Serial No.

PDV-SAIT-L-016
Revisin

Pginas

14

Revisado

Aprobado

Lder de Gestin
Preventiva de
Seguridad AIT

Gerente
Corporativo de
Seguridad AIT

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

REGISTRO DE REVISIONES EFECTUADAS A ESTE DOCUMENTO

Rev.

Fecha

11/06/09

Breve
descripcin del
Cambio
Emisin

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Pg.

Todas

Responsable de la Responsable de
Revisin
la Aprobacin
Lder de Gestin
Preventiva de
Seguridad

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

Gerente
Corporativo de
Seguridad AIT

PGINA

2/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

1. OBJETIVO
Establecer los Lineamientos de Seguridad en Tecnologa de Informacin para las
Aplicaciones Web a implantarse en la Plataforma Tecnolgica de la Corporacin, a fin
de garantizar la integridad, confidencialidad y disponibilidad de los Activos de
Informacin.
2. ALCANCE
El presente documento establece los requerimientos mnimos de seguridad
relacionados con las Aplicaciones Web, en cuanto al diseo, desarrollo, implantacin,
mantenimiento y uso de las mismas en la Plataforma Tecnolgica de la Corporacin,
sus Regiones, Empresas y Filiales.
El cumplimiento del presente lineamiento de seguridad regula tanto los desarrollos de
Aplicaciones Web efectuados por la Gerencia Responsable de la Plataforma
Tecnolgica, as como por Terceros contratados para tal fin.
3. RESPONSABLES
El Gerente Responsable de la Seguridad de la Plataforma Tecnolgica aprueba este
Lineamiento.
Los Lderes y Gerentes de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de las Regiones, Empresas o Filiales debern velar por el cumplimiento de
este Lineamiento, as como efectuar una constante revisin del mismo de conformidad
a las necesidades prioridades del negocio.
El personal adscrito a la Gerencia Responsable de la Plataforma Tecnolgica y la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica son los
responsables de dar cumplimiento a lo establecido en este Lineamiento.
4. DISPOSICIONES GENERALES

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

3/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

4. Toda Aplicacin Web, deber contar con su respectiva Consultora de Seguridad

por parte de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin, una vez se encuentre visualizada y diseada la
arquitectura de la solucin a desarrollar, con el fin de incluir los aspectos de
seguridad particulares al caso.
5. Toda Aplicacin Web, deber contar con su respectivo Diagnstico de Seguridad
por parte de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de la Corporacin, una vez se encuentre desarrollada la Aplicacin
Web, previo al pase a produccin as como posterior a la puesta en produccin de
la misma, a fin de determinar cualquier vulnerabilidad de seguridad que deba ser
solventada, as como dar cumplimiento a los aspectos de seguridad indicados en
el respectivo proceso de Consultora de Seguridad, conforme a los procedimientos
establecidos para tal fin.
6. La Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin, se reserva el derecho de efectuar diagnsticos de seguridad en las
Aplicaciones Web, cuando consideren necesarios, de conformidad al
procedimiento establecido para tal fin.
7. Debe existir una Planificacin de Continuidad, a fin de mantener la operatividad de
las Aplicaciones Web, el cual debe contener los procedimientos a ejecutar en caso
de una contingencia o evento que pudiera afectar la continuidad operativa de esta
plataforma. El mismo deber ser elaborado por el personal Custodio y entregado
oportunamente a la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica para revisar, evaluar y efectuar pruebas planificadas de conformidad
a los procedimientos establecidos para tal fin.
8. El Gerente Propietario deber establecer el nivel de clasificacin de la informacin
que maneja la Aplicacin Web, de conformidad con las normas y procedimientos
establecidos para tal fin.
9. El personal Custodio deber mantener el registro actualizado y vigente, en los
sistemas establecidos por la Gerencia Responsable de la Plataforma Tecnolgica,
del inventario de las Aplicaciones Web en uso y las desincorporadas. Asimismo,
deber mantener toda la documentacin como cdigo fuente, plan de
contingencia, manuales, entre otros.

