_OpenElement&FileName=PDV-SAIT-L-016 APLICACIONES WEB
14
Serial No. PDV-SAIT-L-016 Revisión Páginas 0 14 Revisado Aprobado Líder de Gestión Preventiva de Seguridad AIT Gerente Corporativo de Seguridad AIT LINEAMIENTO DE SEGURIDAD PARA APLICACIONES WEB
-
Upload
angel-rodriguez -
Category
Documents
-
view
2 -
download
0
description
aplicaciones web
Transcript of _OpenElement&FileName=PDV-SAIT-L-016 APLICACIONES WEB
Serial No.PDV-SAIT-L-016Revisin Pginas0 14Revisado AprobadoLder de Gestin Preventiva de Seguridad AITGerente Corporativo de Seguridad AITLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#AREGISTRO DE RE,ISIONES E2ETUADAS A ESTE DOUMENTORev. 2e'3a"reve des'rip'in del a%bioPg.Responsable de la RevisinResponsable de la Aproba'in0 11060! %&isin TodasLder de Gestin Preventiva de SeguridadGerente Corporativo de Seguridad AITRevisado por4Doris 'o(asLder de Gestin Preventiva de Seguridad1106)00!Aprobado por4Doris 'o(asGerente Corporativo de Seguridad AIT//5.056..7P8GINA)14A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#A/. O"9ETI,O%sta*+e,er +os Linea&ientos deSeguridadenTe,no+ogadeIn-or&a,inpara+as Ap+i,a,iones .e* a i&p+antarse en +a P+ata-or&a Te,no+gi,a de +a Corpora,in/ a -in de garanti0ar +a integridad/ ,on-iden,ia+idad 1 disponi*i+idad de +os A,tivos de In-or&a,in26. ALANE%+ presente do,u&ento esta*+e,e +os re3ueri&ientos &ni&os de seguridad re+a,ionados ,on +as Ap+i,a,iones .e*/ en ,uanto a+ dise4o/ desarro++o/ i&p+anta,in/ &anteni&iento 1 uso de +as &is&as en +a P+ata-or&a Te,no+gi,a de +a Corpora,in/ sus 'egiones/ %&presas 1 $i+ia+es2%+ ,u&p+i&iento de+ presente +inea&iento de seguridad regu+a tanto +os desarro++os de Ap+i,a,iones .e* e-e,tuados por +a Geren,ia 'esponsa*+e de +a P+ata-or&a Te,no+gi,a/ as ,o&o por Ter,eros ,ontratados para ta+ -in2:. RESPONSA"LES%+Gerente'esponsa*+e de+aSeguridadde +a P+ata-or&a Te,no+gi,a aprue*a este Linea&iento2Los Lderes 1 Gerentes de +a Geren,ia 'esponsa*+e de +a Seguridad de +a P+ata-or&a Te,no+gi,a de +as 'egiones/ %&presas o $i+ia+es de*er5n ve+ar por e+ ,u&p+i&iento de este Linea&iento/ as ,o&o e-e,tuar una ,onstante revisin de+ &is&o de ,on-or&idad a +as ne,esidades prioridades de+ nego,io2%+ persona+ ads,ritoa+aGeren,ia'esponsa*+ede+aP+ata-or&aTe,no+gi,a1+a Geren,ia 'esponsa*+e de +a Seguridad de +a P+ata-or&a Te,no+gi,a son +os responsa*+es de dar ,u&p+i&iento a +o esta*+e,ido en este Linea&iento2;. DISPOSIIONES GENERALESRevisado por4Doris 'o(asLder de Gestin Preventiva de Seguridad1106)00!Aprobado por4Doris 'o(asGerente Corporativo de Seguridad AIT//5.056..7P8GINA614A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#A;. Toda