Lista de Verificación para Proteger Datos en Todas Partes
4.2.8 Lista de Verificación: Proteger Datos en Todas Partes
Los datos sensibles como contraseñas, números de tarjetas de crédito, registros médicos, información personal y secretos comerciales requieren protección adicional, particularmente si esos datos están sujetos a leyes de privacidad (Reglamento General de Protección de Datos de la UE, GDPR), reglas de protección de datos financieros como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) u otras regulaciones.
Consulte el control proactivo C2: Usar la Criptografía de manera adecuada y sus hojas de referencia para obtener más contexto del proyecto OWASP Top 10 Controles Proactivos, y utilice la lista a continuación como sugerencias para una lista de verificación adaptada para el proyecto individual.
1. Protección de datos
- Clasificar los datos según el nivel de sensibilidad
- Implementar controles de acceso apropiados para datos sensibles
- Cifrar datos en tránsito
- Asegurar que los canales de comunicación seguros estén configurados correctamente
- Evitar almacenar datos sensibles cuando sea posible
- Asegurar que los datos sensibles en reposo estén protegidos criptográficamente para evitar divulgación y modificación no autorizada
- Eliminar datos sensibles cuando ya no sean necesarios
- Almacenar secretos a nivel de aplicación en una bóveda de secretos
- Verificar que los secretos no estén almacenados en código, archivos de configuración o variables de entorno
- Implementar el privilegio mínimo, restringiendo el acceso a funcionalidades, datos e información del sistema
- Proteger todas las copias en caché o temporales de datos sensibles contra acceso no autorizado
- Eliminar esas copias temporales de datos sensibles tan pronto como ya no sean necesarias
2. Gestión de memoria
- Inicializar explícitamente todas las variables y almacenes de datos
- Verificar que los búferes sean tan grandes como se especifica
- Comprobar los límites del búfer si se llama a la función en un bucle y proteger contra desbordamientos
- Cerrar específicamente los recursos, no depender del recolector de basura
- Usar pilas no ejecutables cuando estén disponibles
- Liberar correctamente la memoria asignada al completar las funciones y en todos los puntos de salida
- Sobrescribir cualquier información sensible almacenada en la memoria asignada en todos los puntos de salida de la función
- Proteger las variables y recursos compartidos contra el acceso concurrente inapropiado
Referencias
- Hoja de Referencia: Almacenamiento Criptográfico de OWASP
- Hoja de Referencia: Gestión de Secretos de OWASP
- Top 10 Controles Proactivos de OWASP
Traducción de versión original en inglés.
La Guía para Desarrolladores OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse, cree un issue o edítelo en GitHub.
\newpage