Meta 앱 개발

개발자 데이터 보안 모범 사례

개발자로서 플랫폼을 사용하는 경우 데이터 민감도에 따른 업계 표준을 충족하거나 그 이상의 수준으로 플랫폼 데이터를 보호해야 할 책임이 있습니다. 개발자가 플랫폼 데이터를 위한 보안 조치를 결정할 때 유용할 만한 주요 원칙과 업계 모범 사례는 다음과 같습니다. 이러한 모범 사례는 지침으로만 제공되며 일어날 가능성이 있는 모든 시나리오를 다루지 않고(그러할 수도 없으므로), Meta 플랫폼 약관에 따른 의무 사항을 준수하였음을 보장할 수 없습니다. 업계 표준을 충족하였거나 그 이상의 수준으로 준수하였는지 여부는 개발자가 액세스 및/또는 처리하는 플랫폼 데이터의 민감도와 고유한 기술적 상황에 따라 달라집니다.

원칙모범 사례

통신 보안(전송 중인 데이터)

  • 신뢰할 수 있는 인증 기관(CA) 사용
  • 인증서가 올바르게 구성되었는지 확인
  • 가능한 최신 버전의 전송 계층 보안(TLS) 사용
  • 모든 네트워크 연결에 암호화 적용
  • 네트워크 연결이 데이터를 암호화하지 않고 잘못 전송하지 않는지 테스트
  • HTTP 헤더의 메타데이터에 개인 정보가 포함되지 않았는지 확인

저장된 데이터 보안

  • 표준 암호화 사용, 자체 인코딩 또는 난독화를 운영하거나 사용하지 말 것
  • 가능한 경우 모든 플랫폼 수준 관리 활성화
  • 데이터가 암호화되었는지 확인
  • 모든 시스템을 악성 코드로부터 보호

키 및 비밀번호 관리

  • 비밀번호를 일반 텍스트로 저장하거나 코드에 포함하지 말 것
  • 공급업체에서 제공한 기본 시스템 비밀번호를 사용하지 말 것
  • 가능한 경우 키 관리 시스템 사용
  • 키 관리를 위한 시스템 보유(할당, 취소, 교체, 삭제)
  • 가능할 경우 2단계 인증 사용
  • 2단계 인증을 사용자에게 옵션으로 제공

액세스 관리 및 계정 관리 적용

  • 다른 계정과 자격 증명으로 역할과 기능 분리
  • 계정 관리를 위한 시스템 보유(액세스 및 권한 할당, 취소, 검토, 삭제)

업데이트 및 패치 적용

  • 서버, 가상 머신(VM), 배포, 라이브러리, 패키지, 바이러스 백신 소프트웨어/프로그램 등을 포함한 시스템 코드 및 환경을 최신 상태로 유지하기 위한 시스템 보유
  • 다음을 포함한 프로덕션 시스템을 유지하고 패치하기 위한 시스템 보유
    • 코어 라이브러리
    • 웹 서비스
    • 외부에 연결된 서비스

모니터링 및 로그

  • 사용자 데이터에 대한 액세스를 로깅하고, 사용자 데이터를 전송하고 저장한 위치를 추적하기 위한 시스템 보유
  • 사용자 데이터 전송 및 사용자 데이터가 시스템을 나갈 수 있는 주요 지점 모니터링(예: 제3자, 공개 엔드포인트)

앱 보안 및 보안 API

  • 다음을 포함한 기본 앱 보안 사례 숙지
    • 권한 및 데이터 요구 사항 평가(데이터 액세스 권한을 사용 목적에 일치)
    • API 및 엔드포인트에서 데이터 유출 테스트
    • 제3자와의 송수신 전송에서 데이터 유출 테스트
    • 배포 전에 앱 및 코드에서 일반적인 보안 결함 스캔
  • 근본적인 보안 우려 사항을 해결하기 위한 기본적 코딩 사례 숙지
  • 보안 시스템 및 프로세스를 정기적으로 테스트