Política de seguridad de la información en el desarrollo y ciclo de vida del software
La Política de Seguridad en el desarrollo y Ciclo de vida del Software tiene como requisito base de seguridad en el diseño y por defecto, controles internos específicos de desarrollo seguro de software con el objetivo de construir de base código seguro, tanto en el entorno de aplicación, como en el de base de datos asegurando el entorno en todo el ciclo de vida. Nuestros colaboradores y nuestros suministradores desarrollan el software en los diversos módulos y aplicaciones web, mobile y escritorio con las directrices que vamos construyendo y definiendo según las tecnologías, las necesidades del entorno, el compliance legal y los requerimientos de nuestros clientes. De esta manera una de las piezas fundamentales en VÍTALY ha sido y sigue siendo construir nuestro producto seguro para minimizar cualquier incidencia.
Para ello implementamos una serie de controles basados en buenas prácticas de ISO 27002, del Esquema Nacional de Seguridad y de OWASP sobre los que destacamos:
- Existe una producción propia interna del software en los módulos del core de la plataforma, con API propietario.
- Existe una protección del código fuente mediante funcionalidades del framework.
- Existe una separación entornos de desarrollo, testing, preproducción y producción.
- Existen procedimientos de operación para el paso hacia distintos entornos. Procedimiento definido de control de cambios.
- Se realizan copias de seguridad y política de contingencia propia del entorno de desarrollo.
- Se desarrolla un Expertise, desarrollo profesional y formación continua a desarrolladores.
- Seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida
- Existen funciones técnicas de seguridad en el front end web. SQL injection, Cross Scripting, etc.
- Existen archivos de configuración encriptados.
- Se aplica una correcta segregación de funciones entre los desarrolladores y los operadores para evitar la posibilidad que los desarrolladores puedan cargar aplicaciones al entorno de producción a través de un proceso autorizado, formalizado y controlado.
- El acceso al entorno de producción se revisa periódicamente para determinar si los derechos de acceso son los apropiados.
- El personal involucrado en el desarrollo de aplicaciones dispone de guías específicas sobre la seguridad en el proceso de desarrollo, y debe adherirse a normas de codificación segura.
