淘寶台灣開放平台開發者項目《數據保護政策》

 

1.目的和範圍

1.1此淘寶台灣開放平台開發者項目數據保護政策（下稱本政策）規定了您和您的全體人員必須遵守並維護的最低數據保護和信息安全標準，以保護受保護的數據免遭未經授權的使用、存取、披露、盜竊、操縱、複製、任何安全性漏洞或違規行為。

1.2您應完全確保在您和您的人員不定期執行本政策所涵蓋的任何行為時，您的用戶同意並遵守本政策。您的任何人員或用戶的任何違反本政策的行為或疏忽都將視為違約行為。在任何此類違約的情況下，（i）淘寶台灣可以終止您對平台的使用；並且（ii）如果違約行為構成安全違規，平台可能要求您賠償，保護淘寶台灣使其免受與該違約有關的所有責任、成本、損害、索賠和費用。

 

2.定義

“數據中心”是指為了支援您的應用程式而提供數據處理或傳輸功能的任何位置，不論該位置屬於您或第三方。

“數據主體”是指個人數據主體。

“事件”是指對淘寶台灣內容安全性的任何損害、威脅或破壞，包括但不限於對淘寶台灣內容的一切實際或疑似（i）濫用；或（ii）未經授權的存取或試圖存取。

“處理”是指對數據執行的任意操作，無論是否通過自動方式運行，包括但不限於蒐集、記錄、組織構建、結構化、存儲、變更、檢索、諮詢、使用、披露傳輸、傳播，或以其他方式排列或組合、限制、刪除或銷毀，應據此解釋術語“處理”。

“受保護數據”是指通過您的應用程式傳輸的淘寶台灣內容和蒐集的一切個人數據。

“章節”是指本政策中的章節。

“安全違規”是指包含淘寶台灣內容的任何系統（包括您或您的人員使用的任何系統）的任何實際或疑似的損害、威脅或安全性漏洞，例如，任何（i）濫用；（ii）損失；（iii）破壞；或（iv）未經授權查詢存取、蒐集、保留、存儲或傳輸淘寶台灣內容。

“資訊安全管理人員”依據第4.3節之定義。

“數據處理人員”是指您委託處理淘寶台灣個人數據的任何廠商或人員。

“系統”依據第5.1條之定義。

“條款”是指淘寶台灣開放平台開發者協議之條款。

 

3.存取限制數據

在任何情況下，您或您的任何人員均不得訪問、接收、傳輸、處理或存儲（或試圖進行上述任何一項操作）任何高度敏感或受監管的信息（i）淘寶台灣依照需要使用的基礎上限制特定權限，和（ii）對其的存取可能會對淘寶台灣和淘寶台灣客戶有不利的經濟或聲譽影響。

 

4.安全管理

4.1您將制定、實施、維護和執行書面信息保密和安全計劃，該計劃：

（a）遵守淘寶台灣不定期制定的行業認可規範；

（b）包括合理設計用於保護淘寶台灣內容和個人數據（資料）的機密性、完整性和可得性在管理上、技術上和物理實體上的保障；

（c）適合您業務運作的性質、規模及複雜性；和

（d）遵守您開展業務所在地理區域的適用法律。

 

4.2如果您將提供任何產生不利影響的安全程式，此屬於重大變更信息，此類詳細信息必須在實施更改之前十（10）個工作日內，以書面形式（通過第9節中提供的電子郵寄地址）通知淘寶台灣。

 

4.3您將指定一名人員（“資訊安全管理人員”）負責監督和執行您的安全計劃，並負責與淘寶台灣就信息安全事宜進行溝通。根據淘寶台灣的要求，資訊安全管理人員將向淘寶台灣提供一個或多個指定代表，共同討論資訊安全問題（如發現漏洞、披露風險、報導問題），並傳達相關的風險級別及其補救措施。資訊安全管理人員或指定代表的的任意變更，必須在二十四（24）小時內以書面形式（通過第9節中提供的電子郵寄地址）通知淘寶台灣。

 

4.4您應確保您的每位人員：

（a）在被允許訪問淘寶台灣內容之前，同意並遵守本政策；

（b）始終遵守本政策；

（c）給予一切合理資源和培訓以遵守本政策；

（d）始終根據專業機構、代理機構或從事類似服務的業務機構所採用的最佳行業和專業標準及慣例，及時、勤勉、謹慎和熟練地提供服務。

 

5.邏輯安全

5.1本節中的邏輯安全流程適用於您或您的人員於訪問、存儲或維護任何受保護數據的系統，包括任何第三方託管系統，以及通過任何形式的介面可以連接到淘寶台灣內容的系統（統稱為“系統”）。

 

