Requisits de Seguridad para el Desarrll y/ adquisición de aplicacines. Fecha: febrer de 2018 Autr/es: Lucas Nahuel Ferrer Índice: Cntenid del dcument... 2 Definicines... 2 Objetiv... 2 Respnsables del cumplimient... 2 Requerimients... 3 Participación del área de Seguridad Infrmática... 3 Autenticación de usuaris... 3 Administración de access... 4 Cntrl de ls access, parámetrs y events de seguridad... 4 Cumplimient de Nrmas y Regulacines Vigentes... 5 Mejres prácticas de seguridad (Security Best Practices)... 5 Estructura de almacenamient de la aplicación... 6 Infraestructura Clud... 7 Dcumentación de Seguridad... 8 Registr de Mdificacines al Dcument... 8 Anex TDR Estandar para desarrll y adquisición de App.dc Página 1 de 9
Cntenid del dcument El presente dcument cntiene ls lineamients a seguir al mment de desarrllar, mantener, y/ adquirir aplicacines para la gestión de infrmación electrónica de Banc Bice. Definicines A fin de acrdar cncepts, a cntinuación, se presentan las definicines crrespndientes a ls términs y frases utilizadas en el presente dcument: Aplicacines Sftware de Base Prgramas preparads para una utilización específica cm pr ejempls, administración y gestión del Negci, cliente de crre electrónic. Prgramas que brindan sprte para la ejecución de aplicacines. Ejempls sn MS Windws en sus diferentes versines, el mtr de Base de Dats Oracle, y el mtr de Base de Dats Ltus Ntes. Objetiv Asegurar que tdas las aplicacines y/ sftware de base a desarrllar y/ adquirir en Banc Bice cuenten cn las especificacines necesarias para garantizar la seguridad de ls dats, permitiend un crrect cntrl y administración de la seguridad infrmática. Respnsables del cumplimient Tds ls respnsables que participan en el desarrll, mantenimient y/ adquisición de aplicacines y/ sftware de base deben cumplir esta nrma. Anex TDR Estandar para desarrll y adquisición de App.dc Página 2 de 9
Requerimients Participación del área de Seguridad Infrmática El área de Seguridad Infrmática debe ser cnvcada en el inici del prces de Desarrll evaluación para la adquisición de un aplicativ Sftware de Base, a fin de participar de dich prces, validand si se cumple cn tds ls requisits mencinads en el presente dcument. Autenticación de usuaris Tda aplicación sftware de base debe pseer un sistema de autenticación de usuaris. Debe estar integrada cn el sistema perativ base de autenticación definid para el Banc. Al mment de la redacción, dicha base es el Active Directry de Windws 2008, dnde están definidas las cuentas de usuaris y respectivs perfiles funcinales. De ser est impsible, deberá estar debidamente justificad, y se deberá prveer un esquema de autenticación rbust que verifique el estándar de cntraseñas vigente 1 en dnde se cntemple cóm mínim ls siguientes ítems, ls cuales deben ser parametrizables desde el módul de Seguridad: Cuenta de Usuari y respectiva cntraseña únicas Psibilidad de establecer una nueva cntraseña a elección Lngitud mínima de cntraseña para tdas las cuentas Slicitud de cambi de cntraseña en el primer inici de sesión Expiración de cntraseña, cada 30 días. Blque de usuari lueg de reiterads intents de ingres fallids, a razón de 3 intents. N repetición de las últimas cntraseñas utilizadas, crrespndiente a las 12 anterires. 1 Deberán slicitarl prtunamente a Seguridad Infrmática Anex TDR Estandar para desarrll y adquisición de App.dc Página 3 de 9
Antigüedad mínima cntraseña ante cambis sucesivs, un perid de 7 días. Almacenamient cifrad de cntraseñas cn algritms de rbustez recncida internacinalmente Descnexión de sesión lueg de un períd establecid de inactividad, 15 minuts. Administración de access Las aplicacines y/ sftware de base deberán cntar cn un módul de administración de seguridad en ls access, que mínimamente permita: De n cntar cn Seguridad Integrada, debe permitir la creación, mdificación, inhabilitación y eliminación de usuaris individuales. De n cntar cn Seguridad Integrada, debe permitir la creación, mdificación y eliminación de grups/perfiles de usuari, para permitir la separación de las distintas funcinalidades y transaccines. Asignar y eliminar permiss a ls grups/perfiles de usuari según su perfil funcinal. Asignar y eliminar usuaris individuales a grups/perfiles de usuari según su perfil funcinal. Restringir a un únic acces cncurrente pr usuari. Cntrl de ls access, parámetrs y events de seguridad Las aplicacines y/ sftware de base deberán cntar cn un módul de cntrl de seguridad en ls access y las tareas realizadas, que mínimamente permita: Identificación del usuari que ingresa ingresó a la aplicación. Ante un intent de ingres fallid NO debe indicarle al usuari si el errr se encuentra en la identificación del usuari en su cntraseña. Cm ser pr ejempl El nmbre de usuari cntraseña n es crrect. Cntar cn un módul de cnfiguración de seguridad cmpletamente separad del rest, en especial de ls móduls de parametrización. Cntar cn reprtes de cntrl de acuerd cn las definicines de seguridad implementadas, cm mínim se deben pder ejecutar Anex TDR Estandar para desarrll y adquisición de App.dc Página 4 de 9