Ap+i,a,in .e*/ de*er5 ,ontar ,on su respe,tiva Consu+tora de Seguridad por parte de +a Geren,ia 'esponsa*+e de +a Seguridad de +a P+ata-or&a Te,no+gi,a de +a Corpora,in/ una ve0 se en,uentre visua+i0ada 1 dise4ada +a ar3uite,turade+aso+u,inadesarro++ar/ ,one+ -indein,+uir +osaspe,tosde seguridad parti,u+ares a+ ,aso2 s de +a navega,in e&p+eando +os *otones de ade+ante1de regresarde+ navegador de Internet/ un usuario pueda regresar a +a ap+i,a,in e ingresar sinautenti,arse/ de*i>ndoseap+i,ar un,ontro+ ade,uadode+ ,ierre de sesin25.1.10. Se de*e evitar 3ue +os usuarios puedan +istar e+ ,ontenido de +os dire,torios a trav>s de +a &anipu+a,in de+ A'L de+ servidor .e*/ para e++o sede*en,o+o,arp5ginasdeini,iopersona+i0adasen,adadire,torio1 adi,iona+&entesede*e,on-igurar 3uesi unusuariodeseaa,,eder a p5ginasdire,ta&entepore+ A'L/ se+erediri(a a+ap5ginaprin,ipa+de autenti,a,in25.1.11. Se de*e evitar 3ue +a Ap+i,a,in .e* sea vu+nera*+e a ata3ues de Dire,torio Transversa+a trav>s de +a &anipu+a,in de+ A'L 1 +as varia*+es 3uevia(anvaG%ToP"ST2 %steata3ue.e*/ per&iteaunata,ante a,,eder 1 ,onsu+tar ar,7ivos 3ue se en,uentran -uera de+ dire,torio ra0 de +a ap+i,a,in 1 en a+gunos ,asos 7asta e(e,utar ,o&andos a trav>s de +a &anipu+a,in de+ A'L/ a,,ediendo a in-or&a,in ,on-iden,ia+ 1o estri,ta&ente ,on-iden,ia+ 1 pudiendo ,o&pro&eter e+ servidor donde reside +a ap+i,a,in2 Para evitar esto se de*e;Revisado por4Doris 'o(asLder de Gestin Preventiva de Seguridad1106)00!Aprobado por4Doris 'o(asGerente Corporativo de Seguridad AIT//5.056..7P8GINAH14A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#Aa) 'ea+i0ar una ade,uadava+ida,inde +os datos 1 par5&etros 3ue se envan desde e+ ,+iente a +as -un,iones s,ripts2 b) 'estringir e+ uso de ,ara,teres espe,ia+es 1 de esta &anera -i+trar +as varia*+es 3ue ,ontro+an +a Ap+i,a,in .e*2 c) 'estringir en &a1or grado +a per&iso+oga a +os ar,7ivos 1 dire,torios ,on-iden,ia+ 1o estri,ta&ente ,on-iden,ia+ en e+ servidor2d) 'estringir 1 reu*i,ar -uera de+ 5r*o+ de do,u&entos de +a ap+i,a,in/ +os ar,7ivos ,onin-or&a,in,on-iden,ia+ 1oestri,ta&ente,on-iden,ia+ e&p+eados por di,7a ap+i,a,in/ para evitar ser ,onsu+tado por usuarios no autori0ados 3ue +ogren ganar a,,eso a+ dire,torio2 5.1.12. A -in de evitar e+ ata3ue de des*orda&iento de &e&oria 9@u--er "ver-+oI: a trav>s de +a &anipu+a,in de+ A'L/ se de*e va+idar e+ ta&a4o 1 ,o&posi,in de+ string de+ A'Lde +a ap+i,a,in/ ,on-igurando en e+ servidor .e* +os par5&etros de prote,,in ,ontra a,,iones de des*orda&iento de &e&oria o e(e,u,in de ,digo ar*itrario2 5.1.13. La Ap+i,a,in .e*de*e generar &ensa(es de in-or&a,in