Sviluppo di app di Meta
Torna indietro a Italiano
Questo documento è stato aggiornato.
La traduzione in Italiano non è ancora completa.
Aggiornamento inglese: 2 mag

Valutazione sulla protezione dei dati - FAQ

Cos'è la Valutazione sulla protezione dei dati

  1. Cos'è la Valutazione sulla protezione dei dati?

    1. La Valutazione sulla protezione dei dati è un requisito annuale per le app che hanno accesso a determinati tipi di dati. Le domande nella valutazione sono volte a determinare l'eventuale conformità degli sviluppatori alle nostre Condizioni della piattaforma in relazione all'uso, alla condivisione e alla protezione dei Dati della piattaforma.

  2. Cosa sono i Dati della piattaforma?

    1. Per "Dati della piattaforma" si intendono tutte le informazioni, i dati o altri contenuti che ottieni da noi tramite la Piattaforma o attraverso la tua app, in modo diretto o indiretto e prima, durante o dopo la data di accettazione delle presenti Condizioni, inclusi i dati in forma anonima, aggregata o derivati da tali dati. I Dati della piattaforma comprendono token dell'app, token delle Pagine, token d'accesso, chiavi segrete e token degli utenti.
    2. Tutti i dati che ricevi da Meta tramite la tua app sono considerati Dati della piattaforma (ad es., ID, indirizzi e-mail e amici degli utenti costituiscono tutti Dati della piattaforma).

  3. In che modo questa valutazione differisce rispetto all'Analisi dell'app e al Controllo sull'uso dei dati?

    1. L'Analisi dell'app è un processo preventivo che consente di richiedere l'approvazione per singole autorizzazioni e funzioni.
    2. Il Controllo sull'uso dei dati è un processo annuale che richiede agli sviluppatori di certificare che l'accesso a dati specifici e il relativo uso continuativo tramite le API di Meta siano conformi alle nostre Condizioni della piattaforma e alle Normative per gli sviluppatori.
    3. La Valutazione sulla protezione dei dati è un questionario annuale con cui si richiedono informazioni agli sviluppatori circa l'uso, la condivisione e la sicurezza dei dati in relazione ai Dati della piattaforma.

  4. Come posso prepararmi alla Valutazione sulla protezione dei dati?

    1. Assicurati di essere raggiungibile:
      1. Aggiorna l'indirizzo e-mail di contatto del tuo account business o sviluppatore e le impostazioni di notifica.
      2. Aggiorna l'indirizzo e-mail di contatto nella pagina delle impostazioni di base dell'app.
      3. Controlla gli amministratori indicati nell'app e prendi in considerazione la possibilità di aggiungere i membri del team legale e per la sicurezza dei dati in modo che anche loro possano rispondere a eventuali domande.
    2. Esamina le domande nella Valutazione sulla protezione dei dati e confrontati con i tuoi team per capire come rispondere al meglio.
    3. Consulta le nostre Condizioni della piattaforma e le Normative per gli sviluppatori.

Perché la Valutazione sulla protezione dei dati è necessaria

  1. Perché devo completare la Valutazione sulla protezione dei dati?

    1. In uno scenario normativo sulla privacy delle persone in costante evoluzione in risposta a sempre nuove minacce alla privacy, siamo tutti tenuti a impegnarci per rafforzare la fiducia delle persone che usano i nostri prodotti e servizi, a partire dal modo in cui i loro dati vengono usati, condivisi e protetti su Internet.
      1. La Valutazione sulla protezione dei dati è obbligatoria per gli sviluppatori le cui app accedono a determinati tipi di dati sulla nostra Piattaforma.
      2. Abbiamo già assistito a storie di successo di sviluppatori che hanno implementato nuove misure di sicurezza per i dati grazie ai nostri standard. Collaborando in questo processo, innalzeremo gli standard su Internet e conquisteremo la fiducia dei miliardi di persone che usano i nostri servizi in tutto il mondo.

Il processo

  1. Come faccio a sapere se devo effettuare la Valutazione sulla protezione dei dati?

    1. Se sei un amministratore di un'app per cui è obbligatoria la Valutazione sulla protezione dei dati, riceverai delle notifiche nella pagina Le mie app, nella Dashboard gestione app, negli avvisi della posta e agli indirizzi e-mail associati al tuo account sviluppatore.
      1. Riceverai una notifica che ti inviterà a prepararti alla valutazione completando i seguenti passaggi:
        1. Assicurati di essere raggiungibile:
          1. Aggiorna l'indirizzo e-mail di contatto del tuo account business o sviluppatore e le impostazioni di notifica.
          2. Aggiorna l'indirizzo e-mail di contatto nella pagina delle impostazioni di base dell'app.
          3. Controlla gli amministratori indicati nell'app e prendi in considerazione la possibilità di aggiungere i membri del team legale e per la sicurezza dei dati in modo che anche loro possano rispondere a eventuali domande.
        2. Esamina le domande nella Valutazione sulla protezione dei dati e confrontati con i tuoi team per capire come rispondere al meglio.
        3. Consulta le nostre Condizioni della piattaforma e le Normative per gli sviluppatori.

  2. Come posso accertarmi di ricevere le comunicazioni tramite e-mail relative alla Valutazione sulla protezione dei dati?

    1. Se sei l'amministratore di un'app per cui è obbligatoria la Valutazione sulla protezione dei dati, riceverai notifiche nella pagina Le mie app, nella Dashboard gestione app, negli avvisi della posta e agli indirizzi e-mail associati al tuo account amministratore dell'app.
    2. Se sei un amministratore dell'app, assicurati di essere raggiungibile:
      1. Aggiorna l'indirizzo e-mail di contatto del tuo account business o sviluppatore e le impostazioni di notifica.
      2. Aggiorna l'indirizzo e-mail di contatto nella pagina delle impostazioni di base dell'app.

  3. Come faccio a sapere se posso iniziare la Valutazione sulla protezione dei dati?

    1. Se sei l'amministratore di un'app per cui è obbligatoria la Valutazione sulla protezione dei dati, ti informeremo nei seguenti modi:
      1. Notifiche:
        1. Verrà inviata un'e-mail all'indirizzo e-mail di contatto dello sviluppatore o dell'account business. Modifica le tue impostazioni personali di notifica per gli sviluppatori qui.
        2. Verrà inviato un messaggio negli avvisi della posta nella Dashboard gestione app.
        3. Verrà inviata una notifica all'amministratore dell'app tramite la Dashboard gestione app.
      2. Azioni richieste:
        1. Nella pagina Le mie app, vedrai la notifica "Azione richiesta" nella scheda informativa dell'app denominata "Valutazione sulla protezione dei dati".
        2. Nella Dashboard gestione app, vedrai l'avviso "Azione richiesta" in alto.
        3. Nella pagina delle impostazioni di base dell'app, vedrai il record "Valutazione sulla protezione dei dati".

  4. Posso porre domande sugli argomenti previsti nella Valutazione sulla protezione dei dati?

    1. Sì. Se hai bisogno di chiarimenti sulle domande presenti nella Valutazione sulla protezione dei dati, puoi contattare direttamente Meta.
      1. All'interno della Valutazione sulla protezione dei dati, troverai a sinistra una sezione denominata "Hai bisogno di aiuto?". In questa sezione, clicca su "Fai una domanda" e si aprirà un pop-up in cui potrai inviare una domanda a scopo di chiarimento.
      2. Per accedere a questa funzione, devi disporre di un account Business Manager e aggiungere l'app e gli amministratori dell'app. Consulta questi link per le guide dettagliate.
      3. Riceverai una risposta da Meta tramite un avviso e-mail e una notifica nella Dashboard gestione app.
    1. Meta ha pubblicato i Requisiti di sicurezza dei dati sul nostro sito dedicato alla documentazione per gli sviluppatori, ma questo contenuto è disponibile solo per gli utenti che hanno effettuato l'accesso al proprio account Facebook. Se non riesci ad aprire questa pagina e accedere alla documentazione, assicurati di:
      1. aver effettuato l'accesso al tuo account Facebook;
      2. aver accettato le condizioni per gli sviluppatori di Facebook qui.

