Se você opera um serviço web, esta é uma lista organizada por itens com aspectos de segurança básicos que devem ser verificados, além de documentos de referência e links de exemplos relacionados.
- Empresa como um todo
-
Segurança de domínio
-
Coleta de dados e GDPR
-
Segurança dos serviços de terceiros usados internamente (Google Apps, Slack, WordPress etc.)
-
Definição de políticas de segurança internas e externas
-
Operação de um programa de bug bounty
-
Elaboração de um plano de resposta a incidentes de segurança
-
Conformidade regulatória
-
2FA em todos os lugares possíveis
-
Checklist de onboarding/offboarding
- Infraestrutura
-
HTTPS
-
Verificações básicas de segurança (HSTS, X-Frame-Options, CSP etc.)
-
Automação de atualizações de imagens de OS/Docker
-
Restrição de acesso por IP a serviços internos
-
Centralização de logs
-
Monitoramento de serviços
-
Monitoramento de anomalias com base em métricas
-
Documentação do método de reinstalação da infraestrutura em caso de desastre
- Código
-
Criação e aplicação obrigatória de um checklist de code review de segurança
-
Adoção de SAST
-
Gestão de secrets (senhas, chaves etc.)
-
Execução de sessões de teste com foco em segurança
-
Treinamento de segurança durante o onboarding
- Aplicação
-
Executar com uma conta que não seja de administrador/root
-
Rastreamento contínuo de bibliotecas de terceiros
-
Adoção de RASP (Realtime Application Self Production)
-
Contratação de uma equipe externa de testes de invasão
-
Automação de segurança
2 comentários
Link do arquivo: https://assets.sqreen.com/whitepapers/…
Como é uma checklist feita por uma empresa que cria uma ferramenta de segurança chamada Sqreen, ela inclui algum conteúdo promocional,
mas parece que dá para olhar a lista inteira e aplicá-la de acordo com a realidade de cada empresa.