Boas práticas de segurança de dados para desenvolvedores

Se você usa a Plataforma como desenvolvedor, você lida com dados sensíveis e, por isso, é responsável por proteger os Dados da Plataforma de uma forma que cumpra ou supere os padrões do setor. Confira a seguir alguns princípios fundamentais e boas práticas do setor que os desenvolvedores podem achar úteis ao tomar medidas de segurança relacionadas aos Dados da Plataforma. Estas boas práticas são uma orientação e não garantem que você cumpra todas as obrigações dos Termos da Plataforma da Meta, uma vez que não abrangem todos os cenários possíveis. O cumprimento ou a superação dos padrões do setor dependerá do nível de sensibilidade dos Dados da Plataforma que você acessa e/ou processa e das circunstâncias técnicas específicas.

Princípio	Boas práticas
Comunicação segura (dados em trânsito)	Use autoridades de certificação (CA, na sigla em inglês) de confiança. Assegure que os certificados estejam configurados corretamente. Use as versões mais atualizadas possíveis de Transport Layer Security (TLS). Aplique criptografia a todas as conexões de rede. Teste as conexões de rede para verificar se elas não estão acidentalmente enviando dados não criptografados. Verifique se os metadados nos cabeçalhos HTTP não incluem informações pessoais.
Dados seguros em repouso	Use criptografia padrão; não implemente a própria criptografia, tampouco dependa de codificação ou ofuscação de dados. Habilite controles de nível da plataforma sempre que esse recurso estiver disponível. Verifique se os dados estão criptografados. Proteja todos os sistemas contra malware.
Gerenciamento de chaves e senhas	Não armazene senhas sem criptografia ou incorporadas ao código. Não use padrões sugeridos pelo fornecedor como senhas do sistema. Use sistemas de gerenciamento de chaves quando disponíveis. Tenha um sistema para manutenção de chaves (atribuir, revogar, trocar, excluir). Use autenticação de dois fatores quando disponível. Forneça dois fatores como opção aos usuários.
Uso de controles de acesso e gerenciamento de contas	Separe atribuições e funções com contas e credenciais diferentes. Tenha um sistema de manutenção de contas (atribuição, revogação, análise de acesso e privilégios, remoção).
Aplicação de atualizações e patches	Tenha um sistema para manter os ambientes e o código do sistema atualizados, incluindo servidores, máquinas virtuais, distribuições, bibliotecas, pacotes e software/programas antivírus. Tenha um sistema para manutenção e patches dos sistemas de produção, como: Bibliotecas principais Serviços da web Serviços externos
Monitoramento e registro	Tenha implementado um sistema para registrar o acesso aos dados do usuário e rastrear seus locais de armazenamento e envio. Monitore as transferências de dados do usuário e os pontos principais onde eles podem sair do sistema (por exemplo, terceiros, pontos de extremidade públicos).
Segurança de apps e APIs	Tenha familiaridade com as práticas básicas de segurança para apps, como: Avaliar permissões e necessidades dos dados (alinhando o acesso aos dados com sua finalidade de uso) Testar APIs e pontos de extremidade em busca de vazamentos de dados Testar transmissões de e para terceiros em busca de vazamentos de dados Fazer varreduras nos apps e códigos em busca de falhas comuns de segurança antes da implementação Tenha familiaridade com as práticas básicas de programação para gerenciar questões fundamentais de segurança. Teste regularmente os sistemas e os processos de segurança.