Requisitos de Seguridad para el Desarrollo y/o adquisición de aplicaciones.

Documentos relacionados
Requisitos de Seguridad para el Desarrollo y/o adquisición de aplicaciones.

Dirección General de Tecnologías de la Información (DGTI)

Guía para el responsable del pre registro de sustentantes. Guía para el pre registro de sustentantes

Para utilizar el Programa de Ayuda Declaraciones Tributarias, se precisa un ORDENADOR PERSONAL COMPATIBLE con la siguiente configuración:

Guía de registro de usuario en el Portal MSSN Guía de usuario Módulo de Seguridad de Soluciones s de Negocio MSSN

ARANDA SERVICE DESK WINDOWS VERSIÓN DE ACTUALIZACIÓN QUE SE LIBERA: LISTADO DE ARCHIVOS Tamaño (En Bytes)

REGISTRO INCIDENCIAS NEOSOFT. Manual uso Mantis

Acuerdo de Nivel de Servicio Conector C1. Póliza de Soporte Premium

ACUERDO DE SERVICIO. TNC de Venezuela y CharteSystem Soft, C.A.

1. INTRODUCCIÓN A LAS BASES DE DATOS

Solicitudes de alta CJAP Requisitos e información necesaria. Sevilla, Abril de 2008 Versión 2.1

CONFIGURACIÓN DE CONTRASEÑAS SEGURAS

P r o c e d i m i e n t o de a c t i v a c i ó n E x t r a n e t

Mòdul: Programació de serveis i processos (0490) CONTINGUTS

POLITÍCAS DE USO DE CORREO INSTITUCIONAL Y CONEXIÓN A INTERNET INSTITUTO TECNOLÓGICO SANMIGUELENSE DE ESTUDIOS SUPERIORES

Gestión de Configuración

Configurando el servidor de SIABUC9

Cuestionario básico de Ciberseguridad

Universidad de Ixtlahuaca CUI Ingeniería en Computación Servicios de Internet Investigación de los Sistemas Operativos en Red

Términos de Referencia

Requerimientos funcionales para la certificación de recepción de los documentos digitales y su consulta:

Informe. Los criterios de valoración para la adjudicación descritos en el pliego de prescripciones administrativas son:

UNIVERSIDAD TÉCNICA DEL NORTE

Ficha Técnica Sistema de Gestión Médica

PROCEDIMIENTO REUNIONES Y COMITÉS

CORPORACIÓN NACIONAL DEL COBRE RESUMEN EJECUTIVO LICITACIÓN PÚBLICA SERVICIO DE MANTENCIÓN ELECTRICA BAJA TENSIÓN

Servicio de Migración de Servidor

QUÉ ES LA FACTURACIÓN ELECTRÓNICA? 1. Documento que soporta transacciones de bienes y/o servicios

Términos de Referencia

MANUAL DE USO PORTAL CLIENTES

Registro de Solicitudes de Inspección

EXP -2017/0125 ANEXO II REQUISITOS TÉCNICOS

Buenas prácticas para la puesta en marcha en una universidad

BANCO FICOHSA FICOHSA TARJETAS FICOHSA SEGUROS ENERO 2015 DICIEMBRE 2015

Alcance del proyecto Versión 1.0

Servicio de Registro de Informes Periódicos de Solicitud de Ayudas de Actividades de Formación, Información y Divulgación

Servicio de Migración de Servidor

Manual de Usuario Módulo Pautas de Supervisión (WEB)

Registro de Documentación de Actividades Reguladas RINR art. 74

Servicio de Registro de Solicitud de Ayuda de Actividades de Formación, Información y Divulgación

Norma de Alta, Baja y Control de Contratistas

Aranda SERVICE DESK WEB

Política del Sistema de Gestión Integrado

MANUAL DE USUARIO PAGOS MASIVOS AMV

DOCUMENTACIÓN API efirma Versión 1.0.

Presupuestaria Honorario Fase 1A >

La necesidad de rediseñar y mejorar con uso de TIC los procesos de provisión de productos estratégicos.