genera+es ,uando +os usuarios introdu,en su no&*re de usuario 1o ,ontrase4a de -or&a in,orre,ta2 #o se de*e deta++ar ,ua+ es e+ ,a&po errado 9%(e&p+o; no de*e de,ir; Asuario no e8iste o Contrase4a in,orre,ta:25.1.14. A-indeevitar ata3ues ta+es detipoin1e,,inde,digoSJL9SQL Injection:/ in1e,,in de ,digo s,ript para a,,eder a datos ,on-iden,ia+es o to&ar ,ontro+ 9Cross-site scripting XSS:/ se de*e -i+trar ,ada una de +as entradas de datos en +a Ap+i,a,in .e* 9$or&u+arios/ va+ores de varia*+es G%T/ P"ST/ CooKie/ A'L/ entre otros:/ tanto de++ado de+ ,+iente 1 o*+igatoria&ente de+ +ado de+ servidor2 Adi,iona+&ente/ para garanti0ar +a integridad de +os datos introdu,idos/ se de*en va+idar igua+&ente +os tipos dedatosintrodu,idosen+os-or&u+arios2 %sne,esarionoper&itir +os siguientes tipos de ,ara,teres de riesgo para e+ gestor de datos;a: De+i&itador de ,onsu+tas; Punto 1 ,o&a 9E:2*: De+i&itador de datos de tipo ,adena de ,ara,teres; Co&i++a sen,i++a 9L:2,: De+i&itadores de ,o&etario; Guin do*+e 9--: 1 MN22NM 1 ,ua+3uier dato 3ue se de*a ingresar a +a *ase de datos/ proveniente de+ usuario 3ue de*a ser &ostrada/ sea va+idada de ta+ &anera 3ue/ sin i&portar 3ue tan &a+igno sea e+ te8to es,rito por un usuario en un -or&u+ario/ nun,a ++egue a e(e,utarse en e+ navegador/ evitando ,o&pro&eter +a integridad de +a *ase de datos2Revisado por4Doris 'o(asLder de Gestin Preventiva de Seguridad1106)00!Aprobado por4Doris 'o(asGerente Corporativo de Seguridad AIT//5.056..7P8GINA!14A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#Ad) Los &eta ,ara,teres ,o&o +os s&*o+os 9O: 1 9P: de*en sustituirse por +as entidades ?TBL v5+idas 9Q+tE 1 QgtE:2 Con esto se puede evitar 3ue +a entrada de+ usuario se e(e,ute 1 a+,an,e un ata3ue RSS e8itoso2e) Se de*e va+idar +a entrada ,on respe,to a +a +ongitud de ,ara,teres a ser pro,esados2%n,asode3uesere3uiera+auti+i0a,indea+gunosde+os,ara,teres ,itadosanterior&ente/ sede*erea+i0ar+atrans-or&a,inde+ ,ar5,tera te8to para 3ue no sean interpretados 1 e(e,utados ,o&o ,o&andos sino 3ue sean vistos ,o&o te8to 9SA#ITISACIT#:25.1.15. La Ap+i,a,in .e* de*e ser ad&inistrada desde +a Intranet de PDVSA/ 1 ,ada una de +as opera,iones 3ue rea+i,e e+ ad&inistrador de +a ap+i,a,in de*e ser registrada2 Los ad&inistradores de +a ap+i,a,in no de*en a,,eder e intera,tuar dire,ta&ente ,on +a *ase de datos2=212162 La Ap+i,a,in de*e so+i,itar a+ usuario ,ada ve0 3ue e+i&ine a+gCn dato/ +a ,on-ir&a,in de di,7a a,,in25.1.17. Sede*enrotu+ar +osdo,u&entosgeneradosatrav>sde+a Ap+i,a,in .e*2 Todo A,tivo de In-or&a,in de +a Corpora,in de*er5 ser rotu+ado de &anera 3ue todos +os usuarios puedan