Kebijakan Keamanan Aplikasi

Seluruh aplikasi web harus diterapkan di belakang Web Application Firewall (WAF) yang dikonfigurasi untuk mendeteksi dan memblokir serangan web umum (OWASP Top 10).

Server aplikasi harus dikeraskan sesuai dengan pedoman standar vendor dan industri, dengan fitur yang tidak diperlukan, konten contoh, dan konfigurasi default dihapus.

Penanganan kesalahan tidak boleh mengekspos detail sistem internal, jejak tumpukan, atau informasi debugging kepada pengguna akhir.

Header keamanan HTTP harus diimplementasikan: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security