原标题：使用Facebook登陆的开发者请注意！不按照要求定期验证数据安全，将被取消使用API资格导致玩家无法登陆

作者：Enjoy出海

来源：Enjoy出海开发者服务平台

题图来源 | pexels

近期有开发者小伙伴反馈，App 收到了 Facebook 方面的提示，提示开发者违反了 Facebook 平台的政策，如果不在限定期限做出调整将被禁止使用 Facebook 相关的功能，无法通过 Facebook 获取到玩家的数据信息，最直接的影响就是玩家将无法使用 Facebook 登录游戏。

开发者违反的政策内容

这个政策藏得很深，开发者一般注意不到。短期运营的开发者也不会出现这类问题，这个问题对于长线运营并使用 Facebook 相关功能的开发者影响很大。这个政策是关于数据保护方面的，Facebook 目前对于数据方面比较敏感，查得也是很严，在长线运营的开发者一定注意这项政策内容，下面我们详细了解下关于这种政策的内容，还未定期测试数据安全的开发者也可以尽快准备起来以防突击检查。

数据使用情况检查

Facebook 为助力用户构建社群和让世界联系更紧密的使命，维护安全且蓬勃发展的开发者生态系统至关重要。为确保商家和开发者在使用开放平台和工具时，能清楚地了解自己在保护数据和尊重用户隐私方面需分担的责任。为了确保开发者负责任地使用开放平台所需的工具和信息，便在 2020 年推出了这项数据使用情况检查政策。

这是面向 Facebook 开放平台开发者的年度工作流程。通过启用数据使用情况检查，开发者需要在 60 天内检查其有权访问的权限，并承诺其 API 访问和数据使用符合 Facebook 开放平台条款和开发者政策，否则可能会失去 API 访问权限。

开发者可在开发者提醒（发送给已注册联系人的电子邮件）以及应用面板内的“任务列表”中接收到相关信息。

管理多个应用的开发者可选择一次性完成对多个应用的数据使用情况检查。前往应用面板上的“我的应用”页面，即可访问此流程。在此页面上，会看到担任管理员的所有应用、能够筛选范围，将结果缩小至子集，并批量完成数据使用情况检查。但是，仍需在此流程中检查管理每个应用，以及有权访问的所有权限，并承诺会遵循 Facebook 开放平台条款和开发者政策使用开放平台。

数据保护评估

在 2021 年 Facebook 又追加了新的政策措施“数据保护评估”，其目的是为开放平台上的用户数据管理和保护提供安全保障。这是 Facebook 引入的数据保护举措的后续阶段，目的是确保在对用户隐私与数据安全做出的承诺方面不断取得进步。

根据 Facebook 开放平台条款中的描述，全新推出的数据保护评估是一份有关应用访问高级权限的调查问卷，重点关注开发者（直接集成人员和技术提供方）对开放平台数据的使用、分享和保护。Facebook 还将询问隐私权政策以及数据安全实践的实施情况。如果应用需要访问敏感度最高的用户数据，开发者则需要提供相关证据（如与开放平台数据相关服务提供商之间的合同语言示例、SOC2 等任何第三方数据安全证书、用户可报告所发现的平台漏洞的链接以及用户申请删除数据的方式说明）来支持他们对评估的响应。所有收到数据保护评估调查问卷的开发者必须在 60 天内提交评估，否则会面临丢失开放平台访问权限的风险。

数据保护评估与数据使用情况检查不同，后者关注的是应用具有访问权限的具体权限，这是一项每年都需要进行的流程，要求开发者确认他们继续使用的 Facebook 数据是否符合平台政策。通过数据使用情况检查和数据保护评估的组合，能够让 Facebook 更全面地了解应用对开放平台数据的访问方式及其用于确保数据安全的方法。

