Praktik Terbaik Keamanan Data Developer

Jika Anda menggunakan Platform sebagai developer, Anda bertanggung jawab untuk mengamankan Data Platform dengan cara yang memenuhi atau melampaui standar industri mengingat sensitivitas data tersebut. Berikut ini beberapa prinsip utama dan praktik terbaik industri yang mungkin berguna bagi developer saat memutuskan tentang langkah-langkah keamanan untuk Data Platform. Praktik terbaik ini diberikan hanya sebagai panduan dan tidak dapat menjamin Anda telah memenuhi kewajiban Anda berdasarkan Ketentuan Platform Meta, karena praktik terbaik ini tidak (dan tidak dapat) melingkup setiap skenario yang mungkin terjadi. Apakah Anda telah memenuhi atau melampaui standar industri akan bergantung pada sensitivitas Data Platform yang Anda akses dan/atau proses dan keadaan teknis unik Anda.

PrinsipPraktik Terbaik

Amankan Komunikasi (data dalam transit)

  • Gunakan otoritas sertifikat (CA) tepercaya
  • Pastikan sertifikat dikonfigurasi dengan benar
  • Gunakan versi Transport Layer Security (TLS) terbaru jika memungkinkan
  • Terapkan enkripsi untuk semua koneksi jaringan
  • Uji untuk memverifikasi koneksi jaringan agar secara jelas tidak mengirimkan data dengan tidak disengaja
  • Verifikasikan bahwa metadata dalam header HTTP tidak menyertakan informasi pribadi

Amankan Data Saat Tidak Aktif

  • Gunakan enkripsi standar; jangan menggunakan enkripsi Anda sendiri atau bergantung pada pengodean atau pengaburan data
  • Aktifkan segala kontrol tingkat platform jika tersedia
  • Verifikasikan bahwa data dienkripsi
  • Lindungi semua sistem terhadap malware

Kelola Kode dan Kata Sandi

  • Jangan biarkan kata sandi mudah ditebak atau menyematkannya dalam kode
  • Jangan gunakan kata sandi sistem bawaan vendor
  • Gunakan sistem pengelolaan kode jika tersedia
  • Miliki sistem untuk memelihara kode (menetapkan, mencabut, memutar, menghapus)
  • Gunakan autentikasi dua faktor jika tersedia
  • Sediakan dua faktor sebagai opsi bagi pengguna

Gunakan Kontrol Akses dan Pengelolaan Akun

  • Pisahkan peran dan fungsi dengan akun dan kredensial yang berbeda
  • Miliki sistem untuk memelihara akun (menetapkan, mencabut, meninjau akses dan hak istimewa, menghapus)

Terapkan Pembaruan dan Patch

  • Miliki sistem untuk menjaga kode sistem dan lingkungan tetap terbaru, termasuk server, mesin virtual (VM), distribusi, perpustakaan, paket, dan perangkat lunak/program antivirus
  • Miliki sistem untuk memelihara dan melakukan patch sistem yang menangani produksi termasuk
    • Perpustakaan inti
    • Layanan web
    • Layanan yang menangani ke arah luar

Pantau dan Catat

  • Miliki sistem untuk mencatat akses ke data pengguna, melacak ke mana data pengguna dikirim dan disimpan
  • Pantau transfer data pengguna dan poin-poin utama di mana data pengguna dapat keluar dari sistem (misalnya, pihak ketiga, endpoint publik)

Keamanan Aplikasi dan Pengamanan API

  • Pahami praktik keamanan aplikasi dasar termasuk
    • Menilai izin dan kebutuhan data (menyelaraskan akses data dengan tujuan penggunaan)
    • Menguji API dan endpoint untuk kebocoran data
    • Menguji transmisi ke dan dari pihak ketiga untuk kebocoran data
    • Memindai aplikasi dan kode untuk menemukan kelemahan keamanan umum sebelum penerapan
  • Pahami praktik pengodean dasar untuk mengatasi masalah keamanan mendasar
  • Uji sistem dan proses keamanan secara rutin