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

4/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

10. Las Contraseas utilizadas para administrar y/o operar las Aplicaciones Web
sern clasificadas como confidencial, de conformidad con las normas y
procedimientos establecidos para tal fin.
11. La Gerencia Responsable de la Plataforma Tecnolgica en conjunto con la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin, deber velar por la existencia de la documentacin detallada y
cumplimiento de los procedimientos de respaldo, almacenamiento y recuperacin,
control de cambio, mantenimiento preventivo y correctivo, entre otros, de las
Aplicaciones Web, de conformidad con las polticas y normas establecidas para tal
fin.
12. La Gerencia Responsable de la Plataforma Tecnolgica deber asegurar que toda
instalacin, sustitucin o mantenimiento de las Aplicaciones Web, cumpla con el
proceso formal de Control de Cambios, de conformidad con las normas y
procedimientos establecidos para tal fin.
13. Todo nuevo requerimiento a realizar a una Aplicacin Web que se encuentra en
produccin, que represente un cambio mayor en la funcionalidad de la misma,
deber contar con su respectiva consultora y diagnstico de seguridad de
conformidad a lo establecido por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin, previo a su puesta en produccin.
5. ASPECTOS TECNICOS A CONSIDERAR.
5.1.

Aspectos generales en cuanto a las Aplicaciones Web:

5.1.1. Deben implantar en las soluciones de Tecnologa de Informacin (TI),

Aplicaciones Web que cumplan con el Decreto 3390.

5.1.2. Las Aplicaciones Web deben estar diseadas e implementadas en una

arquitectura de al menos tres capas (Presentacin, Lgica de Negocio y

Datos) separadas tanto fsica como lgicamente, a fin de disminuir los
riesgos ante eventuales ataques de seguridad. Adicionalmente, se debe
evitar la utilizacin de servidores intermediarios, tales como: mod_proxy,
entre otros. La Arquitectura de Seguridad para las Aplicaciones Web se
muestra en la siguiente figura:

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

5/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

Arquitectura de Seguridad Para Aplicaciones Web con

Autenticacin Centralizada

Servidores
WEB

Servidores de
Base de Datos

Usuario

Servidores de
Aplicaciones

Servidor de
Autenticacin
y Autirizacin

Figura 1. Arquitectura de Seguridad para Aplicaciones Web.

5.1.3. La transmisin de informacin confidencial y estrictamente confidencial

debe hacerse con la utilizacin de un canal seguro, pudindose emplear el

protocolo SSL para obtener HTTPS y cifrar el canal. Luego de haberse
realizado la transferencia del dato confidencial y/o estrictamente
confidencial puede proceder a utilizar el protocolo HTTP.
5.1.4. Debe existir un canal seguro de comunicacin entre la Aplicacin y la Base

de Datos, para lo cual ser necesario establecer mecanismos de cifrado

en la conexin entre el servidor de aplicacin y la base de datos.
5.1.5. La Aplicacin Web debe contar con los registros necesarios (Logs), el cual

permita la auditora de dicha aplicacin. Los registros de la Aplicacin

Web deben permitir reconstruir en un momento determinado la sesin de
un usuario (traza) y las acciones realizadas en la misma.

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

6/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

Entre los datos que se deben registrar se tienen:

a) Usuario conectado y rol o privilegio asignado.
b) Direccin IP origen.
c) Nombre del Equipo.
d) Hora de inicio y fin de la conexin.
e) Duracin de la conexin
f) Puertos utilizados.
g) Mdulo del sistema al que se est accediendo.
h) Acciones que realiza el usuario (Inclusin, Modificacin o
Eliminacin) especificado el campo u objeto afectado.
i) Cambios a nivel de privilegios.
j) Errores y fallas que ocurren durante la ejecucin de la aplicacin,
entre otros.
Para los archivos de registros (Logs), se debe tomar en cuenta lo
siguiente:
A. Otorgar permiso de escritura nicamente al usuario que inicia la
aplicacin.
B. Almacenar los archivos de registros en una particin del disco
duro distinta a la utilizada por las aplicaciones instaladas, esto
con la finalidad de evitar el crecimiento excesivo de esos
archivos e impedir el colapso de la aplicacin.
C. Para los registros a nivel de tablas en la base de datos
configurar permisologa estricta para evitar su modificacin.
D. Configurar el tamao mximo de los archivos de registros y las
polticas de mantenimiento y respaldo de los mismos en base a
la criticidad del sistema.
Adicionalmente, se debe desarrollar las pantallas para la visualizacin de
los registros a nivel de la Aplicacin Web, teniendo nicamente acceso el
rol de auditoria con permiso de slo lectura sobre los registros. Se debe
proveer en esta funcin de visualizacin de Registors, la posibilidad de
filtrar y hacer bsquedas por diversos campos principales.
5.1.6. Se debe evitar arrojar mensajes de advertencia y errores de la aplicacin

Web en el navegador de Internet, que indiquen al usuario informacin de

la plataforma sobre la cual corre la Aplicacin Web o la Base de Datos. En
estos casos se debe presentar al usuario un mensaje general sobre lo

