SaaS CTO सुरक्षा चेकलिस्ट Ver.3

• CTO को जिन ज़रूरी security बातों का ध्यान रखना चाहिए, उन्हें अलग-अलग मदों में समझाया गया है

→ इससे संबंधित पढ़ने लायक links, recommended tools, tips आदि

• कर्मचारी

→ security training कराना

→ 2FA लागू करना

→ कंप्यूटर auto-lock

→ account sharing रोकना

→ personal computer/phone encryption - Jamf, Canonical Landscape

→ onboarding / offboarding checklist

→ password manager का उपयोग - dashlane, lastpass, onelogin

→ security code review checklist बनाना और चलाना -

→ accounts का central management

→ malware & virus prevention tools - stormshield

→ security engineer hire करना

• कोड

→ security bugs को सामान्य bugs की तरह manage करना

→ secrets को code से अलग करना - envkey, vault, secret-manager

→ cryptography खुद न करें, library का उपयोग करें

→ Static Code Analysis Tool लागू करना

→ security-focused test session चलाना

→ पूरे software development lifecycle (SDLC) में security automation

→ software engineers के लिए security training onboarding चलाना - safecode, pagerdugy sudo

• application

→ production product के लिए security automation - snyk, checkov

→ FaaS security

→ dependency tracking - snyk, dependabot

→ root के अलावा किसी account से चलाना (unprivileged)

→ real-time protection service (Runtime Application Self Protection, RASP)

→ external penetration testing team hire करना

• infrastructure

→ backup करें, restore test करें, और फिर दोबारा backup लें - tarsnap, quay

→ website basic security test - securityheaders, ssllabs

→ assets को network level par isolate करना

→ OS & Docker images को up-to-date रखना - watchtower , spacewalkproject

→ container image security auto-scanning - quay, vulerability & image scanning

→ सभी websites & API पर TLS लागू करना

→ सभी logs को centralize करना, archive करना और meaningful बनाना - loggly, kibana

→ exposed services की monitoring - checkup

→ DDOS attacks से सुरक्षा - fastly, cloudflare, cloudfront

→ internal service access को IP से block करना

→ metrics में unusual patterns detect करना - newrelec , sysdig

• कंपनी

→ जो भी data collect किया जाता है, उसके बारे में ईमानदार और transparent रहें

→ security-friendly culture बनाना - Security Culture Framework

→ visitors के साथ WiFi network share न करना

→ सभी major third-party services की security check करना - Google Apps/Slack/WordPress आदि

→ domain name protection की पुष्टि - auto-renewal और अन्य lock features

→ public security policy की पुष्टि

→ security को प्राथमिकता देने वाले tools का उपयोग

→ security scaling की तैयारी

→ Bug Bounty program बनाना - hackerone, cobalt

→ company assets की inventory बनाना

→ internal security policy बनाना

→ domain phishing के लिए तैयारी करना

• product users

→ password policy लागू करना

→ user privacy protection को मजबूत करना : social engineering को रोकना

→ users को 2FA इस्तेमाल करने के लिए recommend करना. SSO और role-based account management - auth0, okta, WebAuthn

→ users के unusual behavior को detect करना - castle