El servicio de auditoría de vulnerabilidades de Sistemas Web, tiene como objetivo encontrar fallas o debilidades presentes en una aplicación web del Estado Paraguayo, de modo a que puedan ser corregidas y/o mitigadas. Se trata de un servicio bajo demanda, especialmente para desarrollos a medida en el ambiente web, buscando minimizar las vulnerabilidades expuestas en sistemas gubernamentales y aumentar los niveles de seguridad de los mismos.
Alcance
Este servicio se brinda exclusivamente a organismos y entidades del Estado (OEE) paraguayo.
Se encuentra limitado a sistemas basados en tecnología web. Actualmente no se incluyen auditorias de software de escritorio, ni aplicaciones móviles.
El servicio de auditoría de vulnerabilidades web puede ser solicitado por las Organizaciones del Estado Paraguayo (OEE) para la auditoria de sus sistemas, ya sea desarrollados internamente o tercerizados.
Este servicio solo aplica a:
No se realiza una prueba de penetración, limitando la auditoria a identificar una vulnerabilidad y probarla mínimamente para descartar falso positiva (prueba de concepto), sin llegar a explotarla para realizar un daño.
No se realizarán pruebas de funcionalidad, usabilidad ni rendimiento. En general, no se realizarán pruebas de denegación de servicio, a excepción de técnicas específicas de servidores web (ej.: SlowHTTP), las cuales deberán ser solicitadas explícitamente a la hora de solicitar el servicio.
Tipo de Servicio
El servicio de auditorías de vulnerabilidades de sistemas web se dividen en los siguientes tipos:
- Prueba externa: se trata de una auditoría en la que se busca las vulnerabilidades desde el punto de vista de un atacante externo. Las pruebas externas, a su vez, se dividen en dos tipos:
- Verificación de cumplimiento de criterios de seguridad del software