Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Revisión de seguridad
Inquilino: Servientrega SA
Aplicación: Ciclo del Ingreso
Versión: Ambiente productivo
Análisis más reciente: 2021/05/25 01:18:46 PM
Último tipo de evaluación: Static Assessment
Resumen ejecutivo
Inquilino: Servientrega SA Clasificación de seguridad de
Aplicación: Ciclo del Ingreso Fortify on Demand
Versión: Ambiente productivo
Importancia para el negocio: Alto 435 problemas Estado: Fallido
Estado de SDLC: Producción
Fecha del análisis estático: 25/05/2021 Estático: Dinámico:
Estado de la asignación
Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
2
Desglose de problemas
Los problemas se dividen en función de su repercusión (daño potencial) y probabilidad (probabilidad
de identificación y aprovechamiento).
Los problemas de alta repercusión y alta probabilidad representan la máxima prioridad y constituyen
una mayor amenaza.
Los problemas de baja repercusión y baja probabilidad representan la mínima prioridad y constituyen
una menor amenaza.
Consulte el Apéndice para obtener más información.
Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
3
Desglose de problemas por OWASP Top 10 2017
Secciones 6.3, 6.5 y 6.6 de PCI
OWASP Top Ten representa un amplio consenso acerca de cuáles son los fallos de seguridad de
aplicaciones web más críticos. Los miembros del proyecto incluyen varios expertos en seguridad de
todo el mundo que han compartido sus conocimientos para elaborar la lista.
Los estándares de conformidad PCI, en concreto las secciones 6.3, 6.5 y 6.6, hacen referencia a las
categorías de vulnerabilidad de OWASP Top Ten como las categorías principales que se deben probar
y solucionar.
Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
4
Desglose de problemas por tipo de análisis
Los problemas se dividen en función de su repercusión (daño potencial) y probabilidad (probabilidad
de identificación y aprovechamiento).
Los problemas de alta repercusión y alta probabilidad representan la máxima prioridad y constituyen
una mayor amenaza.
Los problemas de baja repercusión y baja probabilidad representan la mínima prioridad y constituyen
una menor amenaza.
Consulte el Apéndice para obtener más información.
Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
5
Apéndice: Descripciones de términos clave
Clasificación de seguridad
La clasificación de evaluación de cinco estrellas de Fortify on Demand ofrece información sobre la
probabilidad y la repercusión de los defectos presentes en una aplicación. Una clasificación perfecta
del sistema serían cinco estrellas, lo que indicaría que no se han descubierto vulnerabilidades de gran
repercusión.
Clasificación
Fortify on Demand otorga una estrella a las aplicaciones que se han sometido a
una revisión de seguridad que identifica problemas críticos (alta probabilidad y
alta repercusión).
Fortify on Demand otorga dos estrellas a las aplicaciones que se han sometido a
una revisión de seguridad que no identifica ningún problema crítico (alta
probabilidad y alta repercusión). Las vulnerabilidades que son fáciles de
aprovechar y que tienen una alta repercusión técnica o empresarial no deberían
existir en software crítico para la empresa.
Fortify on Demand otorga tres estrellas a las aplicaciones que se han sometido
a una revisión de seguridad que no identifica ningún problema de gravedad alta
(baja probabilidad y alta repercusión) y que cumplen con los requisitos
necesarios para recibir dos estrellas. Las vulnerabilidades que tienen una alta
repercusión (incluidas aquellas que no son fáciles de aprovechar) no deberían
existir en software crítico para la empresa.
Fortify on Demand otorga cuatro estrellas a las aplicaciones que se han
sometido a una revisión de seguridad que no identifica ningún problema de
gravedad media (alta probabilidad y baja repercusión) y que cumplen con los
requisitos para recibir tres estrellas. Deben considerarse con cuidado las
vulnerabilidades que tienen una baja repercusión y que son fáciles de
aprovechar, ya que pueden suponer una amenaza mayor si un atacante saca
partido de muchas de ellas durante un esfuerzo coordinado o si aprovecha una
vulnerabilidad de baja repercusión como punto de partida para organizar un
ataque de alta repercusión.
Fortify on Demand otorga cinco estrellas (la clasificación más alta) a las
aplicaciones que se han sometido a una revisión de seguridad que no identifica
ningún problema.
Probabilidad y repercusión
Probabilidad
La probabilidad es el potencial de identificación y aprovechamiento correcto de una vulnerabilidad.
Repercusión
La repercusión es el daño potencial que podría provocar un atacante en los activos mediante el
correcto aprovechamiento de una vulnerabilidad. Este daño puede tomar la forma de pérdidas
financieras, infracciones de conformidad, pérdida de reputación de marca y publicidad negativa, entre
otros.
Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
7