Capítulo V. Conclusiones y Recomendaciones. 1. Después de haber investigado a fondo cada uno de los procesos que

PLIEGO DE PRESCRIPCIONES TÉCNICAS

Formación Módulo de Administración Avaya

GERENCIA DE TECNOLOGÍA DE INFORMACIÓN OFICINA DE PROYECTOS SOLICITUD DE SERVICIOS SOLUCIONES PARA SHAREPOINT ONLINE TERMINOS Y CONDICIONES ESPECIALES

Registro de Otra Documentación de licencias, acreditaciones y diplomas

ARANDA SERVICE DESK WINDOWS VERSIÓN DE ACTUALIZACIÓN QUE SE LIBERA: LISTADO DE ARCHIVOS Tamaño (En Bytes)

Migración Web y Correo

Informe de revisión del sistema por la Dirección (Informe de resultados anual del centro) (protocolo para su elaboración)

ESPECIFICACIONES TÉCNICAS SERVICIO DE CARTELERÍA DIGITAL PARA TRABAJADORES DE METRO (ANDÉN TV)

PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL SERVICIO DE CONSULTORIA PARA LA REALIZACIÓN DE UNA PROSPECCIÓN Y DIAGNOSTICO DEL TEJIDO EMPRESARIAL DE GALDAKAO

Solicitudes de Instalaciones Nucleares y del Ciclo que requieren una Apreciación Favorable del CSN

Universidad de Colima Fecha Implantación Edición Clave Fecha de revisión. Nombre de la Política POLÍTICA DE DESARROLLO DE SOFTWARE

2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP DE ISO 22301:2012 (CONTINUIDAD DEL NEGOCIO)

Control de Cambios y Mejoras

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Departamento de Laboratorios. Fecha:

I. DESCRIPCIÓN...2 OBJETIVO... 2 ALCANCE...2 DEFINICIONES...2 II. POLÍTICAS DE OPERACIÓN... 2 III. RESPONSABILIDADES...3

PISIS Cliente Neo. Guía de Instalación y Uso Versión del documento: 1.8 Fecha: Octubre 10 de 2014

Registro de Doc. Retirada de Material Radiactivo del Ministerio de Industria

Incorporación de nuevos puntos de menú en la aplicación

MANUAL ADMINISTRADOR SOCIEDAD COMISIONISTA BACK OFFICE

Registro de Solicitudes de Autorizaciones y Modificaciones de Entidades de Servicio

Políticas de uso de la Red

Aduana Nacional de Bolivia Gerencia Nacional de Sistemas

MICROSOFT SQL SERVER 2005 Bases de Datos

Las herramientas y servicios varían tal y como se detalla a continuación:

IDEAL REMOTE IDEAL Remote le permite controlar de forma remota sus sistemas Windows (de Windows NT a Windows 2012 Server), macos y Linux.

FORMULARIO PLAN DE ACTIVACION SERVICIO EN CONTINGENCIA

Revisión 0. FORMATO Manual de Usuario. Página 1 de 24. Manual de Usuario. Proyecto: Sistema de Administración del Personal de Enfermería (SAPEN).

PROGRAMA ESPECÍFICO DOCUMENTOS VITALES

Revisión por la Dirección 1 de 5

Anexo III: Plan de Producción de Tarjetas de Prueba

INSTALACION DE TOKEN GEMALTO DESDE CD

Sevillana de Informática Instalación, desinstalación e Incidencias comunes

MANUAL DE USUARIO MODELO WEB DESPACHO IDEAL - MODO SIMULACIÓN

Pasos para la puesta en marcha de la App Crue en una universidad

Servicio de Registro de Solicitud de Acreditaciones para Dirigir u Operar Instalaciones de Radiodiagnóstico Médico

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, Alcorcón (Madrid)

1 Departamento de Informática y Comunicaciones. IES San Juan Bosco (Lorca-Murcia)

Procedimiento de Servicios de Red SGSI-CA-P-O 13 UNIVERSIDAD VERACRUZANA 1/6. SISTEMA DE GESTiÓN DE LA SEGURIDAD DE LA INFORMACiÓN IN DICE

SSD-AAPP Sistema de Soporte a la decisión de las Administraciones Públicas: su cultura, guías de uso y buenas prácticas

ProjectWise: Producto de la empresa Bentley para la gestión de documentación técnica.