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

7/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

ocurrido (disear una pgina estndar para cualquier tipo de error; sin
especificar el tipo de error).
5.1.7. No debe estar descrito en el cdigo de la Aplicacin Web (capa de lgica de

negocio), los parmetros de conexin al Servidor de Base de Datos:

Nombre del Servidor/Direccin IP, cuenta de usuario (nombre de usuario y
contrasea). Estos parmetros deben estar almacenados en un archivo, el
cual debe estar restringido y reubicado fuera del rbol de documentos de
la aplicacin. El archivo debe contar con acceso nicamente (slo lectura)
por parte del proceso en que se ejecuta el servidor de aplicacin.
5.1.8. Se debe establecer y configurar que slo aparezca en el URL, la direccin

de la Aplicacin Web sin especificar los directorios y nombre de pginas

internas en el rbol de la aplicacin.
5.1.9. Evitar el ingreso a cualquier pgina de la Aplicacin Web, a travs de la

manipulacin del URL o enlace ubicado en Favoritos, sin haber realizado

el proceso de autenticacin. Adicionalmente, se debe evitar que a travs
de la navegacin empleando los botones de adelante y de regresar del
navegador de Internet, un usuario pueda regresar a la aplicacin e
ingresar sin autenticarse, debindose aplicar un control adecuado del
cierre de sesin.
5.1.10. Se debe evitar que los usuarios puedan listar el contenido de los

directorios a travs de la manipulacin del URL del servidor Web, para ello
se deben colocar pginas de inicio personalizadas en cada directorio y
adicionalmente se debe configurar que si un usuario desea acceder a
pginas directamente por el URL, se le redirija a la pgina principal de
autenticacin.
5.1.11. Se debe evitar que la Aplicacin Web sea vulnerable a ataques de

Directorio Transversal a travs de la manipulacin del URL y las variables

que viajan va GET o POST. Este ataque Web, permite a un atacante
acceder y consultar archivos que se encuentran fuera del directorio raz de
la aplicacin y en algunos casos hasta ejecutar comandos a travs de la
manipulacin del URL, accediendo a informacin confidencial y/o
estrictamente confidencial y pudiendo comprometer el servidor donde
reside la aplicacin. Para evitar esto se debe:

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

8/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

a) Realizar una adecuada validacin de los datos y parmetros que se

envan desde el cliente a las funciones scripts.

b) Restringir el uso de caracteres especiales y de esta manera filtrar las
variables que controlan la Aplicacin Web.
c) Restringir en mayor grado la permisologa a los archivos y directorios
confidencial y/o estrictamente confidencial en el servidor.
d) Restringir y reubicar fuera del rbol de documentos de la aplicacin, los
archivos con informacin confidencial y/o estrictamente confidencial
empleados por dicha aplicacin, para evitar ser consultado por
usuarios no autorizados que logren ganar acceso al directorio.
5.1.12. A fin de evitar el ataque de desbordamiento de memoria (Buffer Overflow)

a travs de la manipulacin del URL, se debe validar el tamao y

composicin del string del URL de la aplicacin, configurando en el
servidor Web los parmetros de proteccin contra acciones de
desbordamiento de memoria o ejecucin de cdigo arbitrario.
5.1.13. La Aplicacin Web debe generar mensajes de informacin generales

cuando los usuarios introducen su nombre de usuario y/o contrasea de

forma incorrecta. No se debe detallar cual es el campo errado (Ejemplo:
no debe decir: Usuario no existe o Contrasea incorrecta).
5.1.14. A fin de evitar ataques tales de tipo inyeccin de cdigo SQL (SQL

Injection), inyeccin de cdigo script para acceder a datos confidenciales

o tomar control (Cross-site scripting XSS), se debe filtrar cada una de las
entradas de datos en la Aplicacin Web (Formularios, valores de variables
GET, POST, Cookie, URL, entre otros), tanto del lado del cliente y
obligatoriamente del lado del servidor. Adicionalmente, para garantizar la
integridad de los datos introducidos, se deben validar igualmente los tipos
de datos introducidos en los formularios. Es necesario no permitir los
siguientes tipos de caracteres de riesgo para el gestor de datos:
a) Delimitador de consultas: Punto y coma (;).
b) Delimitador de datos de tipo cadena de caracteres: Comilla sencilla (').
c) Delimitadores de cometario: Guin doble (--) y "/*..*/" y cualquier dato
que se deba ingresar a la base de datos, proveniente del usuario que
deba ser mostrada, sea validada de tal manera que, sin importar que
tan maligno sea el texto escrito por un usuario en un formulario, nunca
llegue a ejecutarse en el navegador, evitando comprometer la
integridad de la base de datos.

