Política de Seguridad de Aplicaciones

Todas las aplicaciones web deberán implementarse detrás de un Firewall de Aplicaciones Web (WAF) configurado para detectar y bloquear ataques web comunes (OWASP Top 10).

Los servidores de aplicaciones deberán endurecerse según las guías del proveedor y los estándares de la industria, con funcionalidades innecesarias, contenido de muestra y configuraciones predeterminadas eliminados.

El manejo de errores no deberá exponer detalles internos del sistema, trazas de pila o información de depuración a los usuarios finales.

Los encabezados de seguridad HTTP deberán implementarse: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security, Referrer-Policy y Permissions-Policy.

Las aplicaciones deberán implementar mecanismos de autenticación apropiados para la sensibilidad de los datos: datos estándar (nombre de usuario + contraseña que cumpla los requisitos de complejidad), datos Confidenciales (MFA requerido) y datos Restringidos (MFA con token de hardware o FIDO2).

Los tokens de sesión deberán ser criptográficamente aleatorios, transmitidos solo a través de conexiones cifradas e invalidados al cerrar sesión.

Los tiempos de espera de sesión deberán aplicarse: las sesiones inactivas expiran después de [PERSONALIZAR: 15/30/60] minutos, tiempo de espera absoluto de sesión después de [PERSONALIZAR: 8/12] horas.

El bloqueo de cuenta deberá activarse después de [PERSONALIZAR: 5/10] intentos fallidos de autenticación dentro de [PERSONALIZAR: 15/30] minutos.

Todas las APIs deberán requerir autenticación y autorización para cada solicitud.

Se deberá implementar limitación de velocidad de APIs para prevenir el abuso, con límites definidos basados en los patrones de uso esperados.

La entrada de las APIs deberá validarse y la salida deberá codificarse para prevenir inyecciones y exposición de datos.

La documentación de las APIs no deberá exponerse públicamente para APIs internas.