Invio

  1. Quanto tempo ho a disposizione per inviare la Valutazione sulla protezione dei dati?

    1. Per completare la Valutazione sulla protezione dei dati, hai a disposizione 60 giorni di calendario dalla data della prima notifica.

  2. Con che frequenza dovrò inviare la Valutazione sulla protezione dei dati?

    1. Si tratta di un requisito annuale.

  3. Il questionario è molto lungo: posso salvarlo e completarlo a più riprese?

    1. Sì. Il modulo prevede il salvataggio automatico, quindi potrai riprendere dal punto in cui hai interrotto.

  4. Come faccio a conoscere lo stato del mio invio?

    1. Ecco alcune definizioni per tutti gli scenari relativi alla tua valutazione:
      1. Non iniziata: lo sviluppatore ha ricevuto la notifica in cui si richiede la Valutazione sulla protezione dei dati ed è indicata una scadenza futura, ma non ha ancora iniziato a compilare il modulo.
      2. Scaduta: il termine per l'invio del modulo della Valutazione sulla protezione dei dati è scaduto. Lo sviluppatore deve completare la valutazione o l'app subirà restrizioni.
      3. Inviata, sono necessarie ulteriori informazioni: lo sviluppatore ha inviato le risposte alle domande della Valutazione sulla protezione dei dati, Meta ha avviato il processo di controllo, ma si richiedono chiarimenti.
      4. Inviata, violazioni trovate: lo sviluppatore ha inviato le risposte alle domande della Valutazione sulla protezione dei dati, Meta ha avviato il processo di controllo e confermato che l'app viola una o più delle nostre Condizioni della piattaforma. In base alla loro gravità, le violazioni potrebbero essere risolvibili prima dell'applicazione delle restrizioni. Tuttavia, le violazioni più gravi non prevedono un periodo di avviso.
      5. Inviata, in fase di controllo: lo sviluppatore ha inviato le risposte alle domande della Valutazione sulla protezione dei dati o ha risposto alla richiesta di ulteriori informazioni. Meta ha avviato il processo di controllo. La valutazione non è ancora completata.
      6. Inviata, nessuna violazione trovata: lo sviluppatore ha inviato le risposte alle domande della Valutazione sulla protezione dei dati, Meta ha completato il processo di controllo e rilevato che l'app è conforme alle nostre Condizioni della piattaforma. Non occorrono ulteriori azioni.

  5. Ho completato la valutazione lo scorso anno. Dove posso scaricare le mie risposte?

    1. Purtroppo, non potrai scaricare le risposte delle precedenti valutazioni poiché abbiamo modificato il questionario per una maggiore chiarezza. Una volta inviate le risposte per questa valutazione, potrai visualizzarle e scaricarle in formato PDF.

Controllo

  1. Gli addetti al controllo di Meta mi sottoporranno ulteriori domande prima di prendere qualsiasi decisione?

    1. Se, in base alle tue risposte, gli addetti al controllo di Meta avranno bisogno di ulteriori informazioni, ti sottoporremo alcune domande a scopo di chiarimento. Ecco come ti informeremo in questo caso:
      1. Notifiche:
        1. Verrà inviata un'e-mail all'indirizzo e-mail di contatto dello sviluppatore o dell'account business. Modifica le tue impostazioni personali di notifica per gli sviluppatori qui.
        2. Verrà inviato un messaggio negli avvisi della posta nella Dashboard gestione app.
        3. Verrà inviata una notifica all'amministratore dell'app tramite la Dashboard gestione app.
      2. Azioni richieste:
        1. Nella pagina Le mie app, vedrai la notifica "Azione richiesta" nella scheda informativa dell'app denominata "Valutazione sulla protezione dei dati".
        2. Nella Dashboard gestione app, vedrai l'avviso "Azione richiesta" in alto.
      3. Stato: azione richiesta.

  2. Ho ricevuto un'e-mail secondo cui Meta ha bisogno di ulteriori informazioni. Perché?

    1. Questa è un'occasione per collaborare con gli addetti al controllo di Meta, i quali devono essere assolutamente certi prima di prendere qualsiasi decisione circa la conformità dell'app alle nostre Condizioni della piattaforma.

  3. Come posso rispondere alle domande degli addetti al controllo di Meta?

    1. Le notifiche che riceverai (descritte in precedenza) includeranno un link alla valutazione, dove potrai trovare, nella parte superiore della pagina, maggiori dettagli sulle ulteriori informazioni richieste dagli addetti al controllo di Meta. Ti invitiamo a fornire le risposte nel modulo e a caricare l'eventuale documentazione necessaria. Assicurati di cliccare su "Invia" una volta fornite le risposte.

  4. Quanto tempo ho a disposizione per rispondere alle domande degli addetti al controllo di Meta?

    1. Se riceverai una richiesta "Sono necessarie ulteriori informazioni", avrai a disposizione 5 giorni lavorativi per rispondere. Se non risponderai entro questo termine, ti verranno concesse in automatico 2 estensioni, per un totale di 15 giorni lavorativi.

Risposta alle violazioni

  1. La mia app subirà restrizioni in caso di violazioni alle Condizioni della piattaforma?

    1. Sì. Le restrizioni imposte all'app variano in base alla violazione.

  2. Gli addetti al controllo di Meta si metteranno in contatto con me se viene rilevata una violazione?

    1. Sì. Se, in base alle tue risposte alla valutazione, gli addetti al controllo di Meta individuano una violazione, ti contatteranno nelle seguenti modalità:
      1. Notifiche:
        1. Verrà inviata un'e-mail all'indirizzo e-mail di contatto dello sviluppatore o dell'account business. Modifica le tue impostazioni personali di notifica per gli sviluppatori qui.
        2. Verrà inviato un messaggio negli avvisi della posta nella Dashboard gestione app.
        3. Verrà inviata una notifica all'amministratore dell'app tramite la Dashboard gestione app.
      2. Azioni richieste:
        1. Nella pagina Le mie app, vedrai la notifica "Azione richiesta" nella scheda informativa dell'app.
          1. Se la violazione è riconducibile al mancato invio della valutazione entro il termine previsto, vedrai nella scheda informativa "Valutazione sulla protezione dei dati: scaduta".
          2. Se hai inviato la Valutazione sulla protezione dei dati ed è stata rilevata una violazione, vedrai nella scheda informativa "Violazioni trovate".
        2. Nella Dashboard gestione app, vedrai l'avviso "Azione richiesta" in alto.
      3. Stato: violazioni trovate.

  3. Cosa succede se non rispondo?

    1. La mancata risposta è considerata una violazione delle Condizioni della Piattaforma.
      1. Dopo 60 giorni, se non avrai ancora risposto la tua app sarà disattivata.
        1. Ripristina l'app completando e inviando la valutazione.
        2. Se riceverai una richiesta "Sono necessarie ulteriori informazioni", avrai a disposizione 5 giorni lavorativi per rispondere. Se non risponderai entro questo termine, ti verranno concesse in automatico 2 estensioni, per un totale di 15 giorni lavorativi. Dopo 15 giorni lavorativi, verranno presi provvedimenti nei confronti della tua app.
        3. La tua app potrebbe subire restrizioni se non rispetterai questi termini. Puoi accedere alla pagina Le mie app per visualizzare eventuali app con restrizioni dovute a violazioni.
          1. In base alla loro gravità, le violazioni potrebbero essere risolvibili prima dell'applicazione delle restrizioni. Tuttavia, le violazioni più gravi non prevedono un periodo di avviso. Per risolvere una violazione, cerca nella pagina Le mie app il link "Risolvi" e segui la procedura indicata.

