SaaS CTO Güvenlik Kontrol Listesi [27 sayfalık PDF]

 (sqreen.com)
9 puan yazan xguru 2020-07-23 | 2 yorum | WhatsApp'ta paylaş

Bir web hizmeti işletiyorsanız, temel olarak kontrol etmeniz gereken güvenlik maddeleri kategori bazında listelenmiş; ayrıca başvurulabilecek belgeler ile örnek bağlantılar da derlenmiş.

  • Şirket genelinde

  • Alan adı güvenliği

  • Veri toplama ve GDPR

  • Şirket içinde kullanılan 3rd party hizmetlerin güvenliği (Google Apps, Slack, WordPress vb.)

  • Şirket içi/dışı güvenlik politikalarının oluşturulması

  • Bug bounty programının yürütülmesi

  • Güvenlik olayı müdahale planının hazırlanması

  • Compliance gerekliliklerine uyum

  • Mümkün olan her yerde 2FA

  • Onboarding/offboarding kontrol listesi

  • Altyapı

  • HTTPS

  • Temel güvenlik kontrolleri (HSTS, X-Frame-Options, CSP vb.)

  • OS/Docker imaj güncellemelerinin otomasyonu

  • Dahili servislerde IP erişim kısıtlaması

  • Logların merkezileştirilmesi

  • Hizmet izleme

  • Metriklere dayalı anomali izleme

  • Felaket durumunda altyapının yeniden kurulma yöntemlerinin dokümante edilmesi

  • Kod

  • Güvenli kod inceleme kontrol listesinin hazırlanması ve zorunlu kılınması

  • SAST benimsenmesi

  • Secrets (parolalar, anahtarlar vb.) yönetimi

  • Güvenlik odaklı test oturumlarının yürütülmesi

  • Onboarding sırasında güvenlik eğitimi verilmesi

  • Uygulama

  • Yönetici/root olmayan hesaplarla çalıştırma

  • Üçüncü taraf kütüphanelerin sürekli takibi

  • RASP (Realtime Application Self Protection) benimsenmesi

  • Harici bir sızma testi ekibi tutulması

  • Güvenlik otomasyonu

İlgili okumalar

2 yorum

 
xguru 2020-07-23

Sqreen adlı güvenlik aracını geliştiren bir şirketin hazırladığı bir kontrol listesi olduğu için tanıtım niteliğinde içerikler de barındırıyor,

ancak genel listeye bakıp bunu kendi şirketinize uygun şekilde uyarlayabilirsiniz.