[ ] autenticidade:
Garantir que quem acessa determinada parte do sistema está autenticado e possui as devidas permissões,
disponibilidade: manter o sistema sempre online, neste quesito tem que pensar tanto no software quanto na infraestrutura onde o software irá rodar, o foco aqui é não deixar que um usuário consiga consumir muitos recursos do sistema pra evitar dar facilidade em ataques de negação de serviço e ao mesmo tempo rodar numa infraestrutura que seja escalável de modo a rodar mais instâncias pra suprir a demanda,
[ ] integridade: basicamente deixar o sistema seguro de modo a ninguém mudar nem o código nem os dados no banco, se ligar nas mensagens que o sistema mostra quando dá erro não não liberar informações privilegiadas pra um possível atacantes, e principalmente tratar todos os erros do sistema pra sair dump do erro,
e
[ ] confidencialidade:
Usar criptografia boa em tudo que for possível, principalmente HTTPS na aplicação web, e comunicação via TLS entre os módulos do sistema.
[ ] Nunca implemente seu próprio mecanismo de segurança do zero. Você falhará miseravelmente.
[ ] Procure por APIs que já implementem a segurança por você, dessa forma a responsabilidade sobre a segurança é deles e não sua.
[ ] OAuth2 é seu amigo, hein? #ficaadica
[ ] E NEVER, NEVER mesmo, armazene número de cartões de crédito
[ ] https://www.avast.com/pt-br/c-xss#:~:text=Cross%2Dsite%20scripting%20(XSS)%20%C3%A9%20um%20tipo%20de%20vulnerabilidade,malwares%20nos%20navegadores%20dos%20usu%C3%A1rios.
[ ] https://www.devmedia.com.br/como-o-jwt-funciona/40265
Requisitos básicos de segurança da informação:
[ ] autenticidade: Garantir que quem acessa determinada parte do sistema está autenticado e possui as devidas permissões, disponibilidade: manter o sistema sempre online, neste quesito tem que pensar tanto no software quanto na infraestrutura onde o software irá rodar, o foco aqui é não deixar que um usuário consiga consumir muitos recursos do sistema pra evitar dar facilidade em ataques de negação de serviço e ao mesmo tempo rodar numa infraestrutura que seja escalável de modo a rodar mais instâncias pra suprir a demanda,
[ ] integridade: basicamente deixar o sistema seguro de modo a ninguém mudar nem o código nem os dados no banco, se ligar nas mensagens que o sistema mostra quando dá erro não não liberar informações privilegiadas pra um possível atacantes, e principalmente tratar todos os erros do sistema pra sair dump do erro, e
[ ] confidencialidade: Usar criptografia boa em tudo que for possível, principalmente HTTPS na aplicação web, e comunicação via TLS entre os módulos do sistema.
[ ] Nunca implemente seu próprio mecanismo de segurança do zero. Você falhará miseravelmente.
[ ] Procure por APIs que já implementem a segurança por você, dessa forma a responsabilidade sobre a segurança é deles e não sua.
[ ] OAuth2 é seu amigo, hein? #ficaadica
[ ] E NEVER, NEVER mesmo, armazene número de cartões de crédito