"Año del Buen Servicio

IDEAL ADMINISTRATION 19

BENEFICIOS Y ANÁLISIS COMPARATIVO DE FUNCIONALIDES SEGÚN VERSIÓN

Seguridad Perimetral

LIBRO DE CLASES ELECTRÓNICO Manual de Usuario Supervisor ACEPTA S.A.

SIMASC. Documento de Especificaciones de Arquitectura: Versión 1.1

Administración Local Soluciones

Diseño e implementación de soluciones de Dispositivos Conectados para Pequeñas y Medianas Empresas

PROCEDIMIENTO PARA LA REVISIÓN, CONTABILIZACION Y VISADO DE FACTURAS NO RETAIL DOCUMENTO NO CONTROLADO

Transcripción:

Requisits de Seguridad para el Desarrll y/ adquisición de aplicacines. Fecha: febrer de 2018 Autr/es: Lucas Nahuel Ferrer Índice: Cntenid del dcument... 2 Definicines... 2 Objetiv... 2 Respnsables del cumplimient... 2 Requerimients... 3 Participación del área de Seguridad Infrmática... 3 Autenticación de usuaris... 3 Administración de access... 4 Cntrl de ls access, parámetrs y events de seguridad... 4 Cumplimient de Nrmas y Regulacines Vigentes... 5 Mejres prácticas de seguridad (Security Best Practices)... 5 Estructura de almacenamient de la aplicación... 6 Infraestructura Clud... 7 Dcumentación de Seguridad... 8 Registr de Mdificacines al Dcument... 8 Anex TDR Estandar para desarrll y adquisición de App.dc Página 1 de 9

Cntenid del dcument El presente dcument cntiene ls lineamients a seguir al mment de desarrllar, mantener, y/ adquirir aplicacines para la gestión de infrmación electrónica de Banc Bice. Definicines A fin de acrdar cncepts, a cntinuación, se presentan las definicines crrespndientes a ls términs y frases utilizadas en el presente dcument: Aplicacines Sftware de Base Prgramas preparads para una utilización específica cm pr ejempls, administración y gestión del Negci, cliente de crre electrónic. Prgramas que brindan sprte para la ejecución de aplicacines. Ejempls sn MS Windws en sus diferentes versines, el mtr de Base de Dats Oracle, y el mtr de Base de Dats Ltus Ntes. Objetiv Asegurar que tdas las aplicacines y/ sftware de base a desarrllar y/ adquirir en Banc Bice cuenten cn las especificacines necesarias para garantizar la seguridad de ls dats, permitiend un crrect cntrl y administración de la seguridad infrmática. Respnsables del cumplimient Tds ls respnsables que participan en el desarrll, mantenimient y/ adquisición de aplicacines y/ sftware de base deben cumplir esta nrma. Anex TDR Estandar para desarrll y adquisición de App.dc Página 2 de 9

Requerimients Participación del área de Seguridad Infrmática El área de Seguridad Infrmática debe ser cnvcada en el inici del prces de Desarrll evaluación para la adquisición de un aplicativ Sftware de Base, a fin de participar de dich prces, validand si se cumple cn tds ls requisits mencinads en el presente dcument. Autenticación de usuaris Tda aplicación sftware de base debe pseer un sistema de autenticación de usuaris. Debe estar integrada cn el sistema perativ base de autenticación definid para el Banc. Al mment de la redacción, dicha base es el Active Directry de Windws 2008, dnde están definidas las cuentas de usuaris y respectivs perfiles funcinales. De ser est impsible, deberá estar debidamente justificad, y se deberá prveer un esquema de autenticación rbust que verifique el estándar de cntraseñas vigente 1 en dnde se cntemple cóm mínim ls siguientes ítems, ls cuales deben ser parametrizables desde el módul de Seguridad: Cuenta de Usuari y respectiva cntraseña únicas Psibilidad de establecer una nueva cntraseña a elección Lngitud mínima de cntraseña para tdas las cuentas Slicitud de cambi de cntraseña en el primer inici de sesión Expiración de cntraseña, cada 30 días. Blque de usuari lueg de reiterads intents de ingres fallids, a razón de 3 intents. N repetición de las últimas cntraseñas utilizadas, crrespndiente a las 12 anterires. 1 Deberán slicitarl prtunamente a Seguridad Infrmática Anex TDR Estandar para desarrll y adquisición de App.dc Página 3 de 9