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

9/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

d) Los meta caracteres como los smbolos (<) y (>) deben sustituirse por

las entidades HTML vlidas (&lt; y &gt;). Con esto se puede evitar que
la entrada del usuario se ejecute y alcance un ataque XSS exitoso.
e) Se debe validar la entrada con respecto a la longitud de caracteres a
ser procesados.
En caso de que se requiera la utilizacin de algunos de los caracteres
citados anteriormente, se debe realizar la transformacin del carcter a
texto para que no sean interpretados y ejecutados como comandos sino
que sean vistos como texto (SANITIZACIN).
5.1.15. La Aplicacin Web debe ser administrada desde la Intranet de PDVSA, y

cada una de las operaciones que realice el administrador de la aplicacin

debe ser registrada. Los administradores de la aplicacin no deben
acceder e interactuar directamente con la base de datos.
5.1.16. La Aplicacin debe solicitar al usuario cada vez que elimine algn dato, la
confirmacin de dicha accin.
5.1.17. Se deben rotular los documentos generados a travs de la Aplicacin

Web. Todo Activo de Informacin de la Corporacin deber ser rotulado de

manera que todos los usuarios puedan tener conocimiento acerca de la
propiedad, clasificacin y valor de dicha informacin. Adicionalmente, al
imprimir reportes debe indicar en el papel: el usuario que imprime dicho
reporte as como la fecha y hora de impresin.
5.1.18. La interfaz de la aplicacin debe cumplir con los lineamientos y estndares
de imagen y estilo emanada por Asuntos Pblicos.
5.1.19. Se deben llevar a cabo las pruebas de calidad y funcionalidad a la

aplicacin antes de la evaluacin de seguridad de la misma.

5.1.20. Se deben llevar a cabo las pruebas de estrs a la aplicacin antes de su
puesta en produccin.
5.1.21. Se debe resguardar el cdigo fuente de la Aplicacin Web, ante cualquier

contingencia segn lo establecido en las Polticas de Seguridad de

Informacin. Este cdigo debe ser clasificado y rotulado para
almacenarse, y el acceso al mismo debe ser debidamente autorizado, as

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

10/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

como activar los log de auditoria de la carpeta o Base de datos donde se

encuentren los cdigos fuentes.
5.1.22. Deben existir manuales de usuario y de administracin de la aplicacin,

los cuales deben estar completamente documentados con todas las

funcionalidades de la aplicacin (incluyendo los roles, usuarios y
segregacin de funciones). Deben almacenarse dicha informacin en los
sistemas establecidos por la Gerencia Responsable de la Plataforma
Tecnolgica (Inventario de las Aplicaciones Web).
5.2.

En cuanto a las Aplicaciones Web en la Intranet:

5.2.1. La aplicacin deber estar implantada en los servidores de Intranet de la

Plataforma Tecnolgica de la Corporacin.

5.2.2. Tanto la autenticacin y autorizacin de los usuarios de la Aplicacin Web,

debe ser registrada y manejada a travs del Directorio Activo de PDVSA.

5.3.

En cuanto a las Aplicaciones Web en la Extranet:

5.3.1. La aplicacin deber estar implantada en los servidores de Extranet de la

Plataforma Tecnolgica de la Corporacin.

5.3.2. Tanto la autenticacin y autorizacin de los usuarios de la Aplicacin Web

debe ser registrada y manejada a travs de un LDAP o un Directorio de

usuarios independiente de la Base de Datos de la Aplicacin.
5.3.3. Es necesario la implementacin del campo de desafo llamado CAPTCHA

(Computers and Humans Apart / Prueba automtica para Diferenciar a

Mquinas y Humanos) el cual constituye una prueba desafo-respuesta
utilizada para determinar cundo el usuario es o no humano.
5.4.

En cuanto a la Administracin de Accesos de Usuarios:

5.4.1. Se debe limitar a uno (1) el nmero de sesiones simultneas de un usuario

a la aplicacin, minimizando as los riesgos de accesos no autorizados.
5.4.2. No deben hacer uso de cuentas pool. Adicionalmente, no debe permitirse el
uso de una misma cuenta y contrasea por un grupo de personas, para

