Comunicação segura (dados em trânsito) | Use autoridades de certificação (CA, na sigla em inglês) de confiança. Assegure que os certificados estejam configurados corretamente. Use as versões mais atualizadas possíveis de Transport Layer Security (TLS). Aplique criptografia a todas as conexões de rede. Teste as conexões de rede para verificar se elas não estão acidentalmente enviando dados não criptografados. Verifique se os metadados nos cabeçalhos HTTP não incluem informações pessoais.
|
Dados seguros em repouso | Use criptografia padrão; não implemente a própria criptografia, tampouco dependa de codificação ou ofuscação de dados. Habilite controles de nível da plataforma sempre que esse recurso estiver disponível. Verifique se os dados estão criptografados. Proteja todos os sistemas contra malware.
|
Gerenciamento de chaves e senhas | Não armazene senhas sem criptografia ou incorporadas ao código. Não use padrões sugeridos pelo fornecedor como senhas do sistema. Use sistemas de gerenciamento de chaves quando disponíveis. Tenha um sistema para manutenção de chaves (atribuir, revogar, trocar, excluir). Use autenticação de dois fatores quando disponível. Forneça dois fatores como opção aos usuários.
|
Uso de controles de acesso e gerenciamento de contas | Separe atribuições e funções com contas e credenciais diferentes. Tenha um sistema de manutenção de contas (atribuição, revogação, análise de acesso e privilégios, remoção).
|
Aplicação de atualizações e patches | Tenha um sistema para manter os ambientes e o código do sistema atualizados, incluindo servidores, máquinas virtuais, distribuições, bibliotecas, pacotes e software/programas antivírus. Tenha um sistema para manutenção e patches dos sistemas de produção, como:
Bibliotecas principais Serviços da web Serviços externos
|
Monitoramento e registro | Tenha implementado um sistema para registrar o acesso aos dados do usuário e rastrear seus locais de armazenamento e envio. Monitore as transferências de dados do usuário e os pontos principais onde eles podem sair do sistema (por exemplo, terceiros, pontos de extremidade públicos).
|
Segurança de apps e APIs | |