60. Article

Persona, kas organizē un vada elektroniskai pieteikumu un piedāvājumu iesniegšanai un saņemšanai izmantojamās informācijas sistēmas darbību, nodrošina, ka sistēma ir aizsargāta pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un atbilst vismaz šādām prasībām: 60.1. tiek nodrošināta aizsardzība pret ļaunprātīgu datu ievadi (piemēram, standartizētās vaicājuma valodas ievadīšana (SQL injection), paplašināmās iezīmēšanas valodas noteiktas sintakses ievadīšana (XML Xpath injection), operētājsistēmas komandu ievadīšana): 60.1.1. veicot visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus; 60.1.2. veicot ievaddatu pārbaudi vismaz servera pusē (lietotnē, kas darbojas uz servera); 60.1.3. ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, standartizētās vaicājuma valodas (SQL) teikumi, veicot ievaddatu nodalīšanu no komandas vai vaicājuma; 60.2. tiek nodrošināta aizsardzība pret starpvietņu šifrēšanas kļūdām (XSS): 60.2.1. pārbaudot visus uz pārlūkprogrammu nosūtītos datus; 60.2.2. pienācīgi šifrējot visus pārlūkprogrammā parādāmos datus; 60.3. tiek nodrošināta droša identificēšanās un sesiju pārvaldība: 60.3.1. nepieļaujot iespēju identifikācijas datus uzminēt vai pārrakstīt nepietiekamu lietotāja konta pārvaldības funkciju dēļ; 60.3.2. nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu vienotajā resursu vietrādī (URL); 60.3.3. aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem; 60.3.4. nodrošinot sesiju noilguma funkcionalitāti; 60.3.5. identifikācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS); 60.3.6. veidojot paroles no vismaz deviņiem simboliem, vienlaikus parolē izmantojot vismaz vienu latīņu alfabēta lielo burtu, latīņu alfabēta mazo burtu, ciparu un speciālo simbolu, ja administratora saskarnei netiek izmantota divu faktoru identifikācija; 60.4. piekļuve resursiem ar tiešo atsauci tiek īstenota tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas; 60.5. tiek nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanu (XSRF); 60.6. tiek ievēroti šādi sistēmas programmatūras drošības nosacījumi: 60.6.1. visiem programmatūras komponentiem tiek izmantotas pēdējās produkcijas videi paredzētās versijas, tai skaitā operētājsistēmai, tīmekļa vai lietotnes serverim, datubāzu pārvaldības sistēmai, lietotnēm un visām kodu bibliotēkām; 60.6.2. nav uzstādīti vai ir atspējoti nevajadzīgi operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi; 60.6.3. kļūdu apstrāde publiskos kļūdu paziņojumos nepieļauj neizpaužamu ziņu attēlošanu; 60.6.4. drošības iestatījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi (piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām); 60.7. tiek īstenotas šādas datu šifrēšanas prasības: 60.7.1. personas dati tiek šifrēti un saglabāti elektroniskā formātā; 60.7.2. šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), tai skaitā sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kas ir piesaistīti sistēmas domēnam; 60.7.3. tiek izmantoti tehnoloģiski aktuāli šifrēšanas algoritmi un šifrēšanas atslēgas, kas ir drošas pret neatļautu atšifrēšanu, ja tā veikta, izmantojot publiski pieejamas iekārtas; 60.7.4. saglabājot paroles datubāzē, tās jauc ar standarta jaucējsummas algoritmu, kas ir drošs pret neatļautu atkodēšanu, ja tā veikta, izmantojot publiski pieejamas iekārtas; 60.7.5. visas paroles un šifrēšanas atslēgas tiek pienācīgi aizsargātas; 60.8. katrai jaunai sistēmas globālā tīmekļa adresei (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot; 60.9. nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu no sistēmas. 67