  4. Come posso chiedere un'estensione per fornire una risposta in caso di violazione?

    1. Per ciascuna violazione, se il termine per rispondere è di 3 giorni, vedrai il pulsante "Richiedi estensione". Puoi richiedere due estensioni pari alla durata del periodo di avviso (variabile in base alla violazione) che verranno approvate automaticamente.

  5. Come posso risolvere una violazione individuata nella Valutazione sulla protezione dei dati?

    1. Se viene rilevata una violazione e l'app ha subito restrizioni, potrai risolvere la violazione fornendo una risposta con prove attestanti la rimozione della violazione. Una volta inviata, la risposta verrà controllata da un addetto al controllo di Meta, che fornirà una risposta direttamente nel modulo "Risolvi violazioni".

Condizioni della piattaforma 3 (uso dei dati)

  1. La giurisdizione di riferimento della mia app, o dei miei utenti, non prevede una legge applicabile che imponga l'eliminazione dei dati dell'utente dietro sua richiesta (ad es., Unione europea o California). Secondo le normative di Meta, la mia app deve comunque rispettare le richieste di eliminazione da parte degli utenti e ho comunque l'obbligo di fornire nella mia informativa sulla privacy istruzioni su come gli utenti possono richiedere l'eliminazione?

    1. Sì. Anche se la giurisdizione di riferimento della tua app, o dei tuoi utenti, non prevede l'obbligo di eliminazione dei dati dell'utente dietro sua apposita richiesta, le nostre Condizioni della piattaforma ti impongono comunque di: 1) eliminare i Dati della piattaforma quando un utente richiede l'eliminazione; 2) illustrare nella tua informativa sulla privacy in che modo gli utenti possono eliminare i propri dati, a meno che non sussista una legge o un regolamento applicabile che precluda il rispetto di questi due requisiti di Meta.

  2. La mia azienda usa i Dati della piattaforma per consentire agli utenti di selezionare i criteri di match desiderati per le app di incontri o per evitare la visualizzazione di determinati contenuti (ad es. vendita di alcolici) da parte di utenti minorenni. Ciò implica che stiamo usando i Dati della piattaforma per discriminare determinate persone in base a razza, etnia, colore, nazionalità, religione, età, genere, orientamento sessuale, identità di genere, stato familiare, disabilità, patologia o malattia genetica?

    1. No. L'uso dei Dati della piattaforma per consentire agli utenti di impostare criteri sulle app di incontri o per applicare limitazioni ai contenuti in base all'età non costituisce una discriminazione nei confronti di determinate persone in base a razza, etnia, colore, nazionalità, religione, età, genere, orientamento sessuale, identità di genere, stato familiare, disabilità, patologia o malattia genetica nella Valutazione sulla protezione dei dati.

  3. Non siamo in grado di eliminare in automatico i dati: quali sono le conseguenze della mancata eliminazione da parte della mia app dei Dati della piattaforma in alcune o in tutte le circostanze previste da Meta?

    1. L'eliminazione non deve essere effettuata automaticamente. Nel rispondere alle domande della Valutazione sulla protezione dei dati relative all'eliminazione dei Dati della piattaforma in determinante circostanze, rispondi in modo affermativo se la tua normativa prevede l'eliminazione, che sia manuale o automatica.

  4. Le condizioni di Meta mi impongono di eliminare i Dati della piattaforma di un utente se questo elimina il suo account nella mia app. Tuttavia, non sono in grado di farlo poiché la mia app è priva della funzionalità di callback necessaria per sapere se un utente ha eliminato il suo account Facebook. Questo significa che la mia app viola le condizioni di Meta?

    1. No, questo non significa che l'app viola le condizioni di Meta. La funzionalità di callback non è necessaria. Tuttavia, se disponi della funzionalità di callback, devi eliminare i Dati della piattaforma se un utente elimina il suo account Facebook. Hai inoltre l'obbligo di eliminare i Dati della piattaforma se un utente elimina il suo account in-app.

Condizioni della piattaforma 4 (informativa sulla privacy)

  1. L'informativa sulla privacy della mia app include una dichiarazione secondo cui gli utenti possono richiedere l'eliminazione dei loro dati. È sufficiente?

    1. Questa dichiarazione, di per sé, non è sufficiente. È necessario fornire istruzioni su come gli utenti possono inviarti le loro richieste.

Condizioni della piattaforma 5 (fornitori di servizi e fornitori di soluzioni tecnologiche)

  1. Che cosa si intende con fornitori di servizi?

    1. I fornitori di servizi sono entità di cui puoi avvalerti per fornire i servizi in relazione alla Piattaforma o ai Dati della piattaforma. Ad esempio, Google Cloud e Amazon Web Services (AWS) sono grandi fornitori di servizi molto conosciuti.

  2. Che cosa si intende con subfornitori di servizi?

    1. I subfornitori di servizi sono fornitori di servizi a cui si rivolgono altri fornitori di servizi per ricevere i servizi correlati alla Piattaforma o ai Dati della piattaforma.

  3. Che cosa si intende con fornitore di soluzioni tecnologiche?

    1. I fornitori di soluzioni tecnologiche sono sviluppatori di app il cui scopo principale è consentire agli utenti di accedere alla Piattaforma e ai Dati della piattaforma e di usarli. Di solito, lo scopo principale dei fornitori di soluzioni tecnologiche è consentire agli utenti di accedere a Meta for Developers o ai Dati della piattaforma e di usarli.

  4. Che cosa si può considerare un contratto scritto per le finalità "Altro", come indicato nella domanda 4?

    1. Gli esempi di contratti scritti comprendono condizioni d'uso, contratti standard non negoziati o contratti sottoscritti.

Condizioni della piattaforma 6 (sicurezza dei dati)

  1. Che cosa devo fare per dimostrare la conformità alla Sezione 6.a.i delle Condizioni della piattaforma in merito alla sicurezza dei dati di Meta?

    1. Per dimostrare la conformità, ti chiederemo se disponi di una certificazione sulla sicurezza delle informazioni emessa da un revisore terzo. Pur non essendo obbligatoria, tale certificazione è uno dei modi per dimostrare la propria conformità. Ti chiederemo anche quali sono le specifiche misure di protezione che implementi. Meta valuterà le tue risposte in base ai suoi criteri interni e ti ricontatterà in caso di ulteriori domande o per richiederti l'implementazione di altre misure di protezione.

  2. Devo ottenere una certificazione Information Security Framework (ISF) o Cybersecurity Framework (CSF) da un revisore terzo?

    1. No, non è necessario ottenere la certificazione di un revisore. Le organizzazioni in possesso delle certificazioni SOC 2, ISO 27001, ISO 27018 o PCI DSS possono inviarle come prova.
      1. Le certificazioni devono essere pertinenti all'ambiente informatico di trattamento o memorizzazione dei Dati della piattaforma.
    2. Ti chiederemo quali sono le specifiche misure di protezione da te implementate indipendentemente dall'invio di una certificazione di sicurezza.

  3. Se non presento una certificazione di sicurezza, a quali domande dovrò rispondere in merito alle misure di sicurezza dei dati implementate?

