Professional Documents
Culture Documents
Pre-Vendor Selection Checklist
Pre-Vendor Selection Checklist
Đối tác có Chứng nhận bảo mật thông tin như SOC 2 Type II , ISO 27001, CSA STAR, CREST, hoặc
chứng chỉ nào khác hay không?
Đối tác có bộ phận chuyên trách về bảo mật thông tin không?
Nhân viên Bộ phận An ninh Công nghệ Thông tin của đối tác có chứng nhận/bằng cấp về bảo mật
như CISSP, CISM,.. không?
Đối tác có nâng cao nhân thức về an ninh mạng của tất cả người dùng thường xuyên không?
Trong 12 tháng qua, đối tác có thực hiện kiểm thử xâm nhập hệ thống (Pen Test) cho các hệ thống có
xử lý hoặc lưu trữ thông tin của FWD không?
Đối tác đã thiết lập và kiểm tra thực tế đối với kế hoạch Ứng phó sự cố CNTT và sự cố an ninh mạng
hay không?
Đối tác có thiết lập quy trình và triển khai các công nghệ để bảo vệ hệ thống mạng không?
Đối tác có sử dụng giải pháp bảo vệ thiết bị đầu cuối nào không?
Đối tác có sử dụng giải pháp chống thất thoát dữ liệu nào không?
Đối tác có gặp các sự cố liên quan đến bảo mật như rò rỉ thông tin, tấn công từ chối dịch vụ (DDos)
trong 3 năm vừa qua không?
Đối tác có thể thông báo đến FWD trong vòng 72h khi có sự cố bảo mật liên quan đến dữ liệu của
FWD không?
Trong trường hợp có yêu cầu, đối tác có thể hỗ trợ FWD được thực hiện rà soát onsite đối với việc
bảo vệ thông tin của FWD không?
Respond (Y/N)
Security Checklist for Web Application Design
Task
Authentication & authorization
Do not hardcode credentials
Data Protection
Use HTTPS everywhere
Use strong TLS configurations
Store user password using a strong, iterative, salted hash
Session Management
Ensure that session identifiers are sufficiently random
Implement an idle session timeout
Implement an absolute session timeout
Destroy session at any sign of tampering
Invalidate the session after logout
Place a logout button on every page
Use secure cookie attributes
Set the cookie domain and path correctly
Use non-persistent cookies
Error Handling and Logging
Display generic error messages
No unhandled exceptions
Log all authentication and validation activities
Log all privilege changes
Log administrative activities
Log access to sensitive data
Sensitive data should never be logged in an unencrypted form.
Note Requirement met? (Y/N)
The cookie domain and path scope should be set to the most
restrictive setting.
Set the cookie expiration time