Best Practices zur Datensicherheit für Entwickler*innen

Wenn du die Plattform als Entwickler*in nutzt, bist du dafür verantwortlich, die Plattformdaten so zu schützen, dass sie im Hinblick auf die Sensibilität der Daten den Industriestandards entsprechen oder diese übertreffen. Nachstehend findest du einige wichtige Grundsätze und Best Practices der Branche, die für Entwickler*innen bei Entscheidungen über Sicherheitsmaßnahmen für Plattformdaten hilfreich sein können. Diese Best Practices dienen lediglich als Orientierungshilfe und können nicht garantieren, dass du deinen Verpflichtungen im Rahmen der Plattform-Nutzungsbedingungen von Meta nachgekommen bist, da sie nicht alle denkbaren Szenarien abdecken (können). Ob du die Branchenstandards erfüllt oder übertroffen hast, hängt von der Sensibilität der Plattformdaten ab, auf die du zugreifst und/oder die du verarbeitest, sowie von deinen jeweiligen technischen Gegebenheiten.

GrundsatzBest Practices

Sichere Kommunikation (Daten bei der Übertragung)

  • Vertrauenswürdige Zertifizierungsstellen (CAs) verwenden
  • Sicherstellen, dass Zertifikate richtig konfiguriert sind
  • Die aktuellsten Versionen von TLS (Transport Layer Security) verwenden
  • Für alle Netzwerkverbindungen Verschlüsselung erzwingen
  • Testen, um sicherzustellen, dass Netzwerkverbindungen Daten nicht versehentlich im Klartext senden
  • Sicherstellen, dass Metadaten in HTTP-Headern keine personenbezogenen Daten enthalten

Daten im Ruhezustand

  • Standardverschlüsselung verwenden; keine eigene Verschlüsselung verwenden oder Daten kodieren oder unkenntlich machen
  • Alle Kontrollen auf Plattformebene aktivieren, sofern verfügbar
  • Verschlüsselung der Daten verifizieren
  • Alle Systeme vor Malware schützen

Schlüssel und Passwörter verwalten

  • Passwörter nicht in Klartext aufbewahren oder in Code einbetten
  • Keine vom Anbieter bereitgestellten Standardvorgaben für Systempasswörter verwenden
  • Schlüsselmanagementsysteme verwenden, sofern verfügbar
  • Ein System zur Verwaltung von Schlüsseln verwenden (Zuweisen, Widerrufen, Rotieren, Löschen)
  • Zweistufige Authentifizierung verwenden, sofern verfügbar
  • Benutzern die zweistufige Authentifizierung als Option anbieten

Zugriffskontrollen und Kontomanagement anwenden

  • Rollen und Funktionen mit verschiedenen Konten und Anmeldedaten trennen
  • Ein Kontoverwaltungssystem einsetzen (Zuweisen, Widerrufen, Überprüfen von Zugriff und Berechtigungen, Entfernen)

Updates und Patches anwenden

  • Ein System zur Aktualisierung des Systemcodes und der Umgebungen, einschließlich Servern, virtuellen Maschinen (VMs), Verteilungen, Bibliotheken, Paketen und Antivirus-Software/-Programme
  • Ein System für die Verwaltung und das Patchen von Produktionssystemen einsetzen, darunter
    • Kernbibliotheken
    • Webdienste
    • Nach außen gerichtete Dienste

Überwachen und protokollieren

  • Ein System zur Protokollierung des Zugriffs auf Nutzungsdaten einsetzen und dabei nachverfolgen, wohin Nutzungsdaten gesendet und wo sie gespeichert wurden
  • Übermittlungen von Nutzungsdaten und wichtige Stellen überwachen, an denen Nutzungsdaten das System verlassen können (z. B. Drittanbieter, öffentliche Endpunkte)

Anwendungssicherheit und Schutz von APIs

  • Vertrautheit mit grundlegenden App-Sicherheitspraktiken wie
    • Bewertung von Berechtigungen und Datenanforderungen (Ausrichtung des Datenzugriffs am Nutzungszweck)
    • Testen von APIs und Endpunkten auf Datenlecks
    • Testen von Übermittlungen an und von Drittanbieter(n) auf Datenlecks
    • Scannen von Apps und Code auf gängige Sicherheitsschwachstellen vor der Bereitstellung
  • Vertrautheit mit grundlegenden Kodierungspraktiken, um wesentliche Sicherheitsbedenken auszuräumen
  • Sicherheitssysteme und -prozesse regelmäßig testen