5.2您和您的人員應持續採用以下訪問管控機制：

（a）防止未經授權而查閱受保護的資料數據；

（b）在最小夠用原則的基礎上，限制您的人員查閱受保護的資料數據；

（c）僅在本條款允許的範圍內取得信息和資料數據；和

（d）能夠檢測、記錄和報告（i）對系統的訪問；以及（ii）任何違反或試圖破壞系統安全的行為。

 

5.3

 

5.4您的每個員工必須擁有獨立個人帳戶，以驗證該個人對受保護數據的存取權限，不得允許共用帳戶。

 

5.5您必須根據行業標準和最佳方案來配置存取監控和密碼。

 

5.6您每年至少要檢查一次受保護數據的系統存取監控、與該系統相關的存取流程，包括建立和刪除個人帳戶的流程，應記錄在您的書面信息保密和安全計劃中（在上文第4.1節中提及）。

 

5.7您將需要二次身份驗證，才能遠程存取資料存儲、傳輸或包含受保護數據的網路。

 

5.8為確保電信和網路安全，您應採取以下措施：

（a）在您的應用程式、網站的操作中部署適當的防火牆技術，並使用行業標準的加密技術保護和驗證淘寶台灣之間的流量；

（b）每年審查防火牆規則集，以確保刪除舊規則並正確配置現行規則；

（c）部署入侵偵測和防禦系統，以生成、監測和響應可能表明網路和/或主機潛在威脅的警報；

（d）部署日誌管理解決方案，並將防火牆和入侵偵測系統生成的日誌保留至少一（1）年；

（e）建立並維護適當的網段，以限制對存儲受保護數據的系統的網路訪問，並禁止任何從公共網路直接連接到存儲淘寶台灣內容的網段。

（f）在部署無線網路時，您須設定並維護無線網路的使用、配置和管理，以滿足以下規定：

（i）所有無線設備均須使用適當的控制裝置加以保護，以最大程度地減少被盜、未經授權使用或損壞的風險；

（ii）對無線網路的網路訪問應僅限於授權者；

（iii）接入點應使用閘道設備從內部有線局域網中分段；

（iv）服務集標識符（SSID）、管理員用戶ID、密碼和加密密鑰應更改預設值；

（v）使用業界標準的加密演算法，啟用所有無線連接的加密；

（vi）如果受支援，應啟用無線設備上的審核功能，並由指定人員或無線入侵防禦系統定期檢查所生成的日誌。日誌必須保留至少九十（90）天

（vii）如果網路管理不需要SNMP (Simple Network Management Protocol)，則應將其禁用。如果為網路管理目的而需要SNMP，則SNMP應是唯讀的，並帶有適當的存取控制，禁止無線設備請求和檢索信息，並更改所有預設的字符串；

（g）至少每季度維護一項計劃，以檢測惡意接入點，以確保僅授權無線接入點設置；如果尚未部署無線解決方案，則仍需要執行此季度審核，以確保沒有使用用戶部署的無線接入點。

 

5.9所有網站和服務器都將運行最新版本的行業標準防毒軟件，並在每個網站或服務器上提供最新的更新，病毒定義應在防毒軟件供應商發佈後的二十四（24）小時內進行更新。 您將配置此設備，並具有支援策略，以禁止用戶禁用防毒軟件、更改安全配置或禁用其他保護措施，以確保淘寶台灣或您的計算環境的安全。

 

6.系統開發與維護

6.1您應維護所有處理或存儲受保護數據的所有應用程式的整體系統、網路和應用程式體系結構、數據流、過程流和安全功能的文檔。在開發處理或存儲受保護數據的應用程式時，必須採用文檔化的安全程序設計指南、標準和協議。您應負責驗證所有開發人員都已成功接受過有關安全程序設計技術的培訓。您的人員必須接受所有當前應用程式漏洞的培訓，包括如何識別這些問題以及如何對其進行修復。

 

6.2對於根據本條款或您的任何應用程式提供的服務，您將採用有效的、文件化的變更管理程式。這包括為所有開發和測試在邏輯上或物理上與生產環境剝離，在非生產環境中不會傳輸、存儲或處理任何受保護的數據。

 

6.3您必須至少每季度運行一次內部和外部網路漏洞掃描，並且在網路配置發生任何重大變化之後進行。您發現漏洞時必須在發現後九十（90）天內進行修復。

 

6.4對於所有蒐集、傳輸或顯示淘寶台灣內容的面向互聯網的應用程式，您同意每年進行一次應用程式安全評估審查，以識別由業界認可的組織確定的常見安全性漏洞，以及所有主要版本。安全評估的範圍主要集中在應用程式安全性上，包括但不限於應用程式的滲透測試以及代碼審查。

