Categorieën: Alle - configuraciones - seguridad - resiliencia - autenticación

door Oscar Alexander Canaval Torres 7 maanden geleden

67

(OWASP%20MASVS)

La seguridad en el desarrollo de aplicaciones es crucial y se logra mediante la implementación de varios requisitos y prácticas recomendadas. Entre ellos, se destaca la importancia de la autenticación y la gestión de sesiones, donde se deben finalizar las sesiones inactivas y utilizar componentes de verificación biométrica para reforzar la seguridad.

(OWASP%20MASVS)

PCI-DSS

12_9_1. Los proveedores de servicios externos dan soporte a sus clientes

11_2_1. Los puntos de acceso inalámbrico se identifican y supervisan

10_7_2. Las fallas de los sistemas críticos de control de seguridad se detectan y se responden con prontitud

10_6_1. Los relojes del sistema y la hora están sincronizados

363. Sincronizar los relojes del sistema

10_3_2. Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas

080. Evitar la modificación del registro

10_2_1_4. Los registros de auditoría están habilitados y activos para todos los componentes del sistema

10_2_1_3. Los registros de auditoría están habilitados y activos para todos los componentes del sistema

085. Permitir consultas de historial de sesión

10_2_1. Los registros de auditoría están habilitados y activos para todos los componentes del sistema

9_4_7. Los medios están asegurados y rastreados cuando se transportan

9_4_3. Los medios están asegurados y rastreados cuando se transportan

9_4_1. Los medios con datos del titular de la tarjeta se almacenan y se accede a ellos de forma segura

9_2_3. Los controles de acceso físico gestionan la entrada en los sistemas que contienen datos

249. Localizar puntos de acceso

9_2_2. Los controles de acceso físico gestionan la entrada en los sistemas que contienen datos

8_6_3. El uso de la aplicación y los factores de autenticación asociados se gestiona estrictamente

8_5_1. Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso indebido

319. Haga que las opciones de autenticación sean igualmente seguras

8_4_3. La autenticación multifactor (MFA) se implementa para proteger el acceso

8_4_2. La autenticación multifactor (MFA) se implementa para proteger el acceso

8_4_1. La autenticación multifactor (MFA) se implementa para proteger el acceso

328. Solicitar MFA para sistemas críticos

8_3_11. Un factor de autenticación no puede ser utilizado por nadie que no sea el usuario asignado

362. Asignar mecanismos de MFA a una sola cuenta

8_3_9. Una contraseña o frase de contraseña no se puede usar indefinidamente

8_3_7. Una contraseña utilizada anteriormente no se puede utilizar para obtener acceso a una cuenta

8_3_6. Contraseñas o frases de contraseña con un nivel mínimo de complejidad

139. Establecer la longitud mínima de OTP
132. Frases de contraseña con al menos 4 palabras

8_3_5. Contraseña inicial o de restablecimiento o frase de contraseña utilizada por el usuario autorizado

347. Invalidar OTP anteriores
140. Definir la vida útil de OTP

8_3_3. Se establece una autenticación sólida para usuarios y administradores

8_3_2. Se establece una autenticación sólida para usuarios y administradores

8_3_1. Se establece una autenticación sólida para usuarios y administradores

8_2_8. La identificación de usuarios y administradores se gestiona estrictamente

141. Forzar la reautenticación

8_2_6. Las cuentas de usuario inactivas se eliminan dentro de los 90 días posteriores a la inactividad

8_2_5. El acceso de los usuarios cancelados se revoca inmediatamente

8_2_4. La identificación de usuarios y administradores se gestiona estrictamente

8_2_3. La identificación de usuarios y administradores se gestiona estrictamente

8_2_1. Asigne un ID único antes de acceder a los componentes del sistema

7_3_3. El sistema de control de acceso está configurado para denegar de forma predeterminada

7_3_2. El acceso a los componentes y datos del sistema se gestiona a través de un sistema de control de acceso