    1. Tutti gli sviluppatori tenuti a completare la Valutazione sulla protezione dei dati dovranno indicare se hanno implementato una delle seguenti soluzioni:
      1. Applicazione della crittografia a riposo a tutti gli archivi dei Dati della piattaforma (ad es., tutti i file del database, i backup, i bucket di archiviazione degli oggetti)
      2. Controlli amministrativi e/o tecnici per proteggere i Dati della piattaforma memorizzati su dispositivi dell'organizzazione (ad es., computer portatili o supporti rimovibili smarriti o sottratti); sono accettabili diversi controlli, fra cui, ad esempio, la documentazione scritta della normativa con formazione annuale o promemoria per evitare la memorizzazione dei Dati della piattaforma su tali dispositivi oppure controlli tecnici.
      3. Abilitazione della crittografia TLS 1.2 o versioni successive per tutte le connessioni di rete pubbliche in cui vengono trasmessi Dati della piattaforma
    2. Inoltre, agli sviluppatori di app che hanno accesso a dati a rischio maggiore verrà chiesto se hanno implementato le seguenti misure di sicurezza aggiuntive:
      1. Test di app e sistemi in merito a vulnerabilità e problemi di sicurezza almeno ogni 12 mesi
      2. Protezione dei dati sensibili come credenziali e token d'accesso
      3. Test di sistemi e processi utilizzati per rispondere agli incidenti relativi alla sicurezza dei dati (ad es. violazioni dei dati e attacchi informatici)
      4. Richiesta dell'autenticazione a più fattori per l'accesso remoto
      5. Implementazione di un sistema per la gestione degli account (assegnazione, revoca, controllo di accessi e privilegi)
      6. Implementazione di un sistema per mantenere aggiornati ambienti e codici dei sistemi, compresi server, macchine virtuali, distribuzioni, librerie, pacchetti e software antivirus
      7. Nota: questa lista non è esaustiva e non deve essere intesa in sostituzione di un programma di sicurezza delle informazioni appropriato per la tua organizzazione

  4. Mi viene chiesto se la mia organizzazione applica la crittografia a riposo a tutti gli archivi dei Dati della piattaforma. A cosa si riferisce questa domanda? Si riferisce sia all'archiviazione cloud che all'archiviazione client?

    1. La crittografia a riposo protegge i Dati della piattaforma rendendoli indecifrabili senza una chiave di decodifica separata. Ciò fornisce un ulteriore livello di protezione contro gli accessi in lettura non autorizzati.
    2. Nei server o negli ambienti cloud, dove tendono a concentrarsi i Dati della piattaforma correlati a tutti gli utenti di un'app, la crittografia a riposo riduce il rischio di violazione dei dati. Ad esempio, la crittografia a riposo offre protezione contro minacce come l'accesso non autorizzato al backup di un database, che potrebbe presentare misure di protezione meno rigide rispetto al database di produzione stesso.
    3. Se la tua organizzazione memorizza i Dati della piattaforma sul cloud, DEVI proteggere questi dati con la crittografia a riposo o con opportuni controlli compensativi. È accettabile la crittografia a livello di app (ad es., un software crittografa/decodifica specifiche colonne in un database) o dell'intero disco. Sebbene si consigli di usare la crittografia standard del settore (ad es., ES, BitLocker, Blowfish, TDES, RSA), non imponiamo alcun algoritmo o lunghezza di chiave particolare.
    4. Questo requisito non è pertinente se la tua organizzazione NON memorizza i Dati della piattaforma sul cloud.
    5. Per maggiore chiarezza, i dati memorizzati nel web o su client mobili in merito ai singoli utenti del tuo servizio non rientrano nell'ambito di questa domanda.
    6. Questa domanda è pertinente se la tua organizzazione memorizza i Dati della piattaforma tramite prodotti IaaS cloud (ad es., AWS EC2, IaaS di Microsoft Azure e Google Compute Engine), se usi il self-hosting o un approccio ibrido.
    7. Tuttavia, esistono altri modelli di hosting back-end che costituiscono casi speciali: Uso di prodotti SaaS: se la tua organizzazione memorizza i Dati della piattaforma tramite un prodotto SaaS (ad es., MailChimp o Salesforce), questa domanda non è pertinente. Dovrai piuttosto illustrare questo rapporto nella sezione Fornitori di servizi della Valutazione sulla protezione dei dati. Uso dell'hosting PaaS: se la tua organizzazione memorizza i Dati della piattaforma tramite un prodotto PaaS (ad es., AWS Elastic Beanstalk, Google App Engine, Force.com), questa domanda non è pertinente. Dovrai piuttosto illustrare questo rapporto nella sezione Fornitori di servizi della Valutazione sulla protezione dei dati. Uso dell'hosting BaaS: se la tua organizzazione memorizza i Dati della piattaforma tramite un prodotto BaaS (ad es., AWS Amplify, app mobili Azure, Azure Playfab, Google Firebase e MongoDB Switch), questa domanda non è pertinente. Dovrai piuttosto illustrare questo rapporto nella sezione Fornitori di servizi della Valutazione sulla protezione dei dati.

  5. Mi è stato chiesto in che modo evito che i Dati della piattaforma vengano memorizzati su dispositivi personali o dell'organizzazione. Quali misure di protezione sono accettabili?

    1. Gli sviluppatori devono predisporre controlli tecnici e/o amministrativi (ad es., normative e regole) per proteggere i Dati della piattaforma memorizzati su dispositivi dell'organizzazione (ad es., computer portatili o supporti rimovibili che potrebbero essere smarriti o sottratti). sono accettabili diversi controlli, fra cui, ad esempio, la documentazione scritta della normativa con formazione annuale o promemoria per evitare la memorizzazione dei Dati della piattaforma su tali dispositivi oppure controlli tecnici.

  6. Mi viene chiesto se la mia organizzazione si avvale della crittografia TLS 1.2 o versioni successive per tutte le connessioni di rete in cui vengono trasmessi i Dati della piattaforma. A cosa si riferisce questa domanda?

    1. Questa domanda si riferisce a qualsiasi trasferimento di dati su Internet comprendente i nostri Dati della piattaforma, che si tratti di trasferimenti da client mobili o web al tuo ambiente cloud o trasferimenti tra ambienti cloud tramite Internet.
    2. I Dati della piattaforma trasmessi tramite Internet sono accessibili a chiunque sia in grado di osservare il traffico di rete, quindi devono essere protetti mediante crittografia per evitarne la lettura da parte di tali soggetti non autorizzati. La crittografia in transito protegge i Dati della piattaforma durante la trasmissione lungo reti non affidabili (ad es., Internet) rendendoli decifrabili solo ai dispositivi di origine e destinazione. In questo modo, le parti intermedie della trasmissione non potranno leggere i Dati della piattaforma, anche se sono in grado di vedere il traffico di rete (il cosiddetto attacco man-in-the-middle). La crittografia in transito più diffusa è la TLS poiché si tratta della tecnologia che i browser usano per proteggere le comunicazioni verso i siti web, come quelli delle banche.
    3. Il seguente schema illustra le connessioni di rete che potrebbero comportare il trasferimento di Dati della piattaforma. Le linee gialle tratteggiate rappresentano le connessioni che devi proteggere mediante la crittografia TLS.
      Per i trasferimenti di dati interamente all'interno di reti private, ad esempio un AWS o GCP Virtual Private Cloud (VPC), la crittografia TLS è consigliata, ma non obbligatoria.
      Nella tabella seguente vengono riepilogati i requisiti di crittografia TLS per il trasferimento di Dati della piattaforma Meta.
      ConnessioniCriterio TLS

      Da e verso i dispositivi degli utenti finali (cellulari, PC, tablet, ecc.) e il tuo server o la tua infrastruttura cloud

      La crittografia TLS 1.2 o superiore deve essere abilitata sui dispositivi compatibili.

