Prácticas recomendadas de seguridad de datos para desarrolladores

Si usas la plataforma como desarrollador, asumes la responsabilidad de asegurar los datos de la plataforma de manera tal que se cumplan, como mínimo, los estándares de la industria, dada la condición de confidencialidad de los datos. A continuación, se presentan algunos principios clave y algunas prácticas recomendadas de la industria que pueden resultar útiles para los desarrolladores al decidir sobre las medidas de seguridad que impactarán en los datos de la plataforma. Estas prácticas recomendadas se presentan solo como una guía y no son garantía de que hayas cumplido con las obligaciones a tu cargo de conformidad con las Condiciones de la plataforma de Meta, ya que no incluyen (ni pueden incluir) todas las situaciones posibles. Si cumpliste, como mínimo, los estándares de la industria, dependerá del nivel de confidencialidad de los datos de la plataforma a los que accedes y/o procesas y a las circunstancias técnicas únicas que imperan.

PrincipioPrácticas recomendadas

Proteger la comunicación (datos en tránsito)

  • Utilizar autoridades de certificación (CA) confiables
  • Asegurarse de que los certificados estén configurados correctamente
  • Utilizar las versiones más actualizadas de la seguridad de la capa de transporte (TLS) posibles
  • Aplicar el cifrado en todas las conexiones de red
  • Verificar que las conexiones a la red no envíen datos sin cifrar
  • Verificar que los metadatos en los encabezados HTTP no incluyan información personal

Proteger los datos en reposo

  • Utilizar cifrado estándar. No implementar uno propio ni basarse en la codificación u ocultamiento de datos
  • Activar los controles en el nivel de la plataforma si estuvieran disponibles
  • Verificar que los datos estén cifrados
  • Proteger todos los sistemas contra el malware

Administrar claves y contraseñas

  • No dejar las contraseñas sin cifrado ni insertarlas en el código del software
  • No usar las claves predeterminadas de los proveedores como contraseñas del sistema
  • Utilizar sistemas de administración de claves si estuvieran disponibles
  • Contar con un sistema para conservar las claves (asignación, revocación, rotación y eliminación)
  • Utilizar autenticación en dos pasos cuando esté disponible
  • Dar a los usuarios la opción de usar autenticación en dos pasos

Utilizar controles de acceso y administración de cuentas

  • Separar los roles y funciones con distintas cuentas y credenciales
  • Disponer de un sistema para mantener cuentas (asignar, revocar y revisar el acceso y los privilegios y eliminarlos)

Aplicar actualizaciones y parches

  • Disponer de un sistema para mantener actualizados el código y los entornos del sistema, incluidos los servidores, las máquinas virtuales (VM), las distribuciones, las bibliotecas, los paquetes y el software o programas antivirus
  • Tener un sistema para mantener y parchar los sistemas de producción, entre los que se incluyen
    • Bibliotecas principales
    • Servicios web
    • Servicios orientados hacia el exterior

Supervisar y registrar

  • Disponer de un sistema implementado para registrar el acceso a los datos del usuario y hacer un seguimiento de dónde se envían y almacenan
  • Supervisar las transferencias de datos del usuario y de puntos clave por los que dichos datos pueden abandonar el sistema (por ejemplo, terceros, puntos de conexión públicos)

Seguridad de las apps y las API

  • Conocer las prácticas básicas de seguridad de la app, entre las que se incluyen
    • Evaluar permisos y necesidades de datos (alineación del acceso a los datos con el propósito de uso)
    • Verificar que las API y los puntos de conexión no presenten fuga de datos
    • Verificar que el envío de información a los terceros y su recepción no presente fuga de datos
    • Escanear las apps y el código del software para detectar fallas de seguridad comunes antes de su implementación
  • Conocer las prácticas básicas de codificación para abordar las preocupaciones fundamentales de seguridad
  • Probar con regularidad los sistemas y los procesos de seguridad