Antigüedad mínima cntraseña ante cambis sucesivs, un perid de 7 días. Almacenamient cifrad de cntraseñas cn algritms de rbustez recncida internacinalmente Descnexión de sesión lueg de un períd establecid de inactividad, 15 minuts. Administración de access Las aplicacines y/ sftware de base deberán cntar cn un módul de administración de seguridad en ls access, que mínimamente permita: De n cntar cn Seguridad Integrada, debe permitir la creación, mdificación, inhabilitación y eliminación de usuaris individuales. De n cntar cn Seguridad Integrada, debe permitir la creación, mdificación y eliminación de grups/perfiles de usuari, para permitir la separación de las distintas funcinalidades y transaccines. Asignar y eliminar permiss a ls grups/perfiles de usuari según su perfil funcinal. Asignar y eliminar usuaris individuales a grups/perfiles de usuari según su perfil funcinal. Restringir a un únic acces cncurrente pr usuari. Cntrl de ls access, parámetrs y events de seguridad Las aplicacines y/ sftware de base deberán cntar cn un módul de cntrl de seguridad en ls access y las tareas realizadas, que mínimamente permita: Identificación del usuari que ingresa ingresó a la aplicación. Ante un intent de ingres fallid NO debe indicarle al usuari si el errr se encuentra en la identificación del usuari en su cntraseña. Cm ser pr ejempl El nmbre de usuari cntraseña n es crrect. Cntar cn un módul de cnfiguración de seguridad cmpletamente separad del rest, en especial de ls móduls de parametrización. Cntar cn reprtes de cntrl de acuerd cn las definicines de seguridad implementadas, cm mínim se deben pder ejecutar Anex TDR Estandar para desarrll y adquisición de App.dc Página 4 de 9

reprtes en función de las pistas de auditria que se detallan en el próxim punt. Incluir registrs de pistas de auditría sbre events de seguridad, entre ls que se encuentran ls siguientes: Ingress y egress de usuaris Intents de ingres fallids Fecha y hra del últim ingres pr usuari Altas, bajas y mdificacines de perfiles Altas, bajas y mdificacines de usuaris Blques y desblque de usuaris Descnexines de usuaris Blanques de cntraseñas de usuari Cambis de permiss, cnservand ls valres anterires y psterires de cada cambi Cambis de parámetrs, cnservand ls valres anterires y psterires de cada cambi Cumplimient de Nrmas y Regulacines Vigentes Tda aplicación debe cumplir cn l exigid pr la legislación vigente y las nrmas emitidas pr el Banc Central de la República Argentina, en especial ls requisits mínims de gestión, implementación, y cntrl de ls riesgs relacinads cn tecnlgía infrmática, sistemas de infrmación y recurss asciads para las entidades financieras establecids en la cmunicación A 4609 actualmente en vigencia en las que eventualmente la reemplacen. Mejres prácticas de seguridad (Security Best Practices) En general, las herramientas de desarrll de aplicacines, las aplicacines, y el sftware de base, dispnen de dcumentación en dónde el prveedr indica l que sn las mejres prácticas de seguridad. Se deberán cnsiderar en td mment la implementación de dichas prácticas. Anex TDR Estandar para desarrll y adquisición de App.dc Página 5 de 9

