Seguridad

Seguridad
 
-A +A

Checklist de Seguridad para Sitios Web

LLave de seguridad. En este documento se entrega una serie de elementos que deben ser revisados para determinar si el Sitio Web que se analiza, cumple con las características de Seguridad aconsejadas en los temas referidos a Seguridad de la Guía para Desarrollo de Sitios Web del Gobierno de Chile.

Todos los elementos que se abordan en esta lista, son explicados en uno o más capítulos de la guía. Por cada uno de ellos, se debe marcar  o No y se espera que un Sitio Web de Gobierno cumpla con todos o la mayoría de ellos. En aquellos que no haya cumplimiento, se deben adoptar las actividades correctivas que correspondan.

La siguiente tabla ha sido diseñada para facilitar su impresión y uso en la evaluación de sitios, no es un formulario dinámico.


Conceptos de Seguridad

Cumple
No
1 ¿El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus servicios? (especialmente en el caso de Trámites en línea) Sí Sí
2 Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados y procesados por el servidor del Sitio? Sí Sí
3 ¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo señalado? Sí Sí
4 Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados se muestran correctamente? Sí Sí
5 ¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera reservada? Sí No
6 ¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las páginas pertinentes? Sí Sí
7 ¿Los servicios ofrecidos son realizados a través de canales de transacción seguros? Sí Sí
8 ¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password? Sí Sí
9 ¿La política de seguridad implementada para validar el acceso restringido es adecuada a los propósitos del servicio o de la institución? Sí Sí
10 ¿Protege la integridad de sus programas y datos? Sí Sí
11 ¿Se evita que sea visto, el nombre de los programas y los directorios? Sí Sí
12 ¿Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers? Sí Sí
13 ¿Se cuenta con una política de respaldo de información que permita superar efectos de fallas derivadas del punto anterior? Sí Sí
14 ¿Se ha realizado validación de inputs del usuario en el servidor? Sí Sí
15 ¿Se ha revisado el saneamiento en el output de contenidos ingresados por usuarios? Sí Sí
16 ¿Se ha revisado si los sitios web que requieran login de usuarios usan conexiones encriptadas vía HTTPS.? Sí Sí
17 ¿Se ha revisado si las contraseñas en el servidor son almacenadas utilizando un hash con un salt aleatorio.? Sí Sí
18 ¿Se ha verificado lógica de permisos para realizar las distintas acciones en el sitio web. Ej: Que usuarios pueden borrar, crear, editar los diferentes elementos.? Sí Sí
19 ¿Se han filtrado los ataques de SQL Injection?. Se recomienda utilizar PreparedStatements/Consultas parametrizadas para hacer consultas a la base de datos. Sí Sí
20 ¿Se han filtrado los ataques XSS?. Existen variadas librerias que filtran el ingreso de scripts por parte del usuario Sí Sí
21 ¿Se han tomado medidas para prevenir los ataques XSRF/CSRF?. Las acciones del usuario sobre el sitio web deben ser enviadas vía POST, además de enviar un secret token generado al momento de presentar el formulario web. Sí Sí
22 ¿En cuanto a la seguridad de CMS (Joomla, Wordpress, Drupal u otros): Se ha verificado que estén instalados los últimos parches de seguridad de estos sistemas? Sí Sí
23 ¿En cuanto a la seguridad Apache / IIS / NGINX u otros : Se ha verificado que estén instalados los últimos parches de seguridad de estos servidores y verificar que las versiones en producción sean su “versión estable”? Sí Sí
24 ¿Se han realizado respaldos de la base de datos en forma periódica o se han programado estos respaldos en tareas ? Sí Sí