 

6.5對於所有蒐集、傳輸或顯示淘寶台灣內容的移動應用程式，您同意進行應用程式安全評估審查，以識別和修復特定於移動應用程式的行業公認的漏洞。

 

6.6您必須使用合格的第三方來進行應用程式安全性評估。您也可以選擇自己進行安全評估檢查，前提是您的人員進行了充分的培訓，並遵循行業踐行標準，並且評估過程由淘寶台灣以書面形式進行審核和批准。您發現漏洞時應在發現後九十（90）天內進行修復。

 

6.7您將根據修補程序的緊急程度確定的時間表，使用部署在計算環境中的所有作業系統、數據庫和應用程式對所有網站和服務器進行修復。您必須執行適當的步驟，以説明確保修補程式不會損害正在修補的信息資源的安全性。您必須儘快應用所有緊急或嚴重額定修補程序，不得超過三十（30）天的發佈日期。

 

7.電子郵件安全性：

如果您要向用戶發送電子郵件，則將使用適當的電子郵件身份解決方案。 如果您使用淘寶台灣擁有的域名來發送電子郵件，則將遵守淘寶台灣電子郵件安全要求，此要求將按需提供。

 

8.安全評估和審核：

8.1您應在合理通知的情況下允許淘寶台灣（或其指定方）檢查您的數據處理設備、程式和文件，以確保遵守適用法律、本政策或您與淘寶台灣之間的任何協議。

 

8.2您應充分配合審核請求，向淘寶台灣提供相關專業人員、場所、文檔、基礎設施和應用程式軟體的存取權限。

 

9.事件響應和通知程序

9.1您將維護事件響應功能，以識別、減輕事件的影響並防止事件再次發生。一旦發現或以其他方式意識到可能會危害淘寶台灣內容的事件和/或安全性漏洞，您應採取一切合理措施減輕事件的有害影響。您還應在切實可行的情況下儘快將安全性漏洞通知淘寶台灣，任何情況下不得遲於安全性漏洞發生後二十四（24）小時內，將郵件發送至api@claddagh.com.tw。此類通知應包括：

（a）在事件期間已被使用、存取、獲取或披露，或被合理地認為被使用、存取、獲取或披露的淘寶台灣標識的內容；

（b）對所發生事件的描述，包括事件發生的日期和發現事件的日期（如果已知）；

（c）事件的範圍，包括涉及事件的淘寶台灣內容類別型的描述；

（d）您對事件的響應的描述，包括為減輕事件所造成的損害而採取的步驟；和

（e）淘寶台灣合理要求的其他信息。

 

9.2您必須確保，通過在淘寶台灣審查並批准通知的語言和方法後，淘寶台灣自行決定是否通知該第三方，或通過淘寶台灣允許通知該第三方。您同意承擔任何此類通知的費用，包括補償淘寶台灣為受影響的數據主體提供信用監控的任何合理的費用。

 

9.3您將無限期地保留與已知和報告的事件或調查相關的所有數據，或者直到淘寶台灣通知您不再需要該資訊為止。根據淘寶台灣的要求，您將允許淘寶台灣或其第三方審核員查看和驗證與事件調查有關的記錄、訪問日誌和數據。完成針對事件的調查、糾正和補救措施後，您將準備並向淘寶台灣提交一份詳細描述如下的最終報告：

（a）事件的範圍；

（b）淘寶台灣內容披露、銷毀或以其他方式受到損害或更改；

（c）所有支援證據，包括但不限於系統、網路和應用程式日誌；

（d）所有糾正和補救措施均已完成；和

（e）為減少進一步發生事件的風險而採取的一切努力。

 

10.儲存、處理和處置：

10.1您將在物理上或邏輯上將淘寶台灣內容與其他客戶的數據剝離。

10.2您將利用行業標準的加密演算法和密鑰強度來加密：

（a）在所有公共有線網路（例如互聯網）和所有無線網路上傳送的所有受保護的電子數據；

（b）具有不可逆行業標準演算法的密碼，在編碼前將隨機生成的“salt”添加到輸入字符串中，以確保不同用戶選擇的相同密碼文本會產生不同的編碼；

（c）在數據中心以外使用的任何行動設備（例如筆記型電腦、台式平板電腦），以便根據本條款或您的任何應用程式提供任何服務。

 

10.3在您操作數據中心或使用第三方數據中心的情況下，您必須遵守下列一項或多項行業標準所概述的安全控制措施：ISO 27001、SSAE 16或ISAE 3402,或PCI-DSS。

 