Estructura de almacenamient de la aplicación Las cntraseñas y claves de cifrad utilizadas pr la aplicación se deben almacenar en archivs de cnfiguración cifradas cn un algritm aprbad pr Seguridad Infrmática. Slamente ls usuaris finales tendrán permis de lectura sbre ess archivs y slamente Seguridad infrmática pdrá mdificarls. La aplicación debe cntemplar una separación lógica de sus cmpnentes, archivs de dats de sl lectura ejecutables archivs temprales archivs de lectura-escritura cnfiguracines de seguridad registrs de events de seguridad de frma tal que permita una crrecta asignación de permiss sbre ls misms. De n ser psible esta segregación, se deberá prveer la justificación crrespndiente y prveer el detalle de ls permiss a aplicar para cada una de las carpetas de la aplicación. Recurss cmpartids: en cas de accederse la aplicación sftware de base a través de una carpeta cmpartida, se deberá utilizar un únic punt de entrada a la misma, parametrizable en un archiv de cnfiguración. Bases de Dats: ls usuaris deben acceder a ls dats almacenads en las bases de dats exclusivamente utilizand la aplicación crrespndiente y nunca de frma directa. Anex TDR Estandar para desarrll y adquisición de App.dc Página 6 de 9

Infraestructura Clud A cntinuación, se detallan ls aspects relevantes respect de la seguridad ante la arquitectura Clud: Rápida respuesta ante ataques de denegación de servicis (DS). Blque del ataque y plan de cntinuidad de negci definid. El almacenamient de ls dats debe situarse en las lcalizacines avaladas pr el cntrat. Persistencia de dats. Deben utilizarse técnicas para lcalizar de frma cmpleta y efectiva ls dats en la nube, así cm también brrar/destruir dats asegurand que ls dats han sid cmpletamente eliminads, en el cas de una migración a servidres lcales cambi de prestadr de la infraestructura clud. Utilizar un canal cifrad, segur, para la transmisión de ls dats. Es imprtante prteger la infrmación sensible inclus cuand ls dats se trasmiten dentr de la red del prveedr de la nube. N permitir la lectura de ls dats a través de ataques cn intermediaris (MITM). Se deben implementar cncidas técnicas para evitar el ataque durante el prces de intercambi de claves, tal cm l establecen las mejres prácticas utilizand autenticación mutua fuerte, clave pública, entre trs. Hardening de ls servidres físics y/ virtuales. En el cas de ser virtual el prveedr debe garantizar la crrecta seguridad del entrn. Respect de la seguridad perimetral se deberá implementar un sistema de prevención de intruss (IPS) y evaluar si crrespnde la cntratación de un Firewall de aplicacines Web (WAF). En el cas que el servici incluya resguard de infrmación, el prveedr deberá garantizar una adecuada frecuencia del mism para asegurar la integridad de la infrmación y pruebas periódicas de restauración. Anex TDR Estandar para desarrll y adquisición de App.dc Página 7 de 9

A fin de crrbrar el cumplimient de ls punts mencinads y de la utilización de las mejres prácticas se recmienda realizar un análisis de vulnerabilidades (pentest) antes de la puesta en prducción y lueg cada 6 12 meses, además de establecer prcess de cntrl y auditría para que las áreas pertinentes del banc puedan crrbrar l implementad. Dich análisis debe ser efectuad pr una cmpañía especializada, diferente a quien está a carg del desarrll adquisición del nuev sftware, y la cntratación del mism a carg del BICE cn el fin de garantizar la imparcialidad de ls resultads. Dcumentación de Seguridad Se deberá prveer al Sectr de Seguridad Infrmática la dcumentación técnica y de administración de seguridad de la aplicación y sftware de base. Entre ests, y cm ejempl se mencinan las cnfiguracines de seguridad de l siguiente: Servicis Sistemas de archivs Privilegis de usuaris Plíticas de Seguridad de la aplicación y/ sftware de base Seguridad en las cmunicacines de red ABM de usuaris/grups Registr de Mdificacines al Dcument Cada persna que actualice el presente dcument deberá registrar la fecha, númer de versión, nmbre y la sección de este dcument que fue mdificada. Anex TDR Estandar para desarrll y adquisición de App.dc Página 8 de 9

Fecha de Cambi Versión Revisión Cread Mdificad pr: Descripción del Cambi 18/1/2012 1 Lucas Ferrer Creación 18/05/2017 2 Lucas Ferrer Infraestructura Clud 01/03/2018 3 Lucas Ferrer Actualización y mejra 28/03/2018 4 Daniel Ncella Actualización y mejra Anex TDR Estandar para desarrll y adquisición de App.dc Página 9 de 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback