商品信息360报告
简介
商品信息360报告是云商店提供给用户在购买商家软件(SaaS商品)的过程中的风险评估流程,商家通过商品信息360报告整合软件的安全和合规信息,共享给用户,帮助用户快速筛选符合行业标准的解决方案。
操作流程
商家商品信息360报告流程如下:
用户查看商品信息360报告流程如下:
支持上传的安全合规证明类型
|
安全合规类型 |
证书类型 |
含义 |
作用 |
|
三方证书或报告 |
网络安全等级保护测评 |
由公安部认证的机构对信息系统安全等级保护状况进行检测评估的活动 |
对信息系统进行定级、备案、建设/生产/运营符合性、测评、监督检查,保障信息系统安全稳定运行。 |
|
ITSS |
由中国电子信息行业联合会制定的信息技术服务管理的标准体系 |
实现标准化服务交付,提升运维效率并降低风险。 |
|
|
DCMM |
由中国信息通信研究院(CAICT)制定用于评估和规范数据管理能力的国家标准(GB/T 38339-2020) |
满足日益严格的数据安全、隐私保护(如 GDPR、《个人信息保护法》)等相关法规要求。 |
|
|
CCRC |
由公安部第三研究所运营的国家级权威信息安全产品和系统安全服务的指定认证机构和测评中心 |
对信息安全产品(如防火墙、入侵检测系统、加密设备、防病毒软件等)的安全性、可靠性进行测试和认证,颁发《信息安全产品认证证书》。 |
|
|
ISO27001 |
由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全管理的国际标准 |
保护其核心信息资产(包括商业秘密、客户数据、财务信息、知识产权等)的安全。 |
|
|
ISO27701 |
由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全管理体系(ISMS)扩展标准 |
确保组织处理个人隐私信息的方式符合相关法律法规(如中国的《个人信息保护法》、欧盟的《通用数据保护条例》GDPR)的要求,并保护个人的隐私权。 |
|
|
CSA STAR |
由云安全联盟(Cloud Security Alliance, CSA) 开发的一个全球性的、独立的云安全认证计划 |
帮助云服务提供商或云安全消费者(用户)证明其在云安全方面的投入和能力,验证其安全控制措施是否到位。 |
|
|
SOC2 |
是由美国注册会计师协会 (AICPA) 发布的一项 独立审计报告 |
证明服务提供商的系统在特定的安全和可靠性方面(如安全性、可用性、机密性等)的控制是有效的,满足合规需求。 |
|
|
华为云商店测试报告 |
SaaS安全扫描 |
由云商店上架关联SaaS网站的Web扫描报告 |
证明商品不包含CVSS评分≥7.0的高风险级别的漏洞和病毒,符合上架云商店安全标准3.0。 |
|
商家自测试报告 |
/ |
/ |
/ |
创建安全配置文件
- 登录“云商店 > 商品管理 > 商品信息360报告”,点击创建安全配置文件。
- 填写“安全配置文件名称、描述”。
- 点击“选择商品”,关联需要对外展示证书标签和证书信息的SaaS商品。
- 补充安全合规证明
- 三方证书或报告:点击“创建证书”,上传三方证书或报告,支持上传证书类型“等保、ITSS、DCMM、CCRC、ISO27001、ISO27701、CSA STAR、SOC2”。
- 华为云商店测试报告:无需手动补充,系统会自动读取该SaaS商品的云商店安全扫描报告。
- 商家自测试报告:点击“上传测试报告”,将测试报告文件或证书上传。
- 如SaaS商品的云商店安全扫描报告存在高危漏洞或者扫描不通过,将不会读取该内容,需要先按建议进行修复。
- 上传文件的格式支持:DOCX、PDF。
- 按需补充相关证书后,点击“提交审核”,提交之后工作人员会在3个工作日内审核。
- 审核通过后,关联的商品详情页将展示上传相关证书的标签。
更新安全配置文件
- 登录“云商店 > 商品管理 > 商品信息360报告”,点击“更多>修改”。
- 选择需要更新的内容,支持为:描述、三方证书或报告、商家自测试报告。
- 点击“提交审核”,提交之后工作人员会在3个工作日内审核。
失效安全配置文件
- 登录“云商店 > 商品管理 > 商品信息360报告”,点击“更多>失效”。
- 确认失效安全配置文件
- 配置文件失效后,关联的商品详情页将不再展示上传相关证书的标签。
- 配置文件失效后,已申请查看的用户不受影响。
审核客户访问申请
- 登录“云商店 > 商品管理 > 商品信息360报告”,点击“客户访问管理”。
- 点击“审核”按钮,查看用户预留的信息:公司名称、联系人、联系方式、申请目的,用于评估用户申请的用途。
- 根据评估的结果,点击“通过”或者“驳回”。
- 商家需要在3个工作日内完成审核。
- 如用户填写申请目的无法评估用途的合理性,请及时与用户联系沟通。
