65. pants

Elektroniskai pieteikumu un piedāvājumu iesniegšanai un saņemšanai izmantojamā informācijas sistēma ir aizsargāta pret ievainojumiem un ļaunprātīgu izmantošanu saskaņā ar labo praksi un atbilst vismaz šādām prasībām:

65.1. tiek nodrošināta aizsardzība pret ļaunprātīgu datu ievadi (piemēram, standartizētās vaicājuma valodas ievadīšana (SQL injection), paplašināmās iezīmēšanas valodas noteiktas sintakses ievadīšana (XML Xpath injection), operētājsistēmas komandu ievadīšana), veicot:

65.1.1. visu no ārpuses saņemto datu pārbaudi, tai skaitā pārbaudot fiziskās personas ievadītos datus;

65.1.2. ievaddatu pārbaudi vismaz servera pusē (lietotnē, kas darbojas uz servera);

65.1.3. ievaddatu nodalīšanu no komandas vai vaicājuma, ja tiek izmantoti jebkādi interpretējami pieprasījumi, piemēram, standartizētās vaicājuma valodas (SQL) teikumi;

65.2. tiek nodrošināta aizsardzība pret starpvietņu šifrēšanas kļūdām (XSS):

65.2.1. pārbaudot visus uz pārlūkprogrammu nosūtītos datus;

65.2.2. pienācīgi šifrējot visus pārlūkprogrammā parādāmos datus;

65.3. tiek nodrošināta droša identificēšanās un sesiju pārvaldība:

65.3.1. nepieļaujot iespēju identifikācijas datus uzminēt vai pārrakstīt nepietiekamu lietotāja konta pārvaldības funkciju dēļ;

65.3.2. nepieļaujot jebkādu sesijas datu, tai skaitā identifikatoru, atklāšanu vienotajā resursu vietrādī (URL);

65.3.3. aizsargājot sesijas identifikatorus pret sesijas fiksācijas uzbrukumiem;

65.3.4. nodrošinot sesiju noilguma funkcionalitāti;

65.3.5. identifikācijas datu un sesiju informācijas nosūtīšanai izmantojot tikai transporta slāņa drošību (TLS);

65.3.6. veidojot paroles no vismaz deviņiem simboliem, vienlaikus parolē izmantojot vismaz vienu latīņu alfabēta lielo burtu, latīņu alfabēta mazo burtu, ciparu un speciālo simbolu.

65.4. piekļuve resursiem ar tiešo atsauci tiek īstenota tā, lai pārbaude par tiesībām piekļūt resursam tiek veikta pirms informācijas nosūtīšanas;

65.5. tiek nodrošināta aizsardzība pret starpvietņu pieprasījumu viltošanu (XSRF);

65.6. tiek ievēroti šādi sistēmas programmatūras drošības nosacījumi:

65.6.1. visiem programmatūras komponentiem (tai skaitā operētājsistēmai, tīmekļa vai lietotnes serverim, datubāzu pārvaldības sistēmai, lietotnēm un visām kodu bibliotēkām) tiek izmantotas pēdējās produkcijas videi paredzētās versijas;

65.6.2. nav uzstādīti vai ir atspējoti nevajadzīgi operētājsistēmas, tīmekļa vai lietotnes servera un datubāzes pārvaldības sistēmas pakalpojumi;

65.6.3. kļūdu apstrāde publiskos kļūdu paziņojumos nepieļauj neizpaužamu ziņu attēlošanu;

65.6.4. drošības iestatījumi izstrādes ietvaros un bibliotēkās ir konfigurēti saskaņā ar labo praksi (piemēram, atvērtā tīmekļa lietotņu drošības projekta vadlīnijām);

65.7. tiek īstenotas šādas datu šifrēšanas prasības:

65.7.1. personas identifikācijas dati tiek šifrēti un saglabāti elektroniskā formātā;

65.7.2. šifrē vai izmanto pienācīgu transporta slāņa aizsardzību (Transport Layer Protection), tai skaitā sistēmas piekļuvei izmanto aktuāla hiperteksta drošas pārsūtīšanas protokola (HTTPS) versiju, izmantojot spēkā esošus sertifikātus, kas ir piesaistīti sistēmas domēnam;

65.7.3. tiek izmantoti tehnoloģiski aktuāli šifrēšanas algoritmi un šifrēšanas atslēgas, kas ir drošas pret neatļautu atšifrēšanu, ja tā veikta, izmantojot publiski pieejamas iekārtas;

65.7.4. saglabājot paroles datubāzē, tās jauc ar standarta jaucējsummas algoritmu, kas ir drošs pret neatļautu atkodēšanu, ja tā veikta, izmantojot publiski pieejamas iekārtas;

65.7.5. visas paroles un šifrēšanas atslēgas tiek pienācīgi aizsargātas;

65.8. katrai jaunai sistēmas globālā tīmekļa adresei (URL) ir nodrošināta piekļuves kontrole, kas pārbauda tiesības piekļūt resursam, to atverot;

65.9. nodrošināta aizsardzība pret neatļautu novirzīšanu vai pārvirzīšanu no sistēmas.

66

(Grozīts ar MK 28.05.2024. noteikumiem Nr. 319)