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

11/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

administrar y utilizar la aplicacin. Adicionalmente, los usuarios de las

aplicaciones deben contar con su propia cuenta de red y contrasea. La
cuenta de usuario es intransferible.
5.4.3. Las cuentas de usuarios predefinidas o creadas por pruebas en la

aplicacin, deben ser eliminadas, deshabilitadas o cambiadas sus

contraseas inmediatamente ante de su puesta en produccin.
5.4.4. Deben establecer un correcto uso de roles y segregacin de funciones de
los usuarios, es decir, los usuarios a interactuar con la aplicacin, deben
poseer una cuenta de usuario con los privilegios necesarios segn su
funcin.
5.4.5. Se debe definir el procedimiento y establecer la lnea de aprobacin para
otorgar el acceso y privilegio del usuario en la aplicacin, a fin de llevar el
control de la misma.
5.4.6. La autenticacin de los usuarios as como los roles (Autorizacin) que los

mismos desempean en la aplicacin, se deben manejar en el sistema

establecido (Directorio Activo LDAP) de la Plataforma Tecnolgica de la
Corporacin.
5.4.7. La jerarqua de roles de la aplicacin debe estar estructurado en el sistema

establecido (Directorio Activo LDAP) de la Plataforma Tecnolgica de la

Corporacin.
5.4.8. El Gerente Propietario de la aplicacin es el responsable de autorizar a los
usuarios para el uso de la aplicacin.
5.4.9. Los usuarios de la aplicacin deben estar registrados en el sistema

establecido (Directorio Activo LDAP) de la Plataforma Tecnolgica de la

Corporacin con los permisos necesarios segn su funcin en la
aplicacin.
5.4.10. Se deben deshabilitar los accesos a la aplicacin cuando un empleado

cese sus labores o se transfiera a otras funciones no relacionadas con la

aplicacin. En el caso de las Aplicaciones Web en la Extranet, es
necesario que las cuentas de los usuarios sea deshabilitada en el LDAP,
una vez que el usuario externo cese sus relaciones con PDVSA.

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

12/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

5.4.11.La aplicacin debe mostrar en forma dinmica los mens y funcionalidades

de la misma, de acuerdo a las autorizaciones establecidas.
5.5.

En cuanto a la Base de Datos de una Aplicacin Web:

5.5.1. La Base de Datos de la Aplicacin Web no debe contener datos de

autenticacin de los usuarios. En caso de las aplicaciones crticas se

recomienda ms de un factor de autenticacin, donde el primer factor de
autenticacin es contra el sistema establecido (Directorio Activo LDAP)
de la Plataforma Tecnolgica de la Corporacin.
5.5.2. Debe existir un mdulo de Administracin en la Aplicacin, a fin de que los
administradores de la aplicacin no accedan e interacten directamente
con la base de datos para labores administrativas de la aplicacin.
5.5.3. En base a los distintos perfiles de usuario de la aplicacin, se debe definir y
establecer diferentes cuentas de usuarios de la base de datos, con los
privilegios estrictamente necesarios a nivel de base de datos, tablas y
columnas, a fin de ser usado por la aplicacin para establecer la conexin
con la base de datos as como para el manejo de los datos.
5.5.4. La informacin clasificada confidencial o estrictamente confidencial por el

dueo de la informacin debe estar almacenada de forma segura en la

base de datos, aplicando mecanismos de encriptacin. En caso de que el
Sistema Manejador de Base de Datos no provea los mecanismos de
encriptacin de datos, entonces ste debe ser provisto por la aplicacin.
5.5.5. En los casos en que se requiera replicas de Base de Datos (o parte de
ellas) desde la Intranet hacia la Extranet, su actualizacin debe iniciarse
por medio de tareas programadas que se ejecuten inicialmente en la
Intranet de la Corporacin.
5.6.

En cuanto a los Servidores involucrados en la Aplicacin Web:

Ver informacin en los documentos de Lineamiento de Seguridad de
Servidores.

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

13/14

Automatizacin, Informtica y Telecomunicaciones

Gerencia de Seguridad AIT
SERIAL N PDV-SAIT-L-016
EMISIN
11/06/09
REVISIN
N/A

CLASIFICACIN

LINEAMIENTO DE SEGURIDAD PARA

APLICACIONES WEB

CONFIDENCIAL

6. DOCUMENTOS DE REFERENCIA

Polticas de Seguridad de Informacin de la Corporacin.

Norma PAI.
Norma ISO/IEC 17799/BS7799.
Procedimientos de Control de Acceso Lgico
Procedimiento de Consultora de Seguridad
Procedimiento de Diseo de Estrategias Educativas
Procedimiento para Controles de Cambios
Procedimiento de Evaluaciones de Seguridad
Procedimiento de Anlisis de Riesgos Lgicos
Procedimiento de Prueba de Penetracin.

7. GLOSARIO:
Ver documento N PDV-SAIT-L-000

Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009

Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009

PGINA

14/14