10.4除非適用法律禁止，否則（i）條款終止時；（ii）就本條款而言，不再需要任何受保護的數據；或（iii）在任何時候，應淘寶台灣的書面請求，您將：

（a）立即從您的環境中刪除受保護的數據，並在合理的期限內銷毀，但在任何情況下不得超過三十（30）天，

（b）按照第10.5章節的要求，對用於存儲受保護數據的所有媒體進行清理或銷毀；以及

（c）根據要求向淘寶台灣提供有關此類移除、破壞和/或清潔的書面證明。

 

10.5如果您認為不再需要繼續保存相關受保護數據，或者在保護數據的時間/持續時間/時間限制上超出了行業最佳實踐建議，則您將處理相關受保護數據。受保護的數據應以一種防止數據恢復的方法處理，這種處理方法應符合根據行業標準和最佳方案。您將銷毀任何包含受保護數據的設備，保證數據已損壞或無法使用。所有受保護的數據都必須呈現為無法讀取和不可恢復，無論形式（物理的或電子的）。

 

11.所有權和使用

11.1您承認並同意，除條款中明確允許的或淘寶台灣書面授權內容外，您沒有淘寶台灣內容的所有權或使用權。為免生疑問，您無權複製、使用、再生產、展示、執行、修改或轉讓淘寶台灣內容或其任何衍生內容，除非條款中明確規定或淘寶台灣書面明確授權。

 

11.2您承認並同意，除條款中明確規定的用途外，您不會出於任何目的使用（或允許任何第三方使用）淘寶台灣內容。

 

12.支付信用卡行業合規性

12.1本條適用於您在根據條款或您的任何應用程式提供服務的過程中，您傳輸、處理、管控、訪問、維護或存儲信用卡持有人的信息的情況。

 

12.2您應遵守並制定一項計劃，以確保您繼續遵守或與需要遵守支付相關法令的第三方支付處理服務提供者達成協議。如果需要，您必須在訪問相關的淘寶台灣API之前提供審核證據，以證明符合前述規範。

 

12.3您必須始終遵守本第12節的規定。此要求在本條款終止後繼續有效，直到您歸還、銷毀其持有、保管或控制的任何和所有信用卡持有人的信息被銷毀。

 

12.4您將根據要求向淘寶台灣提供完全遵守相關法令的資訊。

 

13.有效期

您在本政策項下的義務和淘寶台灣的權利自本條款生效之日起生效，並將持續有效，直至本條款終止，以及在此期間您和您的人員擁有或訪問任何受保護數據權限。

 

14.個人數據處理

14.1您須根據適用法律處理個人數據，並始終維護並確保遵守適用法律最低標準的保密政策。

14.2在與淘寶台灣共用任何個人數據之前，您應確保已適當通知數據主體並已同意淘寶台灣的隱私保護措施。您保證您具有合法的依據和足夠的權利來蒐集和共用淘寶台灣的個人數據。

14.3以下條款應適用於處理從淘寶台灣內容中獲得或衍生的個人數據：

（a）對於您與淘寶台灣之間的此類個人數據，您是數據仲介，應代表淘寶台灣按照本政策處理個人數據。

（b）您僅應按照條款和淘寶台灣的書面說明，根據開發、操作和維護您的應用程式所需的範圍和方式處理個人數據。如果您有理由認為適用法律之間存在衝突，或淘寶台灣的指示與任何適用法律存在衝突，您將立即通知淘寶台灣並真誠合作以解決衝突，以及按照指示完成目標。

（c）您得授權數據處理人員，但前提是您（i）與數據處理人員規定的數據保護義務（至少與本政策的義務一樣）嚴格達成協議，（ii）承諾應要求立即提供上述協議的副本給淘寶台灣，並且（iii）對任何不符合本政策要求的數據處理人員的作為或不作為承擔責任。

（d）您不得違反適用法律，導致或允許任何個人數據跨境傳輸。受適用法律限制的個人數據跨境傳輸應事先獲得淘寶台灣的書面同意。為避免疑問，此傳輸限制並不適用於淘寶台灣人員訪問個人數據。

（e）在法律允許的範圍內，您應在收到向任何第三方請求、要求或強迫提供個人數據的命令、要求後，立即以書面形式通知淘寶台灣。未經淘寶台灣至少提前四十八（48）小時的通知，您不得向第三方披露個人數據，以便淘寶台灣全權行使其在適用法律下的權利，以防止或限制此類披露。儘管有上述規定，您將在商業上做出合理的努力，以防止和限制任何此類披露，並以其他方式保護個人數據的機密性；此外，對於根據此類命令、要求或其他檔要求採取的任何行動，您將與淘寶台灣合作，包括獲得適當的保護性命令或其他可靠保證，以確保對個人數據進行保密處理。

 

FAQ

关于此文档暂时还没有FAQ