【记一次亚马逊普华永道审计流程-SPAPI审计】记录一次亚马逊开发者账号ISG安全审计的全流程-普华永道团队进行审计亚

1、2025年2月21日收到审计邮件

1.01.png

1.02.png

2、2025年2月25日未及时关注注册开发者的邮箱导致一直未回复

2.01.png

3、2025年3月4日亚马逊警告邮件-依旧未回复

3.01.png

4、2025年3月13日APP正式被亚马逊开发者商店下架

4.01.png

停用影响:  APP从亚马逊官方商店下架，无法继续授权新店铺使用。
停用原因:  注册开发者账户所填写的邮箱与店铺邮箱不一致，导致长期未能及时关注平台通知。
停用时间:  2025年3月13日   
停用流程： 
2025年2月25日     普华永道（PWC）发送第二封提醒邮件；
2025年3月4 日     亚马逊官方发送第三封警告邮件；
2025年3月13日     亚马逊发送正式下架通知邮件，APP被正式停用，同时向使用我们系统的客户发送邮件通知，提醒客户尽快更换APP。

5、2025年3月14日在收到停用邮件后，才发现审计邮件并进行回复

5.01.png

1)收到下架通知邮件后，第一时间登录亚马逊应用商店确认，发现我们的应用已被正式下架，且无法继续授权新店铺。 2)随后，定位到注册开发者账户使用的邮箱，及时对相关审计邮件进行回复，启动后续处理流程。

6、2025年3月14日亚马逊收到邮件后进行回复

6.01.png

7、2025年3月17日普华永道发送视频会议邀请

7.01.png

8、2025年3月17日主动推迟会议日期

8.01.png

1)由于当时正在进行亚马逊上传流程接口的更新，新接口采用JSON格式，且原接口计划于2025年3月31日停用 2)为确保系统平稳过渡并避免影响审计进度，我主动申请推迟第一次视频会议时间，并成功获得普华永道审计团队的同意

9、2025年3月17日申请 APP恢复上架商店

1)由于此前未能及时回复审计团队邮件，导致APP被亚马逊下架，并暂停新店铺授权。
2)目前已成功与亚马逊安全团队建立联系，并与普华永道审计团队确认了第一次视频会议时间，但APP仍处于下架状态，暂时无法新增授权。
3)为加快恢复进程，集中整理一套数量庞大、内容复杂的证据资料提交申请，推动APP重新上架，避免进一步影响业务运营。

10、2025年3月21日 APP恢复上架商店

10.01.png

11、2025年3月25日申请更换注册开发者邮箱为店铺邮箱

1)由于注册开发者账号时填写的邮箱与店铺绑定邮箱不一致，导致未能及时接收亚马逊安全团队的相关邮件。
2)为此，我方曾咨询亚马逊安全团队是否可将开发者邮箱更换为与店铺绑定一致的邮箱，但被告知需自行在开发者资料中更新。
3)考虑到修改邮箱将触发开发者资料更新，可能导致PII（个人身份信息）访问权限的重新审核，存在一定风险，因此最终决定不进行修改。
4)目前，已将现有开发者邮箱交由运营团队专人负责，确保后续能够及时监控并处理来自亚马逊的所有通知邮件。

11.01.png

12、2025年3月31日参加第一次视频会议

1.本次会议相对比较简单会随机问3-5个常规问题

1)之前是否进行过审计？ 
2)公司地址是哪里,官网是什么？ 
3)公司的客户有哪些 
4)介绍下对于SP-API的使用情况 
5)介绍下SP-API的数据存储政策

2.讲解本次审计的流程

按照PPT进行讲解本次审计流程 【收到审计通知】-->【第一次视频会议】-->【提交审计资料】-->【第二次会议】-->【补充资料】-->【提交审计报告到亚马逊】-->【亚马逊审查报告】-->【提出需要整改意见反馈】-->【提交整改措】-->【审计完成】

3.回复问卷的注意事项

打开问卷进行讲解注意事项和回复要求 如:
针对问卷内容:
1)问卷内容不能填空, 无需回复的项目需统一填写“不适用”。
2)渗透测试
黑盒测试：需由具备资质的第三方公司手工测试出具报告。
白盒测试：可由公司自测，使用如阿里云工具进行静态测试和动态测试，并形成白盒测试报告。
3)安全政策
涉及26项信息安全政策，需在问卷中明确标注每项内容所对应的附件位置（例如：“信息安全：参考附件31.01-信息安全.pdf”）。
4)数据共享
若涉及第三方合作（如物流公司），需在相关问卷问题（如第94题）如实填写，说明与第三方共享的PII信息及数据传输方式（如API方式）。

1)所有证据材料必须以附件形式单独提交，不得直接插入邮件正文。
2)附件统一进行加密处理，并使用ZIP格式打包。
3)解压密码需在附件发送后，另起一封新邮件单独告知，不可在发送附件的同一封邮件中透露。
4)单个附件若超过20MB，应分拆为多封邮件发送，确保单封邮件大小合理。
5)附件命名要规则 以问题编号为前缀 格式示例: 第30个问题对应的附件命名为：30-xxxx.pdf

4.约定资料提交截至日期

2025年4月21日前提交

5.第二次视频会议日期

2025年4月24日下午14.00

6.总结

此次视频会议内容较为简单，主要集中在审计人员对审计流程的讲解、问卷填写要求的说明， 以及附件提交格式的详细说明。

13、2025年4月14日开始整理资料

1)整理问卷问题的回答 本次问卷共包含103个问题。根据之前10几次的审计经验,我对现有资料进行了系统整理、归纳与更新， 确保每个问题的回答更加符合当前审计要求，并能够准确反映实际操作场景。

