Cách tốt nhất để bảo mật dữ liệu dành cho nhà phát triển

Nếu sử dụng Nền tảng với vai trò nhà phát triển, bạn chịu trách nhiệm bảo mật Dữ liệu trên nền tảng theo phương thức đáp ứng hoặc vượt mức tiêu chuẩn ngành dựa trên mức độ nhạy cảm của dữ liệu. Dưới đây là một số nguyên tắc chính và cách làm tốt nhất trong ngành có thể giúp ích cho nhà phát triển khi quyết định các biện pháp bảo mật Dữ liệu trên nền tảng. Do không (và không thể) bao quát hết mọi tình huống có thể xảy ra, nên những cách làm tốt nhất này chỉ được cung cấp dưới dạng hướng dẫn và không thể đảm bảo rằng bạn đã hoàn thành nghĩa vụ của mình theo Điều khoản của nền tảng mà Meta áp dụng. Việc bạn có đáp ứng hoặc vượt mức tiêu chuẩn ngành hay không sẽ phụ thuộc vào mức độ nhạy cảm của Dữ liệu trên nền tảng mà bạn truy cập và/hoặc xử lý, cũng như hoàn cảnh kỹ thuật riêng biệt của bạn.

Nguyên tắc	Cách làm tốt nhất
Bảo mật thông tin liên lạc (dữ liệu đang trong quá trình chuyển)	Sử dụng tổ chức phát hành chứng chỉ (CA) đáng tin cậy Đảm bảo đặt cấu hình chứng chỉ đúng cách Sử dụng phiên bản mới nhất có thể của giao thức Bảo mật tầng truyền tải (TLS) Thực thi phương thức mã hóa cho mọi kết nối mạng Kiểm tra để xác minh rằng kết nối mạng không vô tình gửi dữ liệu dưới dạng văn bản thuần túy Xác minh rằng siêu dữ liệu trong tiêu đề HTTP không chứa thông tin cá nhân
Bảo mật dữ liệu ở trạng thái nghỉ	Sử dụng phương thức mã hóa tiêu chuẩn; không tự tạo phương thức mã hóa riêng hay phụ thuộc vào phương thức mã hóa hoặc làm rối dữ liệu Bật mọi chế độ kiểm soát ở cấp độ nền tảng, nếu có Xác minh rằng dữ liệu đã được mã hóa Bảo vệ mọi hệ thống khỏi phần mềm độc hại
Quản lý khóa và mật khẩu	Không lưu mật khẩu dưới dạng văn bản thuần túy hay nhúng mật khẩu vào mã Không sử dụng mật khẩu hệ thống mặc định do nhà cung cấp gửi Sử dụng hệ thống quản lý khóa, nếu có Có hệ thống duy trì khóa (chỉ định, thu hồi, xoay vòng, xóa) Sử dụng tính năng xác thực 2 yếu tố, nếu có Cung cấp tùy chọn xác thực 2 yếu tố cho người dùng
Áp dụng biện pháp kiểm soát truy cập và quản lý tài khoản	Tách biệt vai trò và chức năng bằng tài khoản và thông tin đăng nhập khác nhau Có hệ thống duy trì tài khoản (chỉ định, thu hồi, xét duyệt quyền truy cập và đặc quyền, gỡ)
Áp dụng bản cập nhật và bản vá	Có hệ thống cập nhật mã hệ thống và môi trường, bao gồm cả máy chủ, máy ảo (VM), bản phân phối, thư viện, gói và phần mềm/chương trình diệt vi-rút Có hệ thống duy trì và vá các hệ thống đang hoạt động, bao gồm cả Thư viện lõi Dịch vụ web Dịch vụ công khai
Giám sát và ghi nhật ký	Có hệ thống ghi lại hoạt động truy cập vào dữ liệu người dùng, truy dấu vị trí gửi và lưu trữ dữ liệu người dùng Giám sát hoạt động chuyển dữ liệu người dùng và các điểm quan trọng mà dữ liệu người dùng có thể bị rò rỉ khỏi hệ thống (ví dụ: bên thứ ba, điểm cuối công khai)
Bảo mật ứng dụng và API	Nắm vững các phương thức bảo mật ứng dụng cơ bản, bao gồm cả Đánh giá quyền truy cập và nhu cầu dữ liệu (điều chỉnh quyền truy cập vào dữ liệu cho phù hợp với mục đích sử dụng) Kiểm tra API và điểm cuối để phát hiện tình trạng rò rỉ dữ liệu Kiểm tra hoạt động truyền dữ liệu đến và từ bên thứ ba để phát hiện tình trạng rò rỉ dữ liệu Quét mã và ứng dụng để phát hiện các lỗ hổng bảo mật phổ biến trước khi triển khai Nắm vững các phương thức mã hóa cơ bản để giải quyết những vấn đề bảo mật cơ bản Thường xuyên kiểm tra hệ thống và quy trình bảo mật