51. pants

Portālu un privātpersonu parakstu vākšanas tiešsaistes sistēmai jābūt aizsargātai pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un jāatbilst vismaz šādām prasībām:

51.1. nodrošināta aizsardzība pret injekcijas kļūdām (piemēram, SQL injekcija, XML valodas Xpath injekcija, operētājsistēmas komandu injekcija):

51.1.1. veicot visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus;

51.1.2. veicot ievaddatu pārbaudi vismaz servera pusē (lietojumā, kas darbojas uz servera);

51.1.3. ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, SQL teikumi, ievaddatu nodalīšana no komandas vai vaicājuma;

51.2. nodrošināta aizsardzība pret starpvietņu skriptēšanas kļūdām (XSS):

51.2.1. veicot visu uz pārlūkprogrammu nosūtīto datu pārbaudi;

51.2.2. pienācīgi kodējot visus pārlūkprogrammā parādāmos datus;

51.3. nodrošināta stipra autentificēšanās un sesiju pārvaldība:

51.3.1. nepieļaujot iespēju akreditācijas datus uzminēt vai pārrakstīt vāju lietotāja konta pārvaldības funkciju dēļ;

51.3.2. nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu URL;

51.3.3. aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem;

51.3.4. garantējot sesiju noilguma funkcionalitāti;

51.3.5. akreditācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS);

51.3.6. paroļu veidošanai izmantojot stipru loģisko politiku, ja administratora saskarnei netiek izmantota divu faktoru autentifikācija;

51.4. piekļuve resursiem ar tiešo atsauci tiek nodrošināta tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas;

51.5. nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanas kļūdu (XSRF);

51.6. nodrošināta šāda pienācīgas sistēmas drošības konfigurēšana:

51.6.1. visas izmantojamās programmatūras komponentes ir aktuālas, tai skaitā operētājsistēmas, tīmekļa vai lietotnes serveris, datubāzes pārvaldības sistēma, lietotnes un visas kodu bibliotēkas;

51.6.2. ir atspējoti vai nav instalēti nevajadzīgas operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi;

51.6.3. ir izveidota kļūdu apstrāde, lai novērstu pārlieku daudz informācijas saturošu ziņojumu noplūdi;

51.6.4. drošības iestādījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi, piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām;

51.7. nodrošina šādu šifrēšanu:

51.7.1. šifrē personas datus, kas tiek saglabāti elektroniskā formātā, izņemot gadījumu, ja parakstu vākšanu nodrošina ar paaugstinātas drošības sistēmu, kuras pārzinis ir valsts institūcija;

51.7.2. šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), pārsūtot personas datus elektroniski;

51.7.3. lieto stiprus šifrēšanas algoritmus un stipras atslēgas;

51.7.4. jābūt šifrēšanas atslēgu pārvaldības procedūrai;

51.7.5. saglabājot paroles datubāzē, tās jauc ar stipru standarta jaucējsummas algoritmu un pievieno pienācīgu kriptogrāfisko jaucējvērtību "salt";

51.7.6. visas paroles un šifrēšanas atslēgas pienācīgi aizsargā;

51.8. saitēm (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot;

51.9. tiek izmantota pietiekama transporta slāņa aizsardzība (Transport Layer Protection):

51.9.1. sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kuru termiņš nav beidzies, tie nav atsaukti un ir atbilstoši domēnam, kurā tos izmanto;

51.9.2. izmanto tikai tādus šifrēšanas algoritmus, kas atbilst labai praksei;

51.10. nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu.

56

(Grozīts ar MK 27.08.2024. noteikumiem Nr. 574)