Voici quelques réponses que vous pouvez utiliser pour les questions de Facebook. Notez que lorsque Facebook pose des questions sur les audits de sécurité, il s'agit d'un audit de votre entreprise - et non d'un tiers comme brainCloud.

brainCloud BaaS s'inscrit dans la catégorie Facebook d'une solution backend sans code . brainCloud gère tout le traitement côté serveur - et n'expose aucune option de configuration de sécurité sensible. (c'est-à-dire que vous ne pouvez pas choisir de désactiver la sécurité brainCloud).

brainCloud permet aux développeurs d'écrire de petits scripts qui s'exécutent sur nos serveurs (pour automatiser des tâches simples), mais ceux-ci ont des limitations strictes qui ne compromettent pas la sécurité de la solution ou de la plateforme.

Tous les scripts s'exécutent dans un environnement sandbox, ils ne peuvent utiliser que les API et bibliothèques fournies par brainCloud et ne peuvent accéder qu'aux données propres à une application. Les développeurs ne peuvent pas introduire de nouvelles bibliothèques ou de nouveaux logiciels dans le système.

Une exception à ce qui précède est si votre application lance ses propres serveurs de salle . Il s'agit de conteneurs Docker créés par les développeurs qui sont lancés sur des serveurs d'hébergement distincts (chaque application héberge ses propres serveurs indépendants).

Par défaut, ces serveurs n'ont pas accès aux données de la plateforme Facebook, ni aux données de brainCloud (à l'exception des identifiants de profil brainCloud des utilisateurs participant au match multijoueur implémenté par le serveur de salle et de certaines conditions de configuration et de démarrage de ce match). Les serveurs de salle *peuvent* cependant utiliser d'autres bibliothèques (la construction du conteneur Docker dépend du développeur) - et ils ont accès à l'API BrainCloud S2S pour récupérer des informations supplémentaires sur l'application et les utilisateurs (le tout sous le contrôle du développeur bien sûr).

Ainsi, les applications avec des serveurs de salle devraient fournir à Facebook des informations supplémentaires sur le développement de leur logiciel de serveur de salle personnalisé.

La liste des serveurs utilisés par une application peut être trouvée sur la page Application > Conception > Serveurs > Mes serveurs .

Les types de serveurs suivants ne relèveraient pas de la définition de « sans code » et nécessiteraient théoriquement un examen supplémentaire de la part de Facebook :

Notez que les applications utilisant des serveurs relais hébergés seraient toujours considérées comme sans code, car le logiciel du serveur relais est fourni dans le cadre de brainCloud.

brainCloud agit en tant que sous-traitant de données pour le compte de votre entreprise (le responsable du traitement des données) pour le traitement des données personnelles des clients , qui sont des données partagées par vous (ou en votre nom) avec brainCloud. Cela inclurait toutes les données de la plateforme Facebook partagées avec brainCloud.

brainCloud ne partage et/ou n'agrège aucune donnée (y compris les données de la plateforme Facebook ) avec des services tiers autres que nos sous-traitants désignés (notamment Amazon Web Services et MongoDB Atlas).

Consultez notre accord de traitement des données - https://getbraincloud.com/data-processing-agreement/

De plus, toutes les données collectées sont privées et réservées au compte d'équipe qui les collecte - et elles ne sont pas partagées et/ou agrégées sur le système avec d'autres comptes d'équipe.

Toutes les données [hors fichier] de brainCloud (y compris les données de la plateforme Facebook ) sont stockées dans MongoDB Atlas et chiffrées au repos. Voir https://www.mongodb.com/basics/mongodb-encryption .

Les fichiers sont stockés dans Amazon S3 et sont également chiffrés au repos.

Vous pouvez afficher les paramètres de sécurité de brainCloud pour votre application sur la page Application > Conception > Sécurité > Application .

Toutes les communications avec les serveurs de brainCloud nécessitent un minimum de TLS 1.2 pour les communications API et RTT.

Voir la page App > Conception > Sécurité > App .

Les données d'un utilisateur (y compris les données de la plateforme Facebook ) sont supprimées immédiatement sur demande via l'API DeleteUser() de brainCloud.

Les données d'identité Facebook sont également supprimées lorsque la connexion Facebook d'un utilisateur est dissociée via le DetachFacebookIdentity()ou le DetachFacebookLimitedLogin().

Notez que pour être complet, les applications doivent également réinitialiser le nom d'utilisateur enregistré (via UpdateUserName()), la photo de profil (via UpdateUserPictureUrl()) et une copie locale des amis de l'utilisateur (via RemoveFriends()) le cas échéant après avoir supprimé l'identité Facebook de son compte.

Notez que les données utilisateur peuvent rester dans les sauvegardes système jusqu'à 60 jours après la suppression du compte utilisateur.

brainCloud inclut une fonctionnalité de suppression d'utilisateur inactif qui, si elle est activée pour l'application, supprime automatiquement le compte d'un utilisateur après X jours d'inactivité (par exemple, normalement configuré pour supprimer après 365 jours).

Cette fonctionnalité est configurée via la page Application > Conception > Informations sur l'application principale > Supprimer automatiquement les utilisateurs du portail.

Les jetons d'accès API tiers et les secrets d'application sont stockés en privé dans l'application et accessibles uniquement par les développeurs d'applications spécifiques ayant accès aux sections appropriées dans Application > Conception > Informations sur l'application principale > ID d'application et Application > Conception > Intégrations > Gérer les intégrations .

Ces clés ne sont jamais partagées avec les applications clientes. Elles sont utilisées par les composants serveur uniquement pour accéder aux services appropriés sur les systèmes tiers associés.

brainCloud a été un composant de certifications clients réussies (SOC2, ISO 27001, ISO 27018, etc.).

Les systèmes de brainCloud sont testés pour détecter les problèmes de vulnérabilité et de sécurité au moins tous les 12 mois.

Tous les systèmes brainCloud sont régulièrement examinés et corrigés pour remédier rapidement aux vulnérabilités de sécurité identifiées.