Prácticas recomendadas sobre seguridad de los datos para desarrolladores

Si usas la Plataforma como desarrollador, eres responsable de asegurar los Datos de la Plataforma para cumplir las normas del sector o superarlas dada la confidencialidad de los datos. A continuación, se incluyen algunos principios clave y prácticas recomendadas del sector que pueden ser de utilidad para los desarrolladores a la hora de tomar decisiones sobre las medidas de seguridad relacionadas con los Datos de la Plataforma. Estas prácticas recomendadas se proporcionan a modo orientativo y no pueden garantizar el cumplimiento de las obligaciones en virtud de las Condiciones de la plataforma de Meta, ya que no cubren ni pueden cubrir todas las situaciones posibles. Si cumples las normas del sector o las superas dependerá de la confidencialidad de los Datos de la Plataforma a los que accedas o que proceses y de tus circunstancias técnicas específicas.

PrincipioPrácticas recomendadas

Comunicación segura (datos en tránsito)

  • Utilizar autoridades de certificación de confianza.
  • Asegurarse de que los certificados estén configurados correctamente.
  • Utilizar las últimas versiones de la seguridad de la capa de transporte (TLS).
  • Aplicar el cifrado para todas las conexiones de red.
  • Realizar pruebas para verificar que las conexiones de red no estén enviando datos sin cifrar por error.
  • Verificar que los metadatos en los encabezados HTTP no incluyan información personal.

Seguridad de los datos en reposo

  • Utilizar el cifrado estándar; no implementar uno propio ni depender del cifrado de datos ni la ofuscación.
  • Habilitar cualquier control a nivel de plataforma cuando esté disponible.
  • Verificar que los datos están cifrados.
  • Proteger todos los sistemas contra el malware.

Administración de claves y contraseñas

  • No guardar las contraseñas sin cifrar ni incrustarlas en el código.
  • No utilizar las opciones predeterminadas proporcionadas por los proveedores para las contraseñas del sistema.
  • Usar sistemas de administración de claves cuando estén disponibles.
  • Tener un sistema para mantener las claves (asignación, revocación, rotación, eliminación).
  • Utilizar la autenticación en dos pasos cuando esté disponible.
  • Proporcionar la autenticación en dos pasos como opción a los usuarios.

Uso de controles de acceso y administración de cuentas

  • Tener roles y funciones separados con diferentes cuentas y credenciales.
  • Disponer de un sistema de mantenimiento de cuentas (asignación, revocación, revisión y eliminación de accesos y privilegios).

Aplicación de actualizaciones y parches

  • Tener un sistema para mantener actualizados el código del sistema y los entornos, incluidos los servidores, las máquinas virtuales, las distribuciones, las bibliotecas, los paquetes y el software/los programas antivirus.
  • Tener un sistema para mantener y parchear los sistemas de producción, entre los que se incluyen:
    • Bibliotecas principales
    • Servicios web
    • Servicios dirigidos al público

Supervisión y registro

  • Tener un sistema para registrar el acceso a los datos de los usuarios, hacer un seguimiento de los lugares a los que dichos datos se envían y en los que se almacenan.
  • Supervisar las transferencias de datos de los usuarios y puntos clave en los que estos datos pueden salir del sistema (p. ej., terceros o extremos públicos).

Seguridad de las aplicaciones y las API

  • Familiarizarse con las prácticas básicas de seguridad de las aplicaciones, entre las que se incluyen:
    • Evaluación de permisos y necesidades de datos (adaptación del acceso a los datos al propósito de uso).
    • Pruebas de las API y los extremos para detectar fugas de datos.
    • Pruebas de las transmisiones hacia terceros y desde terceros para detectar fugas de datos.
    • Escaneo de las aplicaciones y el código en busca de fallas de seguridad comunes antes de la implementación.
  • Familiarizarse con las prácticas básicas de cifrado para abordar los problemas de seguridad fundamentales.
  • Realizar pruebas a los sistemas y procesos de seguridad de forma habitual.