‏تطوير تطبيق Meta‏

أفضل ممارسات المطوّرين لأمان البيانات

إذا كنت تستخدم المنصة كمطوّر، فأنت مسؤول عن تأمين بيانات المنصة بطريقة تلبي معايير المجال أو تفوقها نظرًا إلى حساسية البيانات. فيما يلي أدناه بعض المبادئ الرئيسية وأفضل الممارسات في المجال التي قد يجدها المطوّرون مفيدة عند اتخاذ قرارات بشأن التدابير الأمنية لبيانات المنصة. يتم توفير أفضل الممارسات هذه كإرشادات فقط ولا يمكن أن تضمن أنك تلبي الالتزامات بموجب شروط منصة Meta، حيث إنها لا تغطي (ولا يمكنها تغطية) كل السيناريوهات التي يمكن تصورها. يعتمد ما إذا كنت قد استوفيت معايير المجال أو تجاوزتها على مدى حساسية بيانات المنصة التي يمكنك الوصول إليها و/أو معالجتها والظروف الفنية الفريدة.

المبدأأفضل الممارسات

تأمين الاتصالات (البيانات أثناء النقل)

  • استخدام مصادر الشهادات الموثوقة (CAs)
  • التأكد من تكوين الشهادات بشكل صحيح
  • استخدام أحدث إصدارات ممكنة من بروتوكول أمان طبقة النقل (TLS)
  • فرض التشفير على كل اتصالات الشبكة
  • الاختبار للتحقق من أن اتصالات الشبكة لا ترسل بيانات عن طريق الخطأ بشكل واضح
  • التحقق من أن بيانات التعريف في عناوين HTTP لا تتضمن معلومات شخصية

تأمين البيانات في حالة السكون

  • استخدام التشفير القياسي؛ عدم اللجوء إلى التشفير الخاص أو الاعتماد على تشفير البيانات أو إخفائها
  • تمكين أي عناصر تحكم على مستوى المنصة إن أمكن
  • التحقق من تشفير البيانات
  • حماية كل الأنظمة ضد البرامج الضارة

إدارة المفاتيح وكلمات السر

  • عدم تخزين كلمات السر في المتناول أو تضمينها في الرمز
  • عدم استخدام الإعدادات الافتراضية التي يوفرها البائع لكلمات سر النظام
  • استخدام أنظمة إدارة المفاتيح إن أمكن
  • وجود نظام لصيانة المفاتيح (التعيين والإلغاء والتدوير والحذف)
  • استخدام المصادقة الثنائية إن أمكن
  • توفير المصادقة الثنائية كخيار للمستخدمين

توظيف عناصر التحكم في الوصول وإدارة الحساب

  • فصل الأدوار والوظائف من خلال الحسابات وبيانات الاعتماد المختلفة
  • توفير نظام لصيانة الحسابات (التعيين والإلغاء ومراجعة الوصول والامتيازات والإزالة)

تطبيق التحديثات والتحسينات

  • توفير نظام للحفاظ على تحديث رموز النظام والبيئات، بما في ذلك الخوادم والأجهزة الظاهرية (VMs) والتوزيعات والمكتبات والحزم وبرامج الحماية من الفيروسات
  • وجود نظام لصيانة الأنظمة المتضمنة المسؤولة عن الإنتاج وتحسينها
    • مكتبات Core
    • خدمات الويب
    • خدمات الواجهة الخارجية

التحقق والتسجيل

  • وجود نظام فعال لتسجيل الوصول إلى بيانات المستخدم، وتتبع مكان إرسال بيانات المستخدم وتخزينها
  • التحقق من عمليات نقل بيانات المستخدم والنقاط الرئيسية حيث يمكن لبيانات المستخدم مغادرة النظام (مثل، الجهات الخارجية ونقاط النهاية العامة)

أمان التطبيق وتأمين واجهات API

  • التعرف على ممارسات أمان التطبيق الأساسية بما في ذلك
    • تقييم الأذونات واحتياجات البيانات (مواءمة الوصول إلى البيانات مع غرض الاستخدام)
    • اختبار واجهات API ونقاط النهاية بحثًا عن تسريبات البيانات
    • اختبار عمليات الإرسال إلى الجهات الخارجية ومنها بحثًا عن تسريبات البيانات
    • مسح التطبيق والرمز بحثًا عن عيوب الأمان الشائعة قبل النشر
  • التعرف على ممارسات الترميز الأساسية لمعالجة التحديات الأمنية الرئيسية
  • اختبار أنظمة وعمليات الأمان بشكل منتظم