SaaS CTO सुरक्षा चेकलिस्ट [27p PDF]

अगर आप कोई web service चला रहे हैं, तो बुनियादी तौर पर जांचे जाने वाले security बिंदुओं को श्रेणीवार सूचीबद्ध किया गया है, और संदर्भ के लिए दस्तावेज़ व उदाहरण लिंक भी व्यवस्थित किए गए हैं.

• पूरी कंपनी स्तर पर

• domain security

• data collection और GDPR

• कंपनी के भीतर उपयोग हो रही 3rd party services की security (Google Apps, Slack, WordPress आदि)

• बाहरी/आंतरिक security policies स्थापित करना

• bug bounty program चलाना

• security incident response plan बनाना

• compliance का पालन

• जहां भी संभव हो, हर जगह 2FA

• onboarding/offboarding checklist

• इंफ्रास्ट्रक्चर

• HTTPS

• बुनियादी security checks (HSTS, X-Frame-Options, CSP आदि)

• OS/Docker image updates का automation

• internal services के लिए IP access restriction

• logs का centralization

• service monitoring

• metrics के आधार पर असामान्यताओं की monitoring

• disaster के समय infrastructure को दोबारा स्थापित करने की प्रक्रिया का दस्तावेजीकरण

• कोड

• security code review checklist बनाना और उसे अनिवार्य करना

• SAST लागू करना

• secrets (passwords, keys आदि) का management

• security-focused test sessions चलाना

• onboarding के समय security training देना

• एप्लिकेशन

• admin/root के बजाय non-privileged account से चलाना

• third-party libraries की लगातार tracking

• RASP (Realtime Application Self Production) लागू करना

• बाहरी penetration testing team को नियुक्त करना

• security automation