7_3_1. El acceso a los componentes y datos del sistema se gestiona a través de un sistema de control de acceso

7_2_6. El acceso a los componentes y datos del sistema se define y asigna

7_2_5. El acceso a los componentes y datos del sistema se define y asigna

7_2_3. Los privilegios requeridos son aprobados por personal autorizado

035. Gestionar modificaciones de privilegios

7_2_2. El acceso a los componentes y datos del sistema está correctamente definido y asignado

6_5_6. Los cambios en todos los componentes del sistema se gestionan de forma segura

171. Eliminar el código comentado

6_5_5. Los cambios en todos los componentes del sistema se gestionan de forma segura

180. Usar datos simulados
156. Código fuente sin información sensible

6_5_4. Los cambios en todos los componentes del sistema se gestionan de forma segura

6_4_3. Las aplicaciones web públicas están protegidas contra ataques

6_4_1. Las aplicaciones web públicas están protegidas contra ataques

343. Respete el encabezado Do Not Track
029. Cookies con atributos de seguridad175. Proteger las páginas del secuestro de clics

6_3_3. Se identifican y abordan las vulnerabilidades de seguridad

353. Programar actualizaciones de firmware

6_2_4. Técnicas de ingeniería de software para prevenir o mitigar ataques de software comunes

174. Operaciones sin pauta distinguible
169. Usar consultas parametrizadas
029. Cookies con atributos de seguridad

5_3_4. Habilitación de registros de auditoría para la solución antimalware

075. Registrar eventos excepcionales en registros

5_3_2. Los mecanismos y procesos antimalware están activos y supervisados

5_2_1. Implementación de una solución antimalware en los componentes del sistema

4_2_2. Criptografía sólida para proteger los datos

4_2_1. Criptografía fuerte durante la transmisión

3_7_9. Transmisión y almacenamiento seguros de claves criptográficas

3_7_7. Prevención de la sustitución no autorizada de claves criptográficas

095. Definir usuarios con privilegios

3_7_3. Almacenamiento seguro de claves criptográficas

146. Eliminar las claves criptográficas de la RAM

3_7_2. Distribución segura de claves criptográficas

3_7_1. Generación de claves criptográficas seguras

3_6_1_2. Proteja las claves criptográficas utilizadas para proteger los datos almacenados de la cuenta

151. Claves separadas para el cifrado y las firmas

3_6_1_1. Proteja las claves criptográficas utilizadas para proteger los datos almacenados de la cuenta

361. Reemplazar claves criptográficas

3_6_1. Proteja las claves criptográficas utilizadas para proteger los datos almacenados de la cuenta

145. Proteger las claves criptográficas del sistema

3_5_1. El número de cuenta principal (PAN) está protegido dondequiera que se almacene

150. Establecer el tamaño mínimo para las funciones hash

3_4_2. Utilice tecnologías seguras de acceso remoto

338. Implementar el secreto perfecto hacia adelante

3_4_1. Los datos se enmascaran cuando se muestran

300. Enmascarar datos confidenciales

3_3_3. Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización

3_3_2. Los datos de autenticación confidenciales (SAD) se cifran mediante criptografía segura

3_3_1. Los datos de autenticación confidenciales (SAD) no se almacenan después de la autorización

314. Proporcionar confirmación de procesamiento

3_2_1. Conserve los datos de la cuenta solo cuando sea necesario y elimínelos cuando ya no sean necesarios