      È possibile abilitare la crittografia TLS 1.0 e 1.1 per motivi di compatibilità nei dispositivi meno recenti.

      Da e verso il tuo server o la tua infrastruttura cloud e qualsiasi server remoto, infrastruttura cloud o servizio di quarte parti

      È obbligatorio applicare la crittografia TLS 1.2 o superiore.

      Da e verso componenti interamente all'interno del tuo data center, del tuo server o della tua infrastruttura cloud privati

      La crittografia TLS è consigliata, ma non obbligatoria, per i trasferimenti di Dati della piattaforma interamente all'interno di una rete cloud privata.

      Da e verso Facebook e qualsiasi dispositivo, server o infrastruttura cloud

      Fuori dall'ambito di applicazione della Valutazione sulla protezione dei dati: Facebook controlla la normativa TLS per questi trasferimenti.

      Rivolgiti al direttore della sicurezza informatica o a un ruolo equivalente nella tua organizzazione o a una società specializzata in sicurezza informatica per indicazioni sulla corretta forma di crittografia e su altri controlli compensativi per l'app.

  7. Mi viene chiesto se la mia organizzazione testa la nostra app e i nostri sistemi per rilevare vulnerabilità e problemi di sicurezza almeno ogni 12 mesi. Quali tipologie di test sono accettabili?

    1. Gli sviluppatori di app che accedono alla piattaforma di Meta scrivono software per l'accesso ai Dati della piattaforma e il relativo trattamento, nonché per fornire servizi alle persone che usano il software. Questo software e le configurazioni di sistema correlate potrebbero presentare vulnerabilità di sicurezza che utenti malintenzionati potrebbero sfruttare, con conseguenti accessi non autorizzati ai Dati della piattaforma. Gli sviluppatori devono pertanto effettuare test in cerca di vulnerabilità e problemi di sicurezza così da individuarli in modo proattivo e, auspicabilmente, prevenire gli incidenti di sicurezza prima che si verifichino.
    2. I test di sicurezza devono essere eseguiti in diverse modalità nel corso del ciclo di vita dell'app. In genere, si tratta di una combinazione di metodi di test che vanno dalla semplice rilevazione delle vulnerabilità all'analisi della sicurezza dell'app fino ai test di penetrazione, in particolare in caso di trattamento di dati sensibili come le informazioni personali.
    3. Devi aver testato il software usato per il trattamento dei Dati della piattaforma per escludere la presenza di vulnerabilità di sicurezza mediante un test di penetrazione o una scansione delle vulnerabilità/analisi statica del software. I risultati del test devono indicare l'assenza di vulnerabilità critiche o di gravità elevata non risolte. Il test deve essere stato completato negli ultimi 12 mesi.
    4. Inoltre, se la tua organizzazione tratta i Dati della piattaforma sul cloud, occorre eseguire un test sulle vulnerabilità di sicurezza accettabile per escludere nello specifico le vulnerabilità di sicurezza del software cloud mediante un test di penetrazione di app/sistemi o una scansione delle vulnerabilità/analisi statica. Devi inoltre aver testato la tua configurazione cloud relativamente a possibili problemi di sicurezza. Questo requisito si applica indipendentemente dall'approccio di hosting (ad es., BaaS, PaaS, IaaS, self-hosted o ibrido).

  8. Mi viene chiesto se la mia organizzazione protegge dati sensibili come credenziali e token d'accesso. A cosa si riferisce questa domanda?

    1. Token d'accesso e chiavi segrete sono fondamentali per la sicurezza delle API di Meta poiché forniscono il controllo degli accessi ai dati disponibili tramite tali API. Se un soggetto non autorizzato ottiene l'accesso a queste credenziali, potrebbe chiamare le API di Meta, assumendo l'identità dello sviluppatore reale, ed effettuare azioni per cui abbiamo concesso l'autorizzazione all'app (ad es., lettura dei dati sugli utenti dell'app dalle nostre API).
    2. Nell'ambito dell'uso della piattaforma di Meta, gli sviluppatori hanno accesso a credenziali sensibili. In particolare:
      1. Chiavi segrete: Meta condivide le chiavi segrete con gli sviluppatori, aspettandosi che solo soggetti affidabili (ad es., amministratori delle app) all'interno delle loro organizzazioni vi abbiano accesso.
      2. Token d'accesso: quando gli utenti concedono l'autorizzazione alle app, gli sviluppatori ricevono credenziali, chiamate token d'accesso, utilizzate nelle successive chiamate API.
    3. I soggetti non autorizzati in grado di leggere queste credenziali sensibili possono usarle per chiamare le API di Meta come se fossero sviluppatori (ciò viene a volte definito rappresentazione di token), con conseguente accesso non autorizzato ai Dati della piattaforma. Pertanto, queste credenziali devono essere protette da accessi non autorizzati per evitare eventuali furti di identità.
    4. Per quanto riguarda le chiavi segrete, deve applicarsi una delle due seguenti condizioni:
      1. Gli sviluppatori non devono mai rivelare le chiavi segrete al di fuori degli ambienti server protetti (ad es., non vengono mai restituite da una chiamata di rete al browser o all'app mobile e le chiavi segrete non sono incorporate nel codice distribuito ai client mobili o nativi/desktop).
      2. Gli sviluppatori devono aver configurato le proprie app come di tipo native/desktop in modo che le nostre API non ritengano più affidabili le chiamate contenenti le chiavi segrete.
    5. Per quanto riguarda i token d'accesso, devono applicarsi tutte le seguenti condizioni:
      1. Nei dispositivi client, i token d'accesso di Meta non devono essere scritti in modo tale che altri utenti o processi possano leggerli.
      2. Se gli sviluppatori elaborano o memorizzano i token d'accesso di Meta nel cloud, deve applicarsi una delle due seguenti condizioni:
        1. Devono essere protetti da un insieme di credenziali o con crittografia delle app, in cui l'accesso alla chiave di decodifica è limitato all'app e non deve essere scritto nei file di registro.
        2. Devono essere protetti con opportuni controlli compensativi.

  9. Mi viene chiesto se la mia organizzazione testa i nostri sistemi e processi di risposta agli incidenti relativi alla sicurezza almeno ogni 12 mesi. A cosa si riferisce questa domanda?

    1. Prima o poi tutte le aziende subiscono un incidente di sicurezza, quindi è fondamentale che le organizzazioni abbiano previsto in anticipo le azioni da intraprendere per contenere gli incidenti, comunicare con gli stakeholder, riprendersi e imparare da quanto accaduto. In caso di incidente di sicurezza, disporre di un piano o di un manuale, con un team di persone formate sulle azioni da intraprendere, può ridurre la portata dell'incidente e, in definitiva, limitare l'esposizione dei Dati della piattaforma.
    2. Nonostante le organizzazioni presentino svariati livelli di efficienza nelle risposte agli incidenti, richiediamo almeno un piano di base che comprenda attività chiave (rilevare, reagire, recuperare e controllare), con responsabilità e ruoli assegnati al personale. Devi inoltre disporre di prove documentate che dimostrino che il piano è stato testato di recente (negli ultimi 12 mesi) e la partecipazione di tutto il personale in esso indicato.

  10. Mi viene chiesto se la mia organizzazione richiede l'autenticazione a più fattori per l'accesso remoto. A cosa si riferisce questa domanda?