tener ,ono,i&iento a,er,a de +a propiedad/ ,+asi-i,a,in1va+ordedi,7ain-or&a,in2Adi,iona+&ente/ a+ i&pri&ir reportes de*e indi,ar en e+pape+; e+usuario 3ue i&pri&e di,7o reporte as ,o&o +a -e,7a 1 7ora de i&presin2=2121H2 La inter-a0 de +a ap+i,a,in de*e ,u&p+ir ,on +os +inea&ientos 1 est5ndares de i&agen 1 esti+o e&anada por Asuntos PC*+i,os25.1.19. Sede*en++evar a,a*o +as prue*as de ,a+idad1 -un,iona+idada+a ap+i,a,in antes de +a eva+ua,in de seguridad de +a &is&a2=212)02 Se de*en ++evar a ,a*o +as prue*as de estr>s a +a ap+i,a,in antes de su puesta en produ,,in25.1.21. Se de*e resguardar e+ ,digo -uente de +a Ap+i,a,in .e*/ ante ,ua+3uier ,ontingen,ia segCn +o esta*+e,ido en +as Po+ti,as de Seguridad de In-or&a,in2 %ste ,digo de*e ser ,+asi-i,ado 1 rotu+ado para a+&a,enarse/ 1 e+ a,,eso a+ &is&o de*e ser de*ida&ente autori0ado/as Revisado por4Doris 'o(asLder de Gestin Preventiva de Seguridad1106)00!Aprobado por4Doris 'o(asGerente Corporativo de Seguridad AIT//5.056..7P8GINA1014A#$o%a$i&a'in( In)or%$i'a * Tele'o%#ni'a'ionesGeren'ia de Seg#ridad AITSERIAL N+ PD,-SAIT-L-./0EMISI1NLINEAMIENTO DE SEGURIDAD PARA APLIAIONES !E"LASI2IAI1N11060!C"#$ID%#CIALRE,ISI1N#A,o&o a,tivar +os +og de auditoria de +a ,arpeta o @ase de datos donde se en,uentren +os ,digos -uentes25.1.22. De*en e8istir &anua+es de usuario 1 de ad&inistra,in de +a ap+i,a,in/ +os ,ua+es de*en estar ,o&p+eta&ente do,u&entados ,on todas +as -un,iona+idades de +a ap+i,a,in 9in,+u1endo +os ro+es/ usuarios 1 segrega,in de -un,iones:2 De*en a+&a,enarse di,7a in-or&a,in en +os siste&as esta*+e,idos por +a Geren,ia 'esponsa*+e de +a P+ata-or&a Te,no+gi,a 9Inventario de +as Ap+i,a,iones .e*:.5.2. En '#an$o a las Apli'a'iones !eb en la In$rane$45.2.1. La ap+i,a,in de*er5 estar i&p+antada en +os servidores de Intranet de +a P+ata-or&a Te,no+gi,a de +a Corpora,in25.2.2. Tanto +a autenti,a,in 1 autori0a,in de +os usuarios de +a Ap+i,a,in .e*/ de*e ser registrada 1 &ane(ada a trav>s de+ Dire,torio A,tivo de PDVSA25.3. En '#an$o a las Apli'a'iones !eb en la E?$rane$45.3.1. La ap+i,a,in de*er5 estar i&p+antada en +os servidores de %8tranet de +a P+ata-or&a Te,no+gi,a de +a Corpora,in25.3.2. Tanto +a autenti,a,in 1 autori0a,in de +os usuarios de +a Ap+i,a,in .e* de*e ser registrada 1 &ane(ada a trav>s de un LDAP o un Dire,torio de usuarios independiente de +a @ase de Datos de +a Ap+i,a,in25.3.3. %s ne,esario +a i&p+e&enta,in de+ ,a&po de desa-o ++a&ado CAPTC?A 9Co&putersand?u&ans ApartPrue*aauto&5ti,aparaDi-eren,iar a B53uinas1?u&anos: e+ ,ua+ ,onstitu1eunaprue*adesa-o-respuesta uti+i0ada para deter&inar ,u5ndo e+ usuario es o no 7u&ano2
