Meta 應用程式開發

開發人員資料安全最佳操作實例

如果您以開發人員身分使用平台,就有責任根據資料的敏感度以符合或超出行業標準的方式保護平台資料安全。以下是一些關鍵原則和行業最佳操作實例,可能有助開發人員作出平台資料安全措施的決定。這些最佳操作實例僅作為指引提供,不能保證您已履行 Meta《平台使用條款》所列出的義務,因為這些最佳操作實例並未(也不能)涵蓋每個可想像的情境。您是否達到或超出行業標準,將取決於您存取和/或處理的平台資料的敏感度,以及您的獨特技術環境。

原則最佳操作實例

保護通訊安全(傳輸中的資料)

  • 使用受信任認證機構(CA)
  • 確保認證配置正確
  • 儘可能使用最新版傳輸層安全性協定(TLS)
  • 為所有網絡連線執行加密
  • 測試以確認網絡連線不會意外傳送明文顯示的資料
  • 確認 HTTP 標題中的中繼資料不包含個人資訊

保護靜止資料安全

  • 使用標準加密;不要使用自己的加密方式或採用資料編碼或資料混淆
  • 啟用任何平台級別控制選項(如有)
  • 確認資料已加密
  • 保護所有系統免受惡意軟件侵害

管理密鑰和密碼

  • 不要以明文方式儲存密碼,或者將密碼內嵌於程式碼中
  • 不要使用供應商提供的預設系統密碼
  • 使用密鑰管理系統(如有)
  • 設立系統以維護密鑰(分配、撤銷、輪換、刪除)
  • 使用雙重驗證(如有)
  • 為用戶提供雙重驗證選項

部署存取權控制選項和帳戶管理

  • 使用不同的帳戶和憑證將角色和功能區分開來
  • 設立系統以維護帳戶(分配、撤銷、審查各種存取權和權限、移除)

套用更新和修補程式

  • 設立系統以持續更新系統程式碼和環境,包括伺服器、虛擬機器(VM)、發佈版本、資料庫、封裝以及防毒軟件/程式
  • 設立系統以維護和修補生產用系統,包括
    • 核心資料庫
    • 網絡服務
    • 對外服務

監察和記錄

  • 設立系統以記錄存取用戶資料的情況,以及追蹤用戶資料的傳送和儲存位置
  • 監察用戶資料的轉移,以及用戶資料可離開系統(例如第三方、公開端點)的關鍵點

應用程式安全和保護 API

  • 熟悉基本應用程式安全做法,包括
    • 評估權限和資料需求(根據使用目的調整資料存取權)
    • 測試 API 和端點,了解是否存在資料洩露問題
    • 測試與第三方之間的傳輸,了解是否存在資料洩露問題
    • 在部署前掃描應用程式和程式碼,了解是否存在常見的安全漏洞
  • 熟悉基本的編碼做法,消除根本的安全疑慮
  • 定期測試安全系統和流程