每年需要测试应用和系统，以发现漏洞和安全问题

Facebook 规定，测试应用和系统以发现漏洞和安全问题的频率不能低于每年一次。开发者必须开展测试，积极寻找漏洞和安全问题，从而防患于未然。

. 使用 Facebook 开放平台的应用开发者通过他们配置和运行的应用/系统编写软件，然后利用这一软件来处理开放平台数据；

. 软件和系统配置可能包含不法分子所觊觎的安全漏洞，导致开放平台数据遭到未经授权的访问。

测试要求

开发者必须通过以下任一方式，对用于处理开放平台数据的软件开展测试，以寻找安全漏洞：

. 对应用/系统执行渗透测试；

. 对软件进行漏洞扫描/静态分析。

测试结果必须显示不存在未解决的重大或高风险漏洞，测试必须在过去 12 个月内完成过。

服务器端处理开放平台数据的开发者还需满足更多要求：

. 对应用/系统执行渗透测试；

. 漏洞扫描/静态分析。如果开发者正在使用云托管提供商的服务，也必须对云配置开展测试，以发现安全问题。无论采用的是哪种托管方式，例如 BaaS、PaaS、IaaS、自托管或混合托管，此项要求均适用。

资料提交指南

如果组织在云或服务器环境中处理开放平台数据，资料则包括：

. 提交资料表明已经执行了渗透测试或运行了 SAST 工具。应包含以下信息：

. 测试范围描述，测试完成日期（日期应在过去 12 个月内），测试期间发现的漏洞的综述或列表综述或列表中必须说明漏洞属于哪一类严重程度（例如重大、高风险、中等风险、低风险、供参考）。通常测试结果显示不存在未解决的重大或高风险漏洞；

. 在适用情况下（即，如果正在使用 AWS、GCP、Azure 或类似的云托管服务），请提交已进行云配置审核的证据，例如运行 NCC Scout Suite、AWS Config 或类似工具的输出结果。如果云配置审核不适用于组织，请在提交的证据中加上一个文档，说明为什么不适用云配置审核。（组织不在云服务器环境，则不需要准备这条内容）；

. 先移除或消除敏感信息（比如详细的漏洞重现步骤），然后再提交资料。

资料示例

渗透测试 - 组织委托其他公司对用于集成 API 和处理开放平台数据的服务器端软件开展渗透测试。测试公司完成测试，并发出总结测试结果的信函，示例如下。留意测试（或重测，如适用）报告结尾处的红色注释，此处重点标明了测试日期（必须为过去 12 个月内）并汇总了未解决的重大/高风险漏洞。请先消除敏感信息（特别是任何详细的漏洞重现步骤），然后再提交报告。

官方提供的参考示例

静态分析 - 如果使用不同的方法（例如 SAST 工具），将结果导出到一个文档中，在里面注明 SAST 工具运行日期，并列出测试结果（包括每个测试结果的类型及其严重程度/重大程度）。

资料格式

如果开发者需要提供资料，以佐证对自己所执行的数据安全保护措施的相关回答。可以提交常见的文件类型以及截图和录屏。请确保文件未设置密码保护。

开发者可以上传多个文件，但每个文件不可超过 2 GB。接受的文件格式包括 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.mp4、.zipx。

最后

数据安全相关政策的审核都是以年为单位进行的，开发者如果有使用到 Facebook 跟数据有关的功能，一定要定期留意 Facebook 的开发者后台信息，数据方面的审核内容都会在这里进行通知，避免错过重要的信息影响到上架的游戏或应用。

文章信息来自于Enjoy出海开发者服务平台，不代表白鲸出海官方立场，内容仅供网友参考学习。对于因本网站内容所引起的纠纷、损失等，白鲸出海均不承担侵权行为的连带责任。如若转载请联系原出处。

友情提醒：白鲸出海目前仅有微信群与QQ群，并无在Telegram等其他社交软件创建群，请白鲸的广大用户、合作伙伴警惕他人冒充我们，向您索要费用、骗取钱财！