Checklist Keamanan CTO SaaS [PDF 27 hlm]

 (sqreen.com)
9 poin oleh xguru 2020-07-23 | 2 komentar | Bagikan ke WhatsApp

Jika Anda mengoperasikan layanan web, dokumen ini mencantumkan hal-hal keamanan dasar yang perlu diperiksa per kategori, serta merangkum dokumen referensi dan tautan contoh

  • Seluruh perusahaan

  • Keamanan domain

  • Pengumpulan data dan GDPR

  • Keamanan layanan pihak ketiga yang digunakan di perusahaan (Google Apps, Slack, WordPress, dll.)

  • Menetapkan kebijakan keamanan internal/eksternal

  • Menjalankan program bug bounty

  • Menyusun rencana respons insiden keamanan

  • Kepatuhan terhadap compliance

  • 2FA di semua tempat yang memungkinkan

  • Checklist onboarding/offboarding

  • Infrastruktur

  • HTTPS

  • Pemeriksaan keamanan dasar (HSTS, X-Frame-Options, CSP, dll.)

  • Otomatisasi pembaruan image OS/Docker

  • Pembatasan akses IP ke layanan internal

  • Sentralisasi log

  • Monitoring layanan

  • Monitoring anomali berbasis metrik

  • Merapikan cara instal ulang infrastruktur saat terjadi bencana

  • Kode

  • Menyusun dan mewajibkan checklist code review keamanan

  • Mengadopsi SAST

  • Manajemen secrets (kata sandi, kunci, dll.)

  • Menjalankan sesi pengujian yang berfokus pada keamanan

  • Melakukan pelatihan keamanan saat onboarding

  • Aplikasi

  • Menjalankan dengan akun non-admin/non-root

  • Pelacakan berkelanjutan terhadap library pihak ketiga

  • Mengadopsi RASP (Realtime Application Self Production)

  • Merekrut tim penetration testing eksternal

  • Otomatisasi keamanan

Bacaan terkait

2 komentar

 
xguru 2020-07-23

Karena ini adalah checklist yang dibuat oleh perusahaan pembuat alat keamanan bernama Sqreen, memang ada sebagian isi yang bernuansa promosi,

namun tampaknya kita bisa melihat keseluruhan daftarnya lalu menerapkannya sesuai kondisi masing-masing perusahaan.