Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PDV-SAIT-L-016
Revisin
Pginas
14
Revisado
Aprobado
Lder de Gestin
Preventiva de
Seguridad AIT
Gerente
Corporativo de
Seguridad AIT
CLASIFICACIN
CONFIDENCIAL
Rev.
Fecha
11/06/09
Breve
descripcin del
Cambio
Emisin
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Pg.
Todas
Responsable de la Responsable de
Revisin
la Aprobacin
Lder de Gestin
Preventiva de
Seguridad
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
Gerente
Corporativo de
Seguridad AIT
PGINA
2/14
CLASIFICACIN
CONFIDENCIAL
1. OBJETIVO
Establecer los Lineamientos de Seguridad en Tecnologa de Informacin para las
Aplicaciones Web a implantarse en la Plataforma Tecnolgica de la Corporacin, a fin
de garantizar la integridad, confidencialidad y disponibilidad de los Activos de
Informacin.
2. ALCANCE
El presente documento establece los requerimientos mnimos de seguridad
relacionados con las Aplicaciones Web, en cuanto al diseo, desarrollo, implantacin,
mantenimiento y uso de las mismas en la Plataforma Tecnolgica de la Corporacin,
sus Regiones, Empresas y Filiales.
El cumplimiento del presente lineamiento de seguridad regula tanto los desarrollos de
Aplicaciones Web efectuados por la Gerencia Responsable de la Plataforma
Tecnolgica, as como por Terceros contratados para tal fin.
3. RESPONSABLES
El Gerente Responsable de la Seguridad de la Plataforma Tecnolgica aprueba este
Lineamiento.
Los Lderes y Gerentes de la Gerencia Responsable de la Seguridad de la Plataforma
Tecnolgica de las Regiones, Empresas o Filiales debern velar por el cumplimiento de
este Lineamiento, as como efectuar una constante revisin del mismo de conformidad
a las necesidades prioridades del negocio.
El personal adscrito a la Gerencia Responsable de la Plataforma Tecnolgica y la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica son los
responsables de dar cumplimiento a lo establecido en este Lineamiento.
4. DISPOSICIONES GENERALES
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
3/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
4/14
CLASIFICACIN
CONFIDENCIAL
10. Las Contraseas utilizadas para administrar y/o operar las Aplicaciones Web
sern clasificadas como confidencial, de conformidad con las normas y
procedimientos establecidos para tal fin.
11. La Gerencia Responsable de la Plataforma Tecnolgica en conjunto con la
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la
Corporacin, deber velar por la existencia de la documentacin detallada y
cumplimiento de los procedimientos de respaldo, almacenamiento y recuperacin,
control de cambio, mantenimiento preventivo y correctivo, entre otros, de las
Aplicaciones Web, de conformidad con las polticas y normas establecidas para tal
fin.
12. La Gerencia Responsable de la Plataforma Tecnolgica deber asegurar que toda
instalacin, sustitucin o mantenimiento de las Aplicaciones Web, cumpla con el
proceso formal de Control de Cambios, de conformidad con las normas y
procedimientos establecidos para tal fin.
13. Todo nuevo requerimiento a realizar a una Aplicacin Web que se encuentra en
produccin, que represente un cambio mayor en la funcionalidad de la misma,
deber contar con su respectiva consultora y diagnstico de seguridad de
conformidad a lo establecido por la Gerencia Responsable de la Seguridad de la
Plataforma Tecnolgica de la Corporacin, previo a su puesta en produccin.
5. ASPECTOS TECNICOS A CONSIDERAR.
5.1.
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
5/14
CLASIFICACIN
CONFIDENCIAL
Servidores
WEB
Servidores de
Base de Datos
Usuario
Servidores de
Aplicaciones
Servidor de
Autenticacin
y Autirizacin
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
6/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
7/14
CLASIFICACIN
CONFIDENCIAL
ocurrido (disear una pgina estndar para cualquier tipo de error; sin
especificar el tipo de error).
5.1.7. No debe estar descrito en el cdigo de la Aplicacin Web (capa de lgica de
directorios a travs de la manipulacin del URL del servidor Web, para ello
se deben colocar pginas de inicio personalizadas en cada directorio y
adicionalmente se debe configurar que si un usuario desea acceder a
pginas directamente por el URL, se le redirija a la pgina principal de
autenticacin.
5.1.11. Se debe evitar que la Aplicacin Web sea vulnerable a ataques de
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
8/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
9/14
CLASIFICACIN
CONFIDENCIAL
d) Los meta caracteres como los smbolos (<) y (>) deben sustituirse por
las entidades HTML vlidas (< y >). Con esto se puede evitar que
la entrada del usuario se ejecute y alcance un ataque XSS exitoso.
e) Se debe validar la entrada con respecto a la longitud de caracteres a
ser procesados.
En caso de que se requiera la utilizacin de algunos de los caracteres
citados anteriormente, se debe realizar la transformacin del carcter a
texto para que no sean interpretados y ejecutados como comandos sino
que sean vistos como texto (SANITIZACIN).
5.1.15. La Aplicacin Web debe ser administrada desde la Intranet de PDVSA, y
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
10/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
11/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
12/14
CLASIFICACIN
CONFIDENCIAL
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
13/14
CLASIFICACIN
CONFIDENCIAL
6. DOCUMENTOS DE REFERENCIA
7. GLOSARIO:
Ver documento N PDV-SAIT-L-000
Revisado por:
Doris Rojas
Lder de Gestin Preventiva de Seguridad
11/06/2009
Aprobado por:
Doris Rojas
Gerente Corporativo de Seguridad AIT
11/06/2009
PGINA
14/14