reprtes en función de las pistas de auditria que se detallan en el próxim punt. Incluir registrs de pistas de auditría sbre events de seguridad, entre ls que se encuentran ls siguientes: Ingress y egress de usuaris Intents de ingres fallids Fecha y hra del últim ingres pr usuari Altas, bajas y mdificacines de perfiles Altas, bajas y mdificacines de usuaris Blques y desblque de usuaris Descnexines de usuaris Blanques de cntraseñas de usuari Cambis de permiss, cnservand ls valres anterires y psterires de cada cambi Cambis de parámetrs, cnservand ls valres anterires y psterires de cada cambi Cumplimient de Nrmas y Regulacines Vigentes Tda aplicación debe cumplir cn l exigid pr la legislación vigente y las nrmas emitidas pr el Banc Central de la República Argentina, en especial ls requisits mínims de gestión, implementación, y cntrl de ls riesgs relacinads cn tecnlgía infrmática, sistemas de infrmación y recurss asciads para las entidades financieras establecids en la cmunicación A 4609 actualmente en vigencia en las que eventualmente la reemplacen. Mejres prácticas de seguridad (Security Best Practices) En general, las herramientas de desarrll de aplicacines, las aplicacines, y el sftware de base, dispnen de dcumentación en dónde el prveedr indica l que sn las mejres prácticas de seguridad. Se deberán cnsiderar en td mment la implementación de dichas prácticas. Anex TDR Estandar para desarrll y adquisición de App.dc Página 5 de 9
Estructura de almacenamient de la aplicación Las cntraseñas y claves de cifrad utilizadas pr la aplicación se deben almacenar en archivs de cnfiguración cifradas cn un algritm aprbad pr Seguridad Infrmática. Slamente ls usuaris finales tendrán permis de lectura sbre ess archivs y slamente Seguridad infrmática pdrá mdificarls. La aplicación debe cntemplar una separación lógica de sus cmpnentes, archivs de dats de sl lectura ejecutables archivs temprales archivs de lectura-escritura cnfiguracines de seguridad registrs de events de seguridad de frma tal que permita una crrecta asignación de permiss sbre ls misms. De n ser psible esta segregación, se deberá prveer la justificación crrespndiente y prveer el detalle de ls permiss a aplicar para cada una de las carpetas de la aplicación. Recurss cmpartids: en cas de accederse la aplicación sftware de base a través de una carpeta cmpartida, se deberá utilizar un únic punt de entrada a la misma, parametrizable en un archiv de cnfiguración. Bases de Dats: ls usuaris deben acceder a ls dats almacenads en las bases de dats exclusivamente utilizand la aplicación crrespndiente y nunca de frma directa. Anex TDR Estandar para desarrll y adquisición de App.dc Página 6 de 9
Infraestructura Clud A cntinuación, se detallan ls aspects relevantes respect de la seguridad ante la arquitectura Clud: Rápida respuesta ante ataques de denegación de servicis (DS). Blque del ataque y plan de cntinuidad de negci definid. El almacenamient de ls dats debe situarse en las lcalizacines avaladas pr el cntrat. Persistencia de dats. Deben utilizarse técnicas para lcalizar de frma cmpleta y efectiva ls dats en la nube, así cm también brrar/destruir dats asegurand que ls dats han sid cmpletamente eliminads, en el cas de una migración a servidres lcales cambi de prestadr de la infraestructura clud. Utilizar un canal cifrad, segur, para la transmisión de ls dats. Es imprtante prteger la infrmación sensible inclus cuand ls dats se trasmiten dentr de la red del prveedr de la nube. N permitir la lectura de ls dats a través de ataques cn intermediaris (MITM). Se deben implementar cncidas técnicas para evitar el ataque durante el prces de intercambi de claves, tal cm l establecen las mejres prácticas utilizand autenticación mutua fuerte, clave pública, entre trs. Hardening de ls servidres físics y/ virtuales. En el cas de ser virtual el prveedr debe garantizar la crrecta seguridad del entrn. Respect de la seguridad perimetral se deberá implementar un sistema de prevención de intruss (IPS) y evaluar si crrespnde la cntratación de un Firewall de aplicacines Web (WAF). En el cas que el servici incluya resguard de infrmación, el prveedr deberá garantizar una adecuada frecuencia del mism para asegurar la integridad de la infrmación y pruebas periódicas de restauración. Anex TDR Estandar para desarrll y adquisición de App.dc Página 7 de 9
A fin de crrbrar el cumplimient de ls punts mencinads y de la utilización de las mejres prácticas se recmienda realizar un análisis de vulnerabilidades (pentest) antes de la puesta en prducción y lueg cada 6 12 meses, además de establecer prcess de cntrl y auditría para que las áreas pertinentes del banc puedan crrbrar l implementad. Dich análisis debe ser efectuad pr una cmpañía especializada, diferente a quien está a carg del desarrll adquisición del nuev sftware, y la cntratación del mism a carg del BICE cn el fin de garantizar la imparcialidad de ls resultads. Dcumentación de Seguridad Se deberá prveer al Sectr de Seguridad Infrmática la dcumentación técnica y de administración de seguridad de la aplicación y sftware de base. Entre ests, y cm ejempl se mencinan las cnfiguracines de seguridad de l siguiente: Servicis Sistemas de archivs Privilegis de usuaris Plíticas de Seguridad de la aplicación y/ sftware de base Seguridad en las cmunicacines de red ABM de usuaris/grups Registr de Mdificacines al Dcument Cada persna que actualice el presente dcument deberá registrar la fecha, númer de versión, nmbre y la sección de este dcument que fue mdificada. Anex TDR Estandar para desarrll y adquisición de App.dc Página 8 de 9
Fecha de Cambi Versión Revisión Cread Mdificad pr: Descripción del Cambi 18/1/2012 1 Lucas Ferrer Creación 18/05/2017 2 Lucas Ferrer Infraestructura Clud 01/03/2018 3 Lucas Ferrer Actualización y mejra 28/03/2018 4 Daniel Ncella Actualización y mejra Anex TDR Estandar para desarrll y adquisición de App.dc Página 9 de 9