51. Article

Portālu un privātpersonu parakstu vākšanas tiešsaistes sistēmai jābūt aizsargātai pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un jāatbilst vismaz šādām prasībām: 51.1. nodrošināta aizsardzība pret injekcijas kļūdām (piemēram, SQL injekcija, XML valodas Xpath injekcija, operētājsistēmas komandu injekcija): 51.1.1. veicot visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus; 51.1.2. veicot ievaddatu pārbaudi vismaz servera pusē (lietojumā, kas darbojas uz servera); 51.1.3. ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, SQL teikumi, ievaddatu nodalīšana no komandas vai vaicājuma; 51.2. nodrošināta aizsardzība pret starpvietņu skriptēšanas kļūdām (XSS): 51.2.1. veicot visu uz pārlūkprogrammu nosūtīto datu pārbaudi; 51.2.2. pienācīgi kodējot visus pārlūkprogrammā parādāmos datus; 51.3. nodrošināta stipra autentificēšanās un sesiju pārvaldība: 51.3.1. nepieļaujot iespēju akreditācijas datus uzminēt vai pārrakstīt vāju lietotāja konta pārvaldības funkciju dēļ; 51.3.2. nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu URL; 51.3.3. aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem; 51.3.4. garantējot sesiju noilguma funkcionalitāti; 51.3.5. akreditācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS); 51.3.6. paroļu veidošanai izmantojot stipru loģisko politiku, ja administratora saskarnei netiek izmantota divu faktoru autentifikācija; 51.4. piekļuve resursiem ar tiešo atsauci tiek nodrošināta tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas; 51.5. nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanas kļūdu (XSRF); 51.6. nodrošināta šāda pienācīgas sistēmas drošības konfigurēšana: 51.6.1. visas izmantojamās programmatūras komponentes ir aktuālas, tai skaitā operētājsistēmas, tīmekļa vai lietotnes serveris, datubāzes pārvaldības sistēma, lietotnes un visas kodu bibliotēkas; 51.6.2. ir atspējoti vai nav instalēti nevajadzīgas operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi; 51.6.3. ir izveidota kļūdu apstrāde, lai novērstu pārlieku daudz informācijas saturošu ziņojumu noplūdi; 51.6.4. drošības iestādījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi, piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām; 51.7. nodrošina šādu šifrēšanu: 51.7.1. šifrē personas datus, kas tiek saglabāti elektroniskā formātā, izņemot gadījumu, ja parakstu vākšanu nodrošina ar paaugstinātas drošības sistēmu, kuras pārzinis ir valsts institūcija; 51.7.2. šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), pārsūtot personas datus elektroniski; 51.7.3. lieto stiprus šifrēšanas algoritmus un stipras atslēgas; 51.7.4. jābūt šifrēšanas atslēgu pārvaldības procedūrai; 51.7.5. saglabājot paroles datubāzē, tās jauc ar stipru standarta jaucējsummas algoritmu un pievieno pienācīgu kriptogrāfisko jaucējvērtību "salt"; 51.7.6. visas paroles un šifrēšanas atslēgas pienācīgi aizsargā; 51.8. saitēm (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot; 51.9. tiek izmantota pietiekama transporta slāņa aizsardzība (Transport Layer Protection): 51.9.1. sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kuru termiņš nav beidzies, tie nav atsaukti un ir atbilstoši domēnam, kurā tos izmanto; 51.9.2. izmanto tikai tādus šifrēšanas algoritmus, kas atbilst labai praksei; 51.10. nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu. 56 (Grozīts ar MK 27.08.2024. noteikumiem Nr. 574)