2)整理问卷内容中的证据 本次审计需提交的证据材料共计53个文件。由于审计人员特别关注渗透测试、数据共享和漏洞管理等方面， 我对这些内容进行了重点补充、更新和优化，确保证据材料的完整性、规范性及充分性。

3)整理耗时情况
在第一次视频会议中了解到，负责此次审计的人员具有开发背景，现为网络安全工程师，对安全细节了解深入，审计要求明显高于以往。为此，从4月14日至4月19日，我专注于对所有材料的集中整理，历时一周，力求确保材料充分、专业，并符合更高的审计标准。

14、2025年4月19日提交问卷和证据

经过一周的问卷填写和证据整理,将100+MB的证据分7次发送,提交至普华永道审计团队

15、2025年4月24日第二次视频会议（重点）

此次会议为整个审计中最难的部分,主要会对问卷和证据进行核实

1.会议准备

1)预约的4月24日（周四）14:30 -- 16.30 2)建议提前半天进行视频设备测试，确保设备音视频功能正常

2.会议重点内容

1)问题填写错误
	亚马逊要求的是****，你们目前的做法是不合规的，需要进行整改
2)证据真实性核实
	渗透测试报告是哪家第三方公司出具的，是否拥有出具渗透测试报告的资质，测试用时多久
	你们项目数据存储在哪里，是否进行整体加密,加密使用的算法是什么
	你们的MFA双重认证用的是什么谷歌验证器还是手机号验证码
	你们对亚马逊数据进行访问的部门有哪些，目的是什么，用户姓名和职位是什么
3)填写不完整的部分
	审计人员可能指出证据不足以支撑回答，要求补充**报告、**合同、**截图等材料
	对于漏洞扫描需要追加：静态、动态、开源库三类扫描报告
	追加安全培训实际使用的资料和会议记录
	追加提供客户合同和发票样本

3.补充资料

视频会议结束后，审计人员会将问题反馈整理到问卷中，使用红色标注指出然后把问卷发送给你, 里面包含具体问题需要进行的操作,明确指出需要整改的问题、标明因证据真实性不足需重新提交的新证据、 指出需追加补充材料的问题

15.01.png

16、2025年4月26日提交补充资料

1)目前已按要求完成所有补充材料的提交，等待普华永道团队提交报告给亚马逊安全团队， 接下来，将正式进入与亚马逊安全团队的直接交锋阶段。

2)虽然此次审计人员是我遇到过最具安全经验的职业哥，且具备技术开发背景的退伍老兵， 但是我材料准备充分，方案严谨，正如良剑在手，锋芒未减,让他知道我的的宝剑未尝不利。 此次审计，势在必得！

16.01.png

17、2025年4月28日准备转战亚马逊安全团队

17.01.png

1)普华永道审计团队已确认收到我方提交的补充材料，现正完善审计报告，随后将提交至亚马逊安全团队。
2)随着普华永道审计团队阶段性工作的完成，接下来的审计流程将正式进入与亚马逊安全团队的直接交锋阶段。

18、2025年5月6日PWC将报告正式提交到亚马逊安全团队

18.01.png

18.02.png

19、2025年5月10日亚马逊安全团队审计

19.01.png

20、2025年5月10亚马逊安全团队根据报告提出风险项

20.01.png

21、2025年5月13写poa和提交证据

21.01.png

21.02.png

1)由于提交给普华永道的资料时，第三方的测试报告尚未完成，所以没有提交
2)以上三个高风险问题均为渗透测试方面， 需要提交3个不同主题的渗透测试报告
3)第三方报告总算出来了 今日提交行动计划书+报告！
4)提交前3个问题状态为等待第三方(我们)
5)提交后3个问题状态改为等待评审员(亚马逊安全团队审计人员)

22、20250514通过亚马逊安全团队的审核，等待通过审计邮件

22.01.png

22.02.png

22.03.png

1)针对问题写的行动计划书(poa)+提交了第三方出具的3份渗透测试报告 2)目前3个风险项目已经完成整改通过了亚马逊安全团队审计人员的确认 3)没想到现在亚马逊回复这么快去年都要一周左右才回复 确实是个惊喜 4)接下来就只用等待通过审计的邮件喽 开心~

23、20250514 审计完成 √

23.01.png

非常开心，终于顺利通过了本次审计！

这一路走来，过程中的艰辛与压力，恐怕只有亲历者才能真正体会。

这次审计共涉及103项问题，涵盖技术架构、权限管理、数据合规、日志审计等多个维度，
几乎每一项都需提交详尽的证据与专业答复，整个准备过程既复杂又高强度。

更具挑战的是，今年的审计由一位在职网络安全工程师主导。
第二次视频会议时，他逐条带着问卷和证据清单，对每个问题都进行了深入细致的追问，毫无松懈，
完全不同于以往相对流程化的审核，是一次真正意义上的专业审计。

资料准备难度也不小。尽管有之前多次审计的资料作为基础，光是补充本次问卷及配套证据就花费了一整周时间。
整个审计周期持续数月，从问题答复到整改复核，节奏紧凑，几乎每天都处于高压状态。

此外，还有部分审计项明确要求由第三方出具正式报告，如渗透测试、漏洞扫描等。
这类服务不仅价格高昂，交付周期也难以保障。
期间我们多次与第三方反复谈判价格、协调进度，甚至多次亲自上门催促，才勉强赶上审计节奏。

所幸一切努力终有回报，所有整改任务圆满完成，最终顺利通过审核。

最后，衷心祝愿大家今后的审计工作都能顺利完成！

【记一次亚马逊普华永道审计流程-SPAPI审计】

1、2025年2月21日 收到审计邮件