Revisión de lista de verificación de seguridad
En Pega, nos tomamos en serio la seguridad de los sistemas y de las aplicaciones. La seguridad es una responsabilidad compartida entre Pega y los clientes. Cada lanzamiento sucesivo de Pega Platform™ aumenta las características y capacidades de seguridad disponibles para fortalecer las aplicaciones y los sistemas contra el acceso indebido y proteger los datos que esas aplicaciones administran.
La lista de verificación de seguridad proporciona las prácticas líderes de Pega para implementar aplicaciones de manera segura. Para ayudarlo a realizar un seguimiento de la finalización de las tareas en la lista de verificación de seguridad, Pega Platform muestra la finalización general en la página de inicio de Dev Studio (Resources > Application Guides (Recursos > Guías de aplicación)) y formas integradas de realizar el seguimiento del estado de cada tarea.
Lista de verificación de seguridad:
- Proporciona las prácticas líderes de Pega para implementar aplicaciones de manera segura.
- Ayuda a proteger la integridad, la confidencialidad y la accesibilidad de su aplicación en producción.
- Identifica cuándo realizar cada tarea:
- En o cerca del inicio del desarrollo
- En forma continua
- Inmediatamente antes de la implementación
- Ayuda a evitar revisiones costosas al final de su proceso de desarrollo.
La lista de verificación de seguridad consiste en tareas principales y accesorias. Las tareas principales en lista de verificación de seguridad tienen lugar durante el desarrollo y la producción.
Tareas principales para realizar durante el desarrollo
- Aborde las alertas de seguridad rápidamente.
- Los ejemplos de alertas de seguridad incluyen:
- SECU0001: propiedades inesperadas recibidas en una solicitud HTTP
- SECU0019: solicitud no autorizada detectada
- Los ejemplos de alertas de seguridad incluyen:
- Autentique de forma segura los intentos de acceder a los servicios.
- Cree un perfil de autenticación para mover mensajes de forma segura hacia y desde su aplicación con varias reglas de conector y servidor.
- Defina roles y privilegios apropiados para restringir el acceso.
- Cifre adecuadamente los datos.
- El cifrado es una forma de proteger los datos confidenciales dentro de su aplicación sin que eso afecte la funcionalidad de Pega Platform.
- El cifrado utiliza un algoritmo de cifrado para convertir texto legible (texto sin formato) en un formato secreto ilegible (texto cifrado). El texto cifrado se puede descifrar solo mediante la clave de cifrado correcta.
Tareas principales para realizar durante la producción
- Definir el nivel del sistema de producción a 5
- Bloquear los rulesets
- No implementar reglas sin protección
- Bloquear los roles y operadores innecesarios de la producción
- Proteger las contraseñas
- Configurar los ajustes del sistema dinámico para la producción
- Configurar los ajustes de cross-site request forgery (falsificación de solicitud entre sitios) (CSRF)
- Definir las políticas de seguridad de contenido apropiadas
- Definir políticas adecuadas de Cross-Origin Resource Sharing (Intercambio de recursos de origen cruzado) (CORS) para servicios REST
- Configurar los niveles de registro apropiadamente
Tareas adicionales
Estas configuraciones no se aplican a todas las aplicaciones. La configuración depende de las necesidades del cliente y es específica de la aplicación:
- Políticas de formato de contraseña
- Políticas CAPTCHA
- Políticas de bloqueo de sesión
- Políticas de auditoría de intentos de inicio de sesión
- Autenticación de múltiples factores
- Políticas de acceso del operador
- Tiempos de espera de configuración de autenticación
- Acceso a base de datos segura
- Auditoría de cambios en los datos de la aplicación
- Configuración del registro de evento de seguridad
This Topic is available in the following Module:
¿Quiere ayudarnos a mejorar este contenido?