1、2025年2月21日 收到审计邮件
2、2025年2月25日未及时关注注册开发者的邮箱导致一直未回复
3、2025年3月4日亚马逊警告邮件-依旧未回复
4、2025年3月13日APP正式被亚马逊开发者商店下架
停用影响: APP从官方商店下架,不能授权新店铺
停用原因: 由于此邮箱为注册开发者账户填写邮箱和店铺邮箱不一致,所以长期未关注
停用时间: 2025年3月13日
停用流程:
2025年2月25日 PWC发送第二封提醒邮件
2025年3月4 日 Amazon发送第三封警告邮件
2025年3月13日 Amazon发送下架APP邮件 正式停用,同时向使用我们系统的客户发送邮件提醒更换APP
5、2025年3月14日在收到停用邮件后,才发现审计邮件进行回复
1)收到此停用邮件后立即去应用商店查看我们的应用发现确认已被下架,且不能授权新的店铺
2)找到注册开发者的邮箱 对邮件进行回复
6、2025年3月14日亚马逊收到邮件后进行回复
7、2025年3月17日普华永道发送视频会议邀请
8、2025年3月17日主动推迟会议日期
由于当时正进行亚马逊上传流程的接口更新,且新接口采用了JSON格式,而且原接口的停用日期为3月31日,
因此我推迟了第一次视频会议的时间,并成功获得了普华永道审计团队的同意。
9、2025年3月17日 申请 APP恢复上架商店
此前由于未能及时回复审计团队邮件,导致APP被亚马逊下架,并停止新店铺授权。
目前已成功与亚马逊安全团队取得联系,并与普华永道审计团队确认了第一次视频会议时间,但APP仍处于下架状态,暂时无法新增店铺授权。
为加快恢复进程,现正整理一套数量庞大、内容复杂的证据资料,计划尽快提交申请,推动APP重新上架,以避免进一步影响业务使用。
10、2025年3月21日 APP恢复上架商店
11、2025年3月25日 申请更换注册开发者邮箱为店铺邮箱
由于注册开发者账号时使用的邮箱与店铺绑定邮箱不一致,导致未能及时收到亚马逊安全团队的邮件。
为此,咨询安全团队是否可以将开发者邮箱更改为与店铺绑定一致的邮箱,但被告知需自行在开发者资料中更新。
考虑到更改邮箱属于更新开发者资料,可能会触发对PII(个人身份信息)权限的重新审核,存在一定风险,因此最终决定不进行修改。
目前已将该开发者邮箱交由运营团队负责,确保及时监控并处理来自亚马逊的邮件通知。
12、2025年3月31日参加第一次视频会议
1.本次会议相对比较简单 会随机问3-5个常规问题
1)之前是否进行过审计?
2)公司地址是哪里,官网是什么?
3)公司的客户有哪些
4)介绍下对于SP-API的使用情况
5)介绍下SP-API的数据存储政策
2.讲解本次审计的流程
按照PPT进行讲解本次审计流程
【收到审计通知】-->【第一次视频会议】-->【提交审计资料】-->【第二次会议】-->【补充资料】-->【提交审计报告到亚马逊】-->【亚马逊审查报告】-->【提出需要整改意见反馈】-->【提交整改措】-->【审计完成】
3.回复问卷的注意事项
打开问卷进行讲解注意事项和回复要求 如:
针对问卷内容:
1)问卷内容不能填空, 不需要回复的要填写 不适用
2)渗透测试
需要第三方公司出具渗透测试报告(黑盒测试-需要第三方公司使用手动测试非自动工具跑出)
自己公司出具白盒测试报告(可以使用阿里云的自动工具)包含动态测试和静态测试
3)安全政策
问题有26个政策内容 需要详细表明每个内容在哪个附件中位置 如信息安全 参考附件31.01-信息安全.pdf
4)数据共享
如果有使用第三方物流商进行合作
则如94问题要如实填写 允许和第三方共享 物流公司共享订单PII,采用API方式进行传送
针对附件内容:
1)需要提供证据的内容,均以附件形式单独提交,不可直接嵌入邮件正文。
2)所有附件必须进行加密,并采用ZIP压缩格式打包
3)附件解压密码需在附件发送后,另起一封新邮件单独通知,不得在发送附件的同一封邮件中告知
4)单个附件若超过20MB大小,应拆分为多封邮件分别发送,确保每封邮件大小合理
5)附件命名要规则 以问题编号为前缀 格式示例: 第30个问题对应的附件命名为:30-xxxx.pdf
4.约定资料提交截至日期
2025年4月21日前提交
5.第二次视频会议日期
2025年4月24日下午14.00
6.总结
此次视频会议比较简单,重点在于审计人员对审计流程的讲解
13、2025年4月14日开始整理资料
1)整理问卷问题的回答本次问题一共103个 ,根据之前10几次的普华永道审计经验对既有资料进行了系统整理、归纳与更新,确保每个问题的回答更加符合当前审计要求和实际场景。
2)整理问卷内容中的证据本次需要提交的证据材料共计53个文件。由于本轮审计人员对渗透测试、数据共享及漏洞管理等方面特别关注,因此针对这几项内容进行了重点补充、更新和优化,确保证据材料的完整性和规范性。
3)整理耗时情况在第一次视频会议中了解到,负责此次审计的人员具有开发背景,现为网络安全工程师,对安全细节了解深入, 审计要求明显高于以往。为此,从4月14日至4月19日,共耗时一周对所有材料进行了集中整理,力求材料充分、专业、符合更高审计标准。
14、2025年4月19日提交问卷和证据
经过一周的问卷填写和证据整理,将100+MB的证据分7次发送,提交至普华永道审计团队
15、2025年4月24日第二次视频会议(重点)
此次会议为整个审计中最难的部分,主要会对问卷和证据进行核实
1.会议准备
1)预约的4月24日(周四)14:30 -- 16.30
2)建议提前半天进行视频设备测试,确保设备音视频功能正常
2.会议重点内容
1)对于问题填写错误的
亚马逊要求的是****,你们目前的做法是不合规的,需要进行整改
2)会对回答和证据的真实性进行核实
渗透测试报告是哪家第三方公司出具的,是否拥有出具渗透测试报告的资质,测试用时多久
你们项目数据存储在哪里,是否进行整体加密,加密使用的算法是什么
你们的MFA双重认证用的是什么谷歌验证器还是手机号验证码
你们对亚马逊数据进行访问的部门有哪些,目的是什么,用户姓名和职位是什么
3)对于填写不完整的
审计人员可能指出证据不足以支撑回答,要求补充**报告、**合同、**截图等材料
1)对于漏洞扫描需要追加:静态、动态、开源库三类扫描报告
2)追加安全培训实际使用的资料和会议记录
3)追加提供客户合同和发票样本
3.补充资料
视频会议结束后,审计人员会将问题反馈整理到问卷中,使用红色标注指出然后把问卷发送给你,里面包含具体问题需要进行的操作,明确指出需要整改的问题、标明因证据真实性不足需重新提交的新证据、指出需追加补充材料的问题
16、2025年4月26日提交补充资料
1)目前已按要求完成所有补充材料的提交,等待普华永道团队提交报告给亚马逊安全团队,接下来,将正式进入与亚马逊安全团队的直接交锋阶段。
2)虽然此次审计人员是我遇到过最具安全经验的专业人士--职业哥且有技术开发背景的退伍老兵,但是我材料准备充分,方案严谨,让他指导我的的宝剑未尝不利。此次审计,势在必得!