    1. Una tecnica comune usata dagli utenti malintenzionati per ottenere l'accesso ai dati riservati prevede innanzitutto l'accesso agli strumenti usati dagli sviluppatori per creare o gestire le proprie app o i propri sistemi. Esistono strumenti sofisticati per ottenere le credenziali degli utenti (ad es., gli attacchi di phishing) al fine di hackerare gli account protetti solo mediante password. L'autenticazione a più fattori offre un ulteriore livello di sicurezza contro questo rischio.
    2. Gli sviluppatori software usano diversi strumenti per creare, implementare e amministrare le proprie app o i propri sistemi. È prassi comune utilizzare questi strumenti da remoto su Internet (ad es., un dipendente che lavora da casa e invia una nuova funzione software o aggiorna la configurazione cloud). Gli strumenti protetti con autenticazione a un solo fattore (nome utente e password) sono particolarmente esposti agli attacchi finalizzati al furto di account. Ad esempio, gli utenti malintenzionati possono usare strumenti per provare combinazioni di nome utente e password ricavate da uno strumento per ottenere l'accesso a un altro strumento. L'autenticazione a più fattori offre protezione contro questi tipi di attacchi richiedendo un ulteriore fattore rispetto alla password al momento dell'accesso (ad es., un codice generato da un'app di autenticazione).
    3. In relazione al trattamento dei Dati della piattaforma da parte di un'organizzazione, l'accesso remoto ai seguenti tipi di strumenti deve essere protetto mediante l'autenticazione a più fattori (non una semplice password):
      1. Strumenti usati per l'implementazione e la gestione di modifiche a codice/configurazione all'interno di app/sistemi
      2. Accesso amministrativo ad ambienti cloud o server, laddove applicabile
      3. In particolare:
        1. Strumenti di collaborazione/comunicazione, ad esempio e-mail aziendali o Slack
        2. Repository di codice, ad esempio GitHub o altri strumenti usati per tenere traccia di configurazioni/codice delle app/sistemi
      4. Se l'organizzazione tratta i Dati della piattaforma in un ambiente cloud/server:
        1. Strumenti di implementazione software, ovvero strumenti usati per l'implementazione del codice in ambienti cloud/server (ad es., Jenkins o altri strumenti di integrazione continua/implementazione continua)
        2. Strumenti amministrativi, ovvero portali o altri accessi usati per la gestione/il monitoraggio di ambienti server o cloud
        3. Accesso remoto ai server, ovvero SSH, computer remoti o strumenti simili usati per l'accesso remoto a server in esecuzione in ambienti server o cloud

  11. Mi viene chiesto se la mia organizzazione dispone di un sistema per la gestione degli account (assegnazione, revoca, controllo di accessi e privilegi). A cosa si riferisce questa domanda?

    1. Buone pratiche di gestione degli account sono fondamentali per prevenire l'utilizzo non autorizzato di account finalizzato ad accedere ai Dati della piattaforma. In particolare, gli sviluppatori devono assicurarsi che l'accesso a risorse o sistemi venga revocato quando non è più necessario. Gli account sono le unità di gestione di base per concedere alle persone l'accesso a sistemi, dati e funzioni amministrative. Agli account vengono concesse autorizzazioni che consentono azioni specifiche: una buona prassi è quella di concedere solo le autorizzazioni minime necessarie a un account (il cosiddetto principio del privilegio minimo).
    2. Quando una persona lascia un'organizzazione, è fondamentale che i suoi account utente vengano tempestivamente disabilitati per:
      1. prevenire gli accessi da parte di tale persona (l'ex dipendente);
      2. ridurre la probabilità che una persona non autorizzata possa usare l'account senza essere individuata. Ad esempio, utenti malintenzionati possono usare l'ingegneria sociale per indurre l'assistenza informatica a reimpostare la password di un account. Se l'account appartiene a un dipendente in servizio, è probabile che questo segnali l'impossibilità di effettuare l'accesso, mentre se l'account è ancora attivo ma appartiene a un ex dipendente, è facile che questo tipo di attacco passi inosservato.
    3. Per questo motivo, le organizzazioni devono dotarsi di un metodo sistematico per la gestione degli account, la concessione di autorizzazioni o privilegi e la revoca degli accessi non più necessari.
    4. Gli sviluppatori devono disporre di strumenti o processi per la gestione degli account per strumenti/sistemi/app:
      1. usati per la comunicazione con altri (ad es., Slack o e-mail aziendali);
      2. usati per l'invio di software (ad es., repository);
      3. usati per la gestione e amministrazione dei sistemi (se applicabile al trattamento dei Dati della piattaforma).
    5. Gli sviluppatori devono controllare regolarmente (almeno una volta ogni 12 mesi) le concessioni degli accessi e disporre di un relativo processo di revoca qualora questi: (1) non siano più necessari; (2) non siano più in uso.
    6. Gli sviluppatori devono inoltre disporre di un processo per revocare tempestivamente l'accesso a questi strumenti quando una persona lascia l'organizzazione.

  12. Mi viene chiesto se la mia organizzazione dispone di un sistema per mantenere aggiornati ambienti e codice, compresi server, macchine virtuali, distribuzioni e software antivirus. A cosa si riferisce questa domanda?

    1. I componenti software ricevono regolari aggiornamenti o patch per risolvere vulnerabilità di sicurezza. Questi componenti raggiungono la fine della loro vita quando non sono più supportati. Gli sviluppatori che integrano o si affidano a questi componenti devono mantenerli aggiornati per evitare l'uso di software con vulnerabilità note.
    2. Gli sviluppatori di app si servono di svariati software di terzi per l'esecuzione di app/sistemi per il trattamento dei Dati della piattaforma. Ad esempio, gli sviluppatori usano tutti o alcuni dei seguenti elementi:
      1. Librerie, SDK, pacchetti: gli sviluppatori integrano questi elementi nel loro codice personalizzato per creare un'app.
      2. Immagini di macchine virtuali, contenitori di app e sistemi operativi: le app vengono eseguite all'interno di uno o più tipi di questi contenitori, che forniscono servizi come la virtualizzazione e l'accesso a reti e archivi.
      3. Browser, sistemi operativi e altre app usate da dipendenti/collaboratori degli sviluppatori: software eseguiti su dispositivi mobili e computer portatili che gli sviluppatori usano per creare ed eseguire i propri sistemi.
    3. In questi componenti vengono regolarmente individuate vulnerabilità di sicurezza, con conseguente rilascio di patch. Le vulnerabilità risolte dalle patch vengono quindi divulgate in database pubblici con una valutazione della gravità (bassa, media, alta o critica). Per questo motivo gli sviluppatori nella nostra piattaforma devono dotarsi di un metodo sistematico di gestione delle patch con le seguenti modalità:
      1. Identificazione delle patch pertinenti per le proprie app e i propri sistemi
      2. Definizione delle priorità delle urgenze in base all'esposizione
      3. Applicazione di patch come attività aziendale continua
    4. Per i seguenti componenti software, laddove applicabile, gli sviluppatori devono dotarsi di un metodo sistematico per identificare le patch disponibili in grado di risolvere le vulnerabilità di sicurezza, stabilire le priorità in base ai rischi e applicare le patch come attività continua:
      1. Librerie, SDK, pacchetti, contenitori di app e sistemi operativi usati in ambienti server o cloud
      2. Librerie, SDK, pacchetti usati su dispositivi client (ad es., all'interno di app mobili)
      3. Sistemi operativi e app usati dai membri dell'organizzazione per la creazione e gestione di app e sistemi (ad es., sistemi operativi e browser in esecuzione sui computer portatili dei dipendenti)

  13. Cosa devo fare se non dispongo di uno o più controlli di sicurezza in atto, ma ho implementato controlli di sicurezza compensativi?

