抖音开放平台Logo
开发者文档
生活服务商家应用
“/”唤起搜索
控制台
  • 生活服务开放平台介绍
  • 技术服务商入驻指南
  • 基础配置
  • 验收准备
  • 测试验收
  • 联调验收
  • 压测验收
  • 安全验收
  • 应用上线
  • 商家对服务商授权
  • 授权管理
  • 排查工具
  • 联系技术支持
  • 常见问题

    • 功能介绍

    安全验收是应用上线前的合规审查环节。
    开发者需要按照平台要求,提供应用的安全相关信息。平台将通过系统化安全审计与风险评估,确保开发者应用符合平台安全基线要求及行业安全标准。

    前提条件

    已完成联调验收

    配置说明

    第一步:在解决方案接入详情页左侧导航栏选中测试验收-安全验收。
    第二步:选中目标安全验收项目,点击去填写按钮打开抽屉,按照平台的要求填写信息,填写完成后点击提交按钮保存。
    第三步:完成所有安全验收项目的信息填写后,点击页面下方的提交审核按钮进行提交,等待平台审核通过后即可完成安全验收。

    安全验收项

    安全验收项
    是否必选
    安全要求
    要求第三方提供的材料清单及示例
    填写可登录的测试账号
    必选
      提供技术服务商系统的访问URL
      提供可登录的测试账号和密码
      测试账号和密码:xxx、xxx
    加密存储身份凭证和敏感字段
    必选
      加密存储client_secret、client_token身份凭证,禁止硬编码或明文保存在代码中,禁止将client_secret传输给客户端
      加密存储从开放平台获取的身份证号、手机号、银行卡号、详细地址、姓名等敏感字段,推荐使用AES256/CBC/PKCS5Padding等高安全性算法
      加密存储代码截图
      数据库敏感字段加密存储样例截图
    脱敏展示敏感数据
    必选
    脱敏打码展示手机号、银行卡号、姓名、身份证号、详细地址等隐私字段,脱敏规则如下:
      姓名:保留姓氏,如赵**
      手机号:保留前3位+后4位,如186****0001
      身份证:保留前1位+后1位,如 1****************3
      详细地址:隐藏小区、楼宇名称及门牌号码,如北京市朝阳区北三环中路**小区**号楼**单元**
      脱敏打码展示截图
    保障账号安全
    必选
      登录/注册页面有口令强度的限制提示,登录口令长度至少8位以上,包含字母大写、字母小写、数字、特殊字符其中的三种或以上
      登录页面有图形/滑动验证码校验或IP访问频次限制,防止账号密码被批量暴力破解
      登录页面截图
    保障服务端应用安全
    必选
      要求接入Web应用防火墙(WAF)并开启防护
      最小化对外开放的端口,严格设置端口出入的防火墙规则,关闭非预期的、不明确功能目的的端口
      最近一个月的WAF拦截记录截图或购买凭证,可购买所使用云厂商的WAF(如火山引擎、阿里云、腾讯云等) 或 正规安全厂商所提供的WAF产品
      安全组规则截图或其他端口开放证明截图
      排查并确认未开放预期外的端口