Best practice per la sicurezza dei dati per gli sviluppatori

Se usi la piattaforma come sviluppatore, sei responsabile della sicurezza dei Dati della Piattaforma in modo da soddisfare o superare gli standard del settore data la sensibilità dei dati. Di seguito alcuni principi chiave e le best practice del settore che gli sviluppatori possono trovare utili quando stabiliscono le misure di sicurezza per i Dati della Piattaforma. Queste best practice sono fornite solo a titolo di guida e non possono garantire che tu abbia adempiuto agli obblighi previsti dalle Condizioni della Piattaforma Meta, poiché non coprono (e non possono coprire) ogni scenario possibile. Che tu abbia soddisfatto o superato gli standard del settore dipende dalla sensibilità dei Dati della Piattaforma a cui accedi e/o tratti e dalle tue circostanze tecniche specifiche.

Principio	Best practice
Comunicazione sicura (dati in transito)	Usare Autorità di certificazione (CA) affidabili. Assicurarsi che i certificati siano configurati correttamente. Usare le versioni più aggiornate disponibili di Transport Layer Security (TLS). Applicare la crittografia per tutte le connessioni di rete. Eseguire test opportuni per verificare che le connessioni di rete non inviino accidentalmente dati in chiaro. Verificare che i metadati nelle intestazioni HTTP non includano informazioni personali.
Protezione dei dati a riposo	Usare la crittografia standard; non usare la propria personale e non affidarsi alla codifica o all'offuscamento dei dati. Abilitare tutti i controlli a livello della piattaforma, se disponibili. Verificare che i dati siano crittografati. Proteggere tutti i sistemi dai malware.
Gestione di chiavi e password	Non conservare le password in chiaro e non incorporarle nel codice. Non usare le password di sistema predefinite fornite dal venditore. Usare i sistemi di gestione delle chiavi quando disponibili. Disporre di un sistema per la gestione delle chiavi (assegnazione, revoca, rotazione, eliminazione). Usare l'autenticazione a due fattori quando disponibile. Fornire agli utenti l'opzione a due fattori.
Implementazione di controlli di accesso e gestione dell'account	Separare ruoli e funzioni con account e credenziali diversi. Predisporre un sistema per la gestione degli account (assegnazione, revoca, controllo di accessi e privilegi, rimozione).
Applicazione di aggiornamenti e patch	Predisporre un sistema per mantenere aggiornati ambienti e codici dei sistemi, compresi server, macchine virtuali (VM), distribuzioni, librerie, pacchetti e programmi/software antivirus. Predisporre un sistema per la manutenzione e l'applicazione di patch ai sistemi destinati alla produzione, compresi: Librerie principali Servizi web Servizi destinati all'esterno
Monitoraggio e registri	Predisporre un sistema per la registrazione degli accessi ai dati utente per il monitoraggio delle posizioni in cui questi dati vengono inviati e memorizzati. Monitorare i trasferimenti di dati utente e punti chiave in cui questi dati possono lasciare il sistema (ad esempio, terzi, endpoint pubblici).
API di protezione e sicurezza delle applicazioni	Avere familiarità con le pratiche di base per la sicurezza delle applicazioni, compresi: valutazione delle autorizzazioni e delle esigenze dei dati (allineamento dell'accesso ai dati allo scopo di utilizzo); test di API ed endpoint per escludere fughe di dati; test delle trasmissioni da e verso terzi per escludere fughe di dati; scansione di app e codice per escludere la presenza di criticità comuni della sicurezza prima dell'implementazione. Avere familiarità con le pratiche di codifica di base per poter gestire i principali problemi di sicurezza. Testare regolarmente sistemi e processi di sicurezza.