Рекомендации по безопасности данных для разработчиков

Если вы используете платформу в качестве разработчика, вы несете ответственность за обеспечение безопасности данных платформы таким образом, чтобы, с учетом конфиденциальности этих данных, безопасность соответствовала отраслевым стандартам или превосходила их. Ниже представлены некоторые основные принципы и отраслевые рекомендации, которые могут пригодиться разработчикам при принятии решения о мерах безопасности в отношении данных платформы. Эти рекомендации предоставляются только в качестве руководства. Они не охватывают (и не могут охватить) все возможные сценарии, поэтому их использование не может гарантировать, что вы выполняете свои обязательства в соответствии с условиями платформы Meta. Соблюдение и превышение отраслевых стандартов зависит от конфиденциальности данных платформы, к которым вы получаете доступ и (или) которые обрабатываете, а также от ваших уникальных технических условий.

Правило	Рекомендации
Безопасная связь (передача данных)	Используйте проверенные центры сертификации (ЦС). Убедитесь, что сертификаты настроены правильно. Используйте самые последние версии безопасности транспортного уровня (TLS). Обеспечьте шифрование всех сетевых соединений. Проверьте, не отправляют ли сетевые соединения данные в открытом виде. Убедитесь, что метаданные в заголовках HTTP не содержат личных данных.
Защита данных при хранении	Используйте стандартное шифрование, не полагайтесь на кодированию или обфускацию данных. Включите все доступные на платформе средства контроля. Убедитесь, что данные зашифрованы. Защитите все системы от вредоносного ПО.
Управление ключами и паролями	Не храните пароли в открытом виде и не вставляйте их в код. Не используйте системные пароли по умолчанию, предлагаемые поставщиками. Используйте системы управления ключами, если они доступны. Используйте систему обслуживания ключей (назначение, отзыв, ротация, удаление). Используйте двухфакторную аутентификацию, если она доступна. Предоставьте пользователям возможность двухфакторной аутентификации.
Контроль доступа и управление учетными записями	Разделяйте роли и функции с помощью различных аккаунтов и учетных данных. Используйте систему обслуживания аккаунтов (назначение, отмена, проверка доступа и привилегий, удаление).
Применение обновлений и исправлений	Используйте систему для обновления системного кода и сред, включая серверы, виртуальные машины (ВМ), дистрибутивы, библиотеки, пакеты и антивирусное программное обеспечение. Используйте систему поддержки и исправления рабочих систем, в том числе: библиотек ядра; веб-сервисов; сервисов, работающих с внешними системами.
Отслеживание и ведение журнала	Используйте систему регистрации доступа к данным пользователей, отслеживающую места отправки и хранения таких данных. Отслеживайте передачу данных пользователей и основные точки, в которых такие данные могут покинуть систему (например, третьи стороны или общедоступные конечные точки).
Безопасность приложений и защита API	Ознакомьтесь с основными методами обеспечения безопасности приложений, включая: оценку разрешений и потребностей в данных (согласование доступа к данным с целью их использования); тестирование API и конечных точек на предмет утечки данных; тестирование передачи данных третьим лицам и от них на предмет утечки данных; сканирование приложения и кода на предмет распространенных проблем безопасности перед развертыванием. Будьте в курсе основных методов кодирования для решения фундаментальных проблем безопасности. Регулярно тестируйте системы и процессы безопасности.