    1. Se ritieni che uno dei controlli richiesti da Meta non sia opportuno per la tua modalità di utilizzo (ad es., memorizzazione o trattamento) dei Dati della piattaforma di Meta o se implementi controlli compensativi per una o più delle suddette misure di protezioni, ti invitiamo a illustrare la tua situazione e fornire prove atte a risolvere la violazione. Se hai ricevuto una nostra e-mail in merito ai requisiti di conformità, segui le istruzioni che contiene per fornire una risposta nella Dashboard gestione app. Se non trovi la notifica e-mail, visita la pagina Le mie app o la Dashboard gestione app per l'app interessata.

  14. Mi è stato chiesto se esiste un metodo di dominio pubblico che consenta alle persone di segnalarci le vulnerabilità di sicurezza. Dobbiamo avere un canale apposito a tale scopo?

    1. Sebbene le nostre normative non richiedano un canale separato per la segnalazione delle vulnerabilità di sicurezza (qualsiasi informazione di contatto regolarmente monitorata, quali indirizzi e-mail, moduli di contatto o numeri di telefono, sarà conforme), consigliamo agli sviluppatori di predisporre un programma strutturato a tale scopo, ad esempio mediante la gestione di un programma di divulgazione delle vulnerabilità (Vulnerability Disclosure Program, VDP) su BugCrowd o HackerOne.

  15. Le comunicazioni che ho ricevuto dal team addetto al controllo DPA contengono un riferimento a un numero di domanda. A cosa si riferisce questo numero?

    1. Le comunicazioni che ricevi dal nostro team addetto al controllo potrebbero contenere un riferimento a un numero di domanda. Questi numeri servono principalmente per le procedure di controllo interne, ma a scopo puramente informativo puoi consultare i rispettivi riferimenti:
      1. Q9 - Crittografia a riposo in un ambiente cloud o server.
      2. Q10 - Protezione dei Dati della piattaforma su dispositivi aziendali o personali.
      3. Q11 - Protezione dei Dati della piattaforma con crittografia in transito.
      4. Q12 - Test dell'app e dei sistemi in merito alle vulnerabilità di sicurezza.
      5. Q13 - Protezione della chiave segreta e dei token d'accesso di Meta.
      6. Q14 - Predisporre un piano di risposta agli incidenti e testare sistemi e processi di risposta agli incidenti.
      7. Q15 - Richiedere l'autenticazione a più fattori per l'accesso remoto.
      8. Q16 - Predisporre un sistema per il mantenimento degli account utente.
      9. Q17 - Tenere aggiornato il software.

  16. Ho ricevuto un feedback dal team addetto al controllo DPA sulla mancanza o l'insufficienza di prove relative a normative o procedure. Cosa si intende per prove relative a normative o procedure?

    1. Potresti ricevere una domanda di follow-up sulle prove relative a normative o procedure correlata a una o più domande sulla sicurezza dei dati, contrassegnate da uno dei seguenti numeri da parte del team addetto al controllo di Meta: Q9, Q10, Q11, Q12, Q13, Q14, Q15, Q16 e Q17.

      In ciascuno di questi casi, con prove relative a normative o procedure si fa riferimento alla documentazione scritta che descrive l'approccio della tua organizzazione per l'implementazione di specifiche misure di protezione della sicurezza dei dati. Ad esempio, la tua organizzazione potrebbe avere disporre della seguente documentazione scritta:
      1. Normativa di autenticazione che afferma che tutti gli strumenti business, di sviluppo e di amministrazione di sistema in cui è possibile accedere ai Dati della piattaforma devono essere protetti con l'autenticazione a più fattori.
      2. Normativa di crittografia che afferma che tutti i Dati della piattaforma Meta devono essere protetti con crittografia in transito e crittografia a riposo.
      3. Procedura di applicazione di patch che indica con quale frequenza si devono adottare opportune misure per rilevare eventuali patch di sicurezza disponibili che interessano l'applicazione cloud dell'organizzazione, come fare una valutazione d'impatto per ciascuna patch, stabilisce il tempo massimo per implementare le patch in base alla gravità e come implementarle.
      Questi esempi sono tutti tipologie accettabili di documentazione normativa o procedurale per la questione pertinente. Gli addetti al controllo DPA di Meta controlleranno i documenti da te forniti per verificare che il tuo approccio soddisfi i nostri requisiti. Per maggiori informazioni, inclusi ulteriori esempi e dettagli su come preparare le prove normative per l'invio, consulta la nostra documentazione per gli sviluppatori sulla preparazione delle prove.

  17. Ho ricevuto un feedback dal team addetto al controllo DPA sulla mancanza o l'insufficienza di prove relative all'implementazione. Cosa si intende per prove relative all'implementazione?

    1. Potresti ricevere una domanda di follow-up sulle prove relative all'implementazione correlata a una o più domande sulla sicurezza dei dati. Le domande sulla sicurezza dei dati sono talvolta contrassegnate da un numero: Q9, Q10, Q11, Q12, Q13, Q14, Q15, Q16 e Q17.

      In ciascuno di questi casi, è importante includere le prove relative all'implementazione per dimostrare di aver messo in pratica le normative o le procedure documentate. Queste prove potrebbero includere screenshot di sistemi di amministrazione e output di strumenti che mostrano come un'organizzazione abbia effettivamente attuato il proprio approccio per le misure di protezione. Prove di implementazione accettabili devono dimostrare che l'implementazione della tua organizzazione soddisfa i requisiti di Meta per la protezione. Devi presentare almeno una prova di implementazione per ogni misura di protezione.

      Per maggiori informazioni, consulta i documenti per gli sviluppatori sulla preparazione delle prove per ogni misura di protezione:
      1. Crittografia a riposo in un ambiente cloud o server.
      2. Protezione dei Dati della piattaforma su dispositivi aziendali o personali.
      3. Protezione dei Dati della piattaforma con crittografia in transito.
      4. Test dell'app e dei sistemi in merito alle vulnerabilità di sicurezza.
      5. Protezione della chiave segreta e dei token d'accesso di Meta.
      6. Predisporre un piano di risposta agli incidenti e testare sistemi e processi di risposta agli incidenti.
      7. Richiedere l'autenticazione a più fattori per l'accesso remoto.
      8. Predisporre un sistema per il mantenimento degli account utente.
      9. Tenere aggiornato il software.

  18. Mi è stato chiesto in che modo proteggo i dati della piattaforma sui dispositivi aziendali e personali. Quali sono i requisiti di Meta?

    1. Potresti ricevere una domanda di follow-up sulle misure adottate dalla tua organizzazione contro la perdita dei Dati della piattaforma che potrebbero essere memorizzati su dispositivi aziendali e personali. Queste domande potrebbero essere contrassegnate da un numero: Q10a o Q10b.

      Meta ti richiede di dimostrare almeno uno dei seguenti aspetti:
      1. La tua organizzazione adotta opportune misure per bloccare l'accesso ai sistemi che contengono Dati della piattaforma Meta ad eccezione dei dispositivi che rispondono a uno o entrambi i requisiti seguenti:
        1. Tutti i dispositivi devono avere la crittografia completa del disco abilitata, ad esempio tramite FileVault o BitLocker.
        2. Tutti i dispositivi devono avere un software DLP endpoint in esecuzione, ad esempio Microsoft Intune o Symantec DLP.
      2. La tua organizzazione ha predisposto una normativa che vieta a chiunque al suo interno di archiviare i Dati della piattaforma Meta su qualsiasi dispositivo aziendale o personale e hai prove scritte che le persone nella tua organizzazione sono obbligate a seguire questa normativa.
      3. La tua organizzazione ha predisposto una normativa in cui si stabilisce quanto segue:
        1. Solo coloro che hanno necessità di accedere ai Dati della piattaforma sui dispositivi aziendali e il cui scopo aziendale sia stato autorizzato possono elaborare i Dati della piattaforma E
        2. Tali soggetti sono tenuti a eliminare i Dati della piattaforma da questi dispositivi una volta esaurito lo scopo aziendale autorizzato.
      4. I Dati della piattaforma Meta non sono mai accessibili a nessuno nella tua organizzazione in ragione del modo in cui il tuo software è progettato (ad esempio, i Dati della piattaforma Meta vengono archiviati solo nella memoria transitoria nei dispositivi dei clienti finali).

