developer Terms of Service cũng như không cấu thành tư vấn pháp lý. Nếu bạn có thêm câu hỏi, vui lòng gửi một ticket:
- Đối với các đối tác tại Hoa Kỳ, hãy sử dụng Support tickets for US.
- Đối với phần còn lại của thế giới, hãy sử dụng Support tickets.
Như một lời nhắc cuối cùng, bạn sẽ không thể ra mắt một app trên TikTok Shop App Store nếu chưa hoàn thành quy trình đánh giá bảo mật dữ liệu và quyền riêng tư. Không có ngoại lệ.