183. Elimine los datos confidenciales de forma segura

2_3_2. Los entornos inalámbricos se configuran y gestionan de forma segura

252. Configurar el cifrado de claves

2_3_1. Los entornos inalámbricos se configuran y gestionan de forma segura

254. Cambiar el nombre del SSID
253. Restringir el acceso a la red
251. Cambiar la IP del punto de acceso

2_2_7. Los componentes del sistema se configuran y gestionan de forma segura

033. Restringir el acceso administrativo

2_2_6. Configure parámetros seguros del sistema para evitar el uso indebido

2_2_5. Los componentes del sistema se configuran y gestionan de forma segura

330. Verificar la integridad de los subrecursos

2_2_4. Eliminar o deshabilitar todas las funciones innecesarias

154. Elimina las puertas traseras

2_2_2. Los componentes del sistema se configuran y gestionan de forma segura

144. Eliminar cuentas inactivas periódicamente
142. Cambiar las credenciales predeterminadas del sistema
034. Administrar cuentas de usuario

1_5_1. Implemente controles de seguridad en cualquier dispositivo informático

1_4_5. No divulgue las direcciones IP internas ni la información de enrutamiento

261. Evite exponer información confidencial
077. Evite divulgar información técnica

1_4_4. Se controlan las conexiones de red entre redes de confianza y no de confianza

1_4_3. Implementar medidas contra la suplantación de identidad

265. Restringir el acceso a los procesos críticos
176. Restringir objetos del sistema
096. Establecer los privilegios requeridos por el usuario

1_4_2. Restringir el tráfico entrante de redes que no son de confianza

1_3_2. El tráfico saliente al entorno de datos del titular de la tarjeta está restringido

1_3_1. El tráfico entrante al entorno de datos del titular de la tarjeta está restringido

259. Segmentar la red de la organización

1_2_6. Los controles de seguridad de red se configuran y mantienen

1_2_5. Los controles de seguridad de red se configuran y mantienen

255. Permitir el acceso solo a los puertos necesarios

1_2_2. Los controles de seguridad de red se configuran y mantienen

(OWASP MASVS)

V8_12. Requisitos de resiliencia - Impedir la comprensión

184. Ofuscar los datos de la aplicación

V8_11. Requisitos de resiliencia - Impedir la comprensión

026. Cifrar la información de la sesión del lado del cliente

V8_10. Requisitos de resiliencia: enlace de dispositivos

178. Utilizar firmas digitales
122. Validar la propiedad de la credencial

V8_9. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

159. Ofuscar código

V8_7. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

352. Habilitar la ejecución de confianza

V8_6. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

350. Habilitar mecanismos de protección de memoria

V8_5. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

273. Definir una suite de seguridad fija

V8_2. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

V8_1. Requisitos de resiliencia - Impedir el análisis dinámico y la manipulación

V7_9. Requisitos de calidad del código y configuración de compilación

V7_8. Requisitos de calidad del código y configuración de compilación

164. Utilizar estructuras optimizadas
158. Utiliza un lenguaje de programación seguro

V7_7. Requisitos de calidad del código y configuración de compilación

341. Utilizar el principio de denegación por defecto

V7_6. Requisitos de calidad del código y configuración de compilación

359. Evite el uso de excepciones genéricas
161. Definir opciones predeterminadas seguras

V7_5. Requisitos de calidad del código y configuración de compilación

262. Verificar componentes de terceros

V7_2. Requisitos de calidad del código y configuración de compilación

078. Deshabilitar eventos de depuración

V7_1. Requisitos de calidad del código y configuración de compilación

090. Utilizar certificados válidos

V6_10. Requisitos de interacción de la plataforma

031. Descartar datos de sesión de usuario

V6_8. Requisitos de interacción de la plataforma

321. Evite la deserialización de datos que no sean de confianza

V6_7. Requisitos de interacción de la plataforma

V6_5. Requisitos de interacción de la plataforma

V6_3. Requisitos de interacción de la plataforma

349. Incluir encabezados de seguridad HTTP

V6_2. Requisitos de interacción de la plataforma

173. Deseche las entradas inseguras
032. Evite las fugas de ID de sesión

V6_1. Requisitos de interacción de la plataforma

186. Utilizar el principio del mínimo privilegio

V5_5. Requisitos de comunicación de red

181. Transmitir datos utilizando protocolos seguros

V5_4. Requisitos de comunicación de red

092. Usar certificados firmados externamente
091. Usar certificados firmados internamente

V5_2. Requisitos de comunicación de red

V5_1. Requisitos de comunicación de red

336. Deshabilite las versiones de TLS inseguras

V4_10. Requisitos de autenticación y administración de sesiones

V4_9. Requisitos de autenticación y administración de sesiones

153. Transacciones fuera de banda

V4_8. Requisitos de autenticación y administración de sesiones

231. Implementar un componente de verificación biométrica

V4_7. Requisitos de autenticación y administración de sesiones

335. Definir la vida útil del token fuera de banda

V4_6. Requisitos de autenticación y administración de sesiones

327. Establecer un límite de velocidad

V4_5. Requisitos de autenticación y administración de sesiones: directiva de contraseñas

332. Evitar el uso de contraseñas violadas
209. Administrar contraseñas en caché
138. Definir la vida útil de las contraseñas temporales
137. Cambiar contraseñas temporales de terceros
136. Forzar el cambio temporal de contraseña
135. Contraseñas con sal aleatoria
134. Almacene las contraseñas con sal
133. Contraseñas con al menos 20 caracteres
131. Denegar múltiples intentos de cambio de contraseña
130. Limite la vida útil de la contraseña
129. Validar contraseñas anteriores
127. Almacenar contraseñas con hash

V4_4. Requisitos de autenticación y administración de sesiones

023. Finalizar sesiones de usuario inactivas

V4_3. Requisitos de autenticación y administración de sesiones

357. Usar tokens de sesión sin estado

V4_2. Requisitos de autenticación y administración de sesiones

030. Evitar la reutilización de objetos
024. Transferencia de información mediante objetos de sesión

V4_1. Requisitos de autenticación y administración de sesiones

264. Solicitar autenticación

V3_6. Requisitos de criptografía

223. Distribución uniforme en números aleatorios

V3_5. Requisitos de criptografía

351. Asigne claves únicas a cada dispositivo

V3_4. Requisitos de criptografía

V3_1. Requisitos de criptografía

149. Establecer el tamaño mínimo del cifrado simétrico
148. Establecer el tamaño mínimo del cifrado asimétrico

V2_15. Requisitos de verificación de seguridad

210. Eliminar información de dispositivos móviles

V2_14. Requisitos de verificación de seguridad

185. Cifrar información confidencial

V2_13. Requisitos de verificación de seguridad

329. Mantenga el almacenamiento del lado del cliente sin datos confidenciales

V2_11. Requisitos de verificación de seguridad

205. Configurar PIN

V2_10. Requisitos de verificación de seguridad

360. Eliminar la información confidencial innecesaria

V2_7. Requisitos de verificación de seguridad

235. Definir la interfaz de credenciales

V2_5. Requisitos de verificación de seguridad

117. No interprete el código HTML

V2_4. Requisitos de verificación de seguridad

315. Proporcionar información sobre los datos procesados

V2_3. Requisitos de verificación de seguridad

083. Evite registrar datos confidenciales

V2_2. Requisitos de verificación de seguridad

375. Elimine los datos confidenciales de las aplicaciones del lado del cliente

V2_1. Requisitos de verificación de seguridad

229. Solicitar credenciales de acceso
143. Credenciales de acceso únicas

V1_12. Requisitos de arquitectura, diseño y modelado de amenazas

331. Garantizar el cumplimiento legal

V1_10. Requisitos de arquitectura, diseño y modelado de amenazas

266. Deshabilite las funcionalidades inseguras

V1_8. Requisitos de arquitectura, diseño y modelado de amenazas

224. Utilizar mecanismos criptográficos seguros
147. Utilizar mecanismos preexistentes

V1_3. Requisitos de arquitectura, diseño y modelado de amenazas

062. Definir configuraciones estándar

V1_2. Requisitos de arquitectura, diseño y modelado de amenazas

320. Evite la aplicación del control del lado del cliente