  19. Cos'è una chiave segreta di Facebook o Meta?

    1. Potresti ricevere una domanda di follow-up sulle misure che hai adottato per proteggere la chiave segreta di Facebook o Meta. Questa domanda può essere anche contrassegnata dal numero Q13.

      La chiave segreta è un parametro associato alle app Facebook che può essere usato come token d'accesso in specifiche chiamate API per modificare la configurazione dell'app, ad esempio configurando le callback dei webhook. Puoi trovare la chiave segreta di Facebook della tua app nella dashboard per sviluppatori in Impostazioni > Impostazioni di base. Per maggiori informazioni sulla chiave segreta, consulta la nostra documentazione per gli sviluppatori sulla Protezione degli accessi.

      Per maggiori informazioni sui nostri requisiti per proteggere la chiave segreta e i token d'accesso dell'utente, comprese tutte le prove che potresti dover fornire, consulta Proteggere la chiave segreta e i token d'accesso di Meta.

  20. Mi è stato chiesto in che modo gestisco e mantengo gli account. Quali sono i requisiti di Meta?

    1. Potresti ricevere una domanda di follow-up in relazione al sistema implementato dalla tua organizzazione per la gestione degli account e alcuni processi correlati. Questa domanda potrebbe anche essere contrassegnata dal numero Q16.
      1. Devi disporre di uno strumento o di un processo per concedere e revocare l'accesso alle app e ai sistemi che la tua organizzazione usa per le comunicazioni interne, lo sviluppo e la spedizione di software nonché l'amministrazione di questi sistemi/applicazioni, nella misura in cui siano applicabili all'elaborazione dei Dati della piattaforma.
      2. Devi disporre di una procedura che preveda la revisione almeno ogni 12 mesi degli accessi accordati in precedenza e la revoca delle concessioni che non sono più richieste o utilizzate.
      3. Devi disporre di un processo per revocare tempestivamente l'accesso a tutte le app e tutti i sistemi quando una persona lascia l'organizzazione.
      Per maggiori informazioni, inclusi dettagli su qualsiasi prova che potresti dover fornire, consulta la nostra documentazione per gli sviluppatori Predisporre un sistema per il mantenimento degli account utente.

  21. Mi è stato chiesto in che modo testo il mio sistema/software per rilevare eventuali vulnerabilità. Quali sono i requisiti di Meta?

    1. Potresti ricevere una domanda di follow-up in relazione ai test adottati dalla tua organizzazione per rilevare eventuali vulnerabilità del tuo sistema/software. Questa domanda potrebbe anche essere contrassegnata dal numero Q12.

      Se la tua organizzazione elabora i Dati della piattaforma Meta in un ambiente cloud (ad esempio, AWS, Azure, GCP, Alibaba Cloud, Tencent Cloud):
      1. Devi aver testato il tuo software cloud per rilevare eventuali vulnerabilità relative alla sicurezza con una delle seguenti modalità:
        1. Test di penetrazione o scansione esterna dell'app o del sistema.
        2. Strumento di protezione per l'analisi statica o dinamica del software.
        3. Programma di segnalazione delle vulnerabilità conforme ai nostri requisiti.
      2. Devi inoltre aver testato la tua configurazione delle risorse cloud per rilevare eventuali vulnerabilità con una delle seguenti modalità:
        1. Uno strumento fornito dall'host cloud.
        2. Un altro strumento commerciale o open source.
        3. Programma di segnalazione delle vulnerabilità conforme ai nostri requisiti.
        4. Se un controllo della configurazione del cloud non è applicabile alla tua organizzazione, devi spiegare perché non sarebbe applicabile come parte delle prove dimostrate.
      3. Devi dimostrare che entrambe le procedure di test sopra sono state eseguite nei 12 mesi precedenti.
      Meta richiede generalmente che tutte le vulnerabilità critiche o con livello di gravità alto siano state risolte.

      Se la tua organizzazione elabora i Dati della piattaforma Meta in un ambiente server ospitato in modo diverso:
      1. Devi aver testato il tuo software server per rilevare eventuali vulnerabilità relative alla sicurezza con una delle seguenti modalità:
        1. Test di penetrazione o scansione esterna dell'app o del sistema.
        2. Strumento di protezione per l'analisi statica o dinamica del software.
        3. Programma di segnalazione delle vulnerabilità conforme ai nostri requisiti.
    Meta richiede generalmente che tutte le vulnerabilità critiche o con livello di gravità alto siano state risolte.

    Per tutte le altre organizzazioni:
    1. Devi aver testato il tuo software client per rilevare eventuali vulnerabilità relative alla sicurezza con una delle seguenti modalità:
      1. Test di penetrazione o scansione esterna.
      2. Strumento di protezione per l'analisi statica o dinamica.
      3. Programma di segnalazione delle vulnerabilità conforme ai nostri requisiti.
    2. Devi dimostrare che questa procedura di test è stata eseguita nei 12 mesi precedenti.
    Meta richiede generalmente che tutte le vulnerabilità critiche o con livello di gravità alto siano state risolte.

    Per maggiori informazioni, inclusi dettagli su qualsiasi prova che potresti dover fornire, consulta la nostra documentazione per gli sviluppatori Testare l'app e i sistemi in merito a vulnerabilità e problemi di sicurezza.


  22. Mi è stato chiesto in che modo mantengo i miei sistemi aggiornati. Quali sono i requisiti di Meta?

    1. Potresti ricevere una domanda di follow-up in relazione al sistema implementato dalla tua organizzazione per mantenere codice e ambienti di sistema aggiornati. Questa domanda potrebbe anche essere contrassegnata dal numero Q17.
      2. Devi dimostrare un processo definito e ripetibile finalizzato a:
      1. Rilevare eventuali patch per la risoluzione delle vulnerabilità di sicurezza che siano applicabili al software che utilizzi per elaborare i Dati della piattaforma Meta.
      2. Definire il grado di priorità di queste patch sulla base del rischio.
      3. Applicare le patch come attività continua.
      Assicurati di includere abbastanza dettagli sul modo in cui il tuo software elabora i dati della piattaforma, così da poter verificare che il tuo processo soddisfi tutti i requisiti sopra indicati. Ad esempio, non è accettabile limitarsi a spiegare che l'organizzazione attua una procedura di applicazione di patch per il sistema operativo del server senza spiegare l'approccio adottato per altri livelli dello stack (ad esempio, livello di virtualizzazione, livello del contenitore, livello del contenitore delle applicazioni, librerie o dipendenze all'interno della tua applicazione).

      Per maggiori informazioni, consulta la nostra documentazione per gli sviluppatori Tenere aggiornato il software.

Tieni presente che queste FAQ hanno lo scopo di fornire informazioni e link utili per aiutarti a rispondere alla DPA; tuttavia, la nostra valutazione DPA si basa sui Requisiti di sicurezza dei dati. Le FAQ sono solo una guida e non vanno intese in contraddizione o in sostituzione dei requisiti.

Per saperne di più