การพัฒนาแอพบน Meta

หลักปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัยของข้อมูลสำหรับผู้พัฒนา

หากคุณใช้แพลตฟอร์มในฐานะผู้พัฒนา คุณต้องรับผิดชอบในการรักษาความปลอดภัยของข้อมูลแพลตฟอร์มในลักษณะที่สอดคล้องกับมาตรฐานอุตสาหกรรมเป็นอย่างน้อยเนื่องจากข้อมูลมีความละเอียดอ่อน รายการด้านล่างนี้เป็นหลักการสำคัญและหลักปฏิบัติที่ดีที่สุดของอุตสาหกรรมบางประการที่อาจเป็นประโยชน์ต่อผู้พัฒนาเมื่อต้องตัดสินใจในเรื่องที่เกี่ยวข้องกับมาตรการรักษาความปลอดภัยสำหรับข้อมูลแพลตฟอร์ม หลักปฏิบัติที่ดีที่สุดเหล่านี้จัดทำขึ้นเพื่อใช้เป็นแนวทางเท่านั้นและไม่อาจใช้รับรองว่าคุณบรรลุข้อผูกพันของคุณต่อข้อกำหนดของแพลตฟอร์มของ Meta ได้ เนื่องจากหลักปฏิบัติเหล่านี้ไม่ได้ครอบคลุม (ไม่เพียงพอที่จะควบคุม) สถานการณ์ที่เป็นไปได้ทั้งหมด การจะตัดสินว่าคุณบรรลุมาตรฐานอุตสาหกรรมเป็นอย่างน้อยได้หรือไม่นั้นจะขึ้นอยู่กับความละเอียดอ่อนของข้อมูลแพลตฟอร์มที่คุณเข้าถึงและ/หรือประมวลผลและสถานการณ์ทางเทคนิคที่เฉพาะเจาะจงของคุณ

หลักการหลักปฏิบัติที่ดีที่สุด

การสื่อสารที่มีการรักษาความปลอดภัย (ข้อมูลที่อยู่ระหว่างการโอนย้าย)

  • ใช้ผู้ให้การรับรอง (CA) ที่น่าเชื่อถือ
  • ตรวจสอบให้แน่ใจว่ากำหนดค่าใบรับรองอย่างเหมาะสมแล้ว
  • ใช้เวอร์ชั่นการรักษาความปลอดภัยในระดับการขนส่งที่อัพเดตล่าสุดอยู่เสมอ
  • บังคับใช้การเข้ารหัสสำหรับการเชื่อมต่อเครือข่ายทั้งหมด
  • ทดสอบเพื่อยืนยันว่าการเชื่อมต่อเครือข่ายจะไม่มีการส่งข้อมูลที่ไม่มีการป้องกันใดๆ โดยไม่ได้ตั้งใจ
  • ยืนยันว่าเมตาดาต้าในส่วนหัว HTTP ไม่ได้มีข้อมูลส่วนบุคคลรวมอยู่ด้วย

รักษาความปลอดภัยของข้อมูลที่จัดเก็บ

  • ใช้การเข้ารหัสมาตรฐาน อย่าใช้การเข้ารหัสของคุณเองหรือพึ่งพาการเข้ารหัสหรือพรางข้อมูล
  • ใช้การควบคุมระดับแพลตฟอร์มใดก็ตามที่สามารถใช้ได้
  • ตรวจสอบยืนยันว่าข้อมูลมีการเข้ารหัสแล้ว
  • ปกป้องระบบทั้งหมดไม่ให้ถูกโจมตีจากมัลแวร์

จัดการคีย์และรหัสผ่าน

  • อย่าเก็บรหัสผ่านไว้โดยไม่มีการป้องกันหรือฝังไว้กับโค้ด
  • อย่าใช้รหัสผ่านของระบบตามค่าเริ่มต้นที่ผู้ให้บริการจัดหาไว้ให้
  • ใช้ระบบการจัดการคีย์เมื่อสามารถใช้ได้
  • จัดตั้งระบบในการดูแลจัดการคีย์ต่างๆ (มอบหมาย เรียกคืน เวียนใช้ ลบทิ้ง)
  • ใช้การยืนยันตัวตนแบบสองชั้นเมื่อสามารถใช้ได้
  • ให้บริการตัวเลือกระบบป้องกันสองชั้นแก่ผู้ใช้

ใช้การควบคุมการเข้าถึงและการจัดการบัญชี

  • บทบาทและฟังก์ชั่นแยกกันในบัญชีและข้อมูลประจำตัวต่างๆ
  • จัดตั้งระบบในการดูแลจัดการบัญชีต่างๆ (มอบหมาย เพิกถอน และตรวจสอบสิทธิ์การเข้าถึงและสิทธิ์ต่างๆ และการลบออก)

ติดตั้งการอัพเดตและแพตช์ต่างๆ

  • จัดตั้งระบบในการคอยอัพเดตโค้ดของระบบและสภาพแวดล้อมของระบบอยู่เสมอ ซึ่งรวมถึงเซิร์ฟเวอร์, เครื่องเสมือน (VM), การกระจาย, คลัง, แพ็กเกจ และซอฟต์แวร์/โปรแกรมต้านไวรัส
  • จัดตั้งระบบในการดูแลจัดการและติดตั้งแพตช์ของระบบที่ใช้กับขั้นในงานจริง ซึ่งรวมถึงรายการต่อไปนี้
    • ไลบรารีหลัก
    • บริการบนเว็บ
    • บริการสำหรับติดต่อกับลูกค้า

การติดตามและบันทึก

  • จัดตั้งระบบที่พร้อมสำหรับการบันทึกการเข้าถึงข้อมูลผู้ใช้ ติดตามว่ามีการส่งและจัดเก็บข้อมูลผู้ใช้ไว้ที่ใด
  • ติดตามการถ่ายโอนข้อมูลผู้ใช้และจุดหลักๆ ที่ข้อมูลผู้ใช้อาจออกจากระบบ (เช่น บุคคลที่สาม, ตำแหน่งข้อมูลสาธารณะ)

การรักษาความปลอดภัยของแอพพลิเคชั่นและ API การรักษาความปลอดภัย

  • ทำความคุ้นเคยกับหลักปฏิบัติด้านการรักษาความปลอดภัยพื้นฐานของแอพ ซึ่งรวมถึงรายการต่อไปนี้
    • การประเมินสิทธิ์การอนุญาตและความต้องการต่อข้อมูล (การปรับสิทธิ์การเข้าถึงข้อมูลในสอดคล้องกับวัตถุประสงค์ในการใช้)
    • ทดสอบ API และตำแหน่งข้อมูลเพิ่มหาการรั่วไหลของข้อมูล
    • ทดสอบการถ่ายโอนทั้งขาเข้าและออกจากบุคคลที่สามเพื่อหาการรั่วไหลของข้อมูล
    • สแกนแอพและรหัสเพื่อหาช่องโหว่ด้านการรักษาความปลอดภัยทั่วไปก่อนการติดตั้งใช้จริง
  • ทำความคุ้นเคยกับหลักปฏิบัติพื้นฐานในการเข้ารหัสเพื่อจัดการกับข้อกังวลด้านการรักษาความปลอดภัยพื้นฐาน
  • ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