Os requisitos vem com o propósito de melhorar a segurança com acesso à plataforma Infradesk visando mitigar os riscos de ataques cibernéticos, exigindo a implementação de controles mínimos de segurança, independente da tecnologia utilizada pelo parceiro (Web, Mobile ou Aplicativo) tendo o cliente como responsável a implementação dos seguintes requisitos mínimos em sua plataforma:
Transporte
• Todas as comunicações entre o cliente o a plataforma devem ocorrer por HTTPS usando a versão a partir do TLS 1.2.
• Todas as interfaces acessíveis ao público na internet, devem usar um Certificado Digital que tenha sido assinado por uma autoridade de certificação aprovada e legítima.
Sempre que possível crie uma lista de permissões de IP’s (WhiteList) para limitar e controlar o acesso apenas de recursos autorizados.
• Sempre que possível, utilize soluções para controlar o acesso da rede como Firewall e WAF (Web Application Firewall).
• Implemente o cabeçalho de resposta:
• HTTP X-XSS-Protection: Sempre que possível implemente a opção 1; mode=block
• Sempre que possível, habilite o header STS Strict-Transport-Securty para garantir que o navegador não converse com o servidor usando protocolo HTTP e sim apenas HTTPS.
• Os cabeçalhos CORS devem ser usados, pois reduzem os mecanismos gerais de segurança integrados aos navegadores da web, relaxando seletivamente as restrições de origem cruzada.
Manipulação de erros
• A API deve mascarar quaisquer erros relacionados ao sistema por trás de respostas de status HTTP padrão e mensagens de erro, por exemplo, não exponha informações de nível de sistema em sua resposta de erro.
• A API não deve passar detalhes técnicos (por exemplo, pilhas de chamadas ou outras dicas internas) para o cliente.