Boas práticas de segurança de dados para desenvolvedores

Se você usa a Plataforma como desenvolvedor, você lida com dados sensíveis e, por isso, é responsável por proteger os Dados da Plataforma de uma forma que cumpra ou supere os padrões do setor. Confira a seguir alguns princípios fundamentais e boas práticas do setor que os desenvolvedores podem achar úteis ao tomar medidas de segurança relacionadas aos Dados da Plataforma. Estas boas práticas são uma orientação e não garantem que você cumpra todas as obrigações dos Termos da Plataforma da Meta, uma vez que não abrangem todos os cenários possíveis. O cumprimento ou a superação dos padrões do setor dependerá do nível de sensibilidade dos Dados da Plataforma que você acessa e/ou processa e das circunstâncias técnicas específicas.

PrincípioBoas práticas

Comunicação segura (dados em trânsito)

  • Use autoridades de certificação (CA, na sigla em inglês) de confiança.
  • Assegure que os certificados estejam configurados corretamente.
  • Use as versões mais atualizadas possíveis de Transport Layer Security (TLS).
  • Aplique criptografia a todas as conexões de rede.
  • Teste as conexões de rede para verificar se elas não estão acidentalmente enviando dados não criptografados.
  • Verifique se os metadados nos cabeçalhos HTTP não incluem informações pessoais.

Dados seguros em repouso

  • Use criptografia padrão; não implemente a própria criptografia, tampouco dependa de codificação ou ofuscação de dados.
  • Habilite controles de nível da plataforma sempre que esse recurso estiver disponível.
  • Verifique se os dados estão criptografados.
  • Proteja todos os sistemas contra malware.

Gerenciamento de chaves e senhas

  • Não armazene senhas sem criptografia ou incorporadas ao código.
  • Não use padrões sugeridos pelo fornecedor como senhas do sistema.
  • Use sistemas de gerenciamento de chaves quando disponíveis.
  • Tenha um sistema para manutenção de chaves (atribuir, revogar, trocar, excluir).
  • Use autenticação de dois fatores quando disponível.
  • Forneça dois fatores como opção aos usuários.

Uso de controles de acesso e gerenciamento de contas

  • Separe atribuições e funções com contas e credenciais diferentes.
  • Tenha um sistema de manutenção de contas (atribuição, revogação, análise de acesso e privilégios, remoção).

Aplicação de atualizações e patches

  • Tenha um sistema para manter os ambientes e o código do sistema atualizados, incluindo servidores, máquinas virtuais, distribuições, bibliotecas, pacotes e software/programas antivírus.
  • Tenha um sistema para manutenção e patches dos sistemas de produção, como:
    • Bibliotecas principais
    • Serviços da web
    • Serviços externos

Monitoramento e registro

  • Tenha implementado um sistema para registrar o acesso aos dados do usuário e rastrear seus locais de armazenamento e envio.
  • Monitore as transferências de dados do usuário e os pontos principais onde eles podem sair do sistema (por exemplo, terceiros, pontos de extremidade públicos).

Segurança de apps e APIs

  • Tenha familiaridade com as práticas básicas de segurança para apps, como:
    • Avaliar permissões e necessidades dos dados (alinhando o acesso aos dados com sua finalidade de uso)
    • Testar APIs e pontos de extremidade em busca de vazamentos de dados
    • Testar transmissões de e para terceiros em busca de vazamentos de dados
    • Fazer varreduras nos apps e códigos em busca de falhas comuns de segurança antes da implementação
  • Tenha familiaridade com as práticas básicas de programação para gerenciar questões fundamentais de segurança.
  • Teste regularmente os sistemas e os processos de segurança.