Sichere Kommunikation (Daten bei der Übertragung) | Vertrauenswürdige Zertifizierungsstellen (CAs) verwenden Sicherstellen, dass Zertifikate richtig konfiguriert sind Die aktuellsten Versionen von TLS (Transport Layer Security) verwenden Für alle Netzwerkverbindungen Verschlüsselung erzwingen Testen, um sicherzustellen, dass Netzwerkverbindungen Daten nicht versehentlich im Klartext senden Sicherstellen, dass Metadaten in HTTP-Headern keine personenbezogenen Daten enthalten
|
Daten im Ruhezustand | Standardverschlüsselung verwenden; keine eigene Verschlüsselung verwenden oder Daten kodieren oder unkenntlich machen Alle Kontrollen auf Plattformebene aktivieren, sofern verfügbar Verschlüsselung der Daten verifizieren Alle Systeme vor Malware schützen
|
Schlüssel und Passwörter verwalten | Passwörter nicht in Klartext aufbewahren oder in Code einbetten Keine vom Anbieter bereitgestellten Standardvorgaben für Systempasswörter verwenden Schlüsselmanagementsysteme verwenden, sofern verfügbar Ein System zur Verwaltung von Schlüsseln verwenden (Zuweisen, Widerrufen, Rotieren, Löschen) Zweistufige Authentifizierung verwenden, sofern verfügbar Benutzern die zweistufige Authentifizierung als Option anbieten
|
Zugriffskontrollen und Kontomanagement anwenden | Rollen und Funktionen mit verschiedenen Konten und Anmeldedaten trennen Ein Kontoverwaltungssystem einsetzen (Zuweisen, Widerrufen, Überprüfen von Zugriff und Berechtigungen, Entfernen)
|
Updates und Patches anwenden | Ein System zur Aktualisierung des Systemcodes und der Umgebungen, einschließlich Servern, virtuellen Maschinen (VMs), Verteilungen, Bibliotheken, Paketen und Antivirus-Software/-Programme Ein System für die Verwaltung und das Patchen von Produktionssystemen einsetzen, darunter
|
Überwachen und protokollieren | Ein System zur Protokollierung des Zugriffs auf Nutzungsdaten einsetzen und dabei nachverfolgen, wohin Nutzungsdaten gesendet und wo sie gespeichert wurden Übermittlungen von Nutzungsdaten und wichtige Stellen überwachen, an denen Nutzungsdaten das System verlassen können (z. B. Drittanbieter, öffentliche Endpunkte)
|
Anwendungssicherheit und Schutz von APIs | Vertrautheit mit grundlegenden App-Sicherheitspraktiken wie
Bewertung von Berechtigungen und Datenanforderungen (Ausrichtung des Datenzugriffs am Nutzungszweck) Testen von APIs und Endpunkten auf Datenlecks Testen von Übermittlungen an und von Drittanbieter(n) auf Datenlecks Scannen von Apps und Code auf gängige Sicherheitsschwachstellen vor der Bereitstellung
Vertrautheit mit grundlegenden Kodierungspraktiken, um wesentliche Sicherheitsbedenken auszuräumen Sicherheitssysteme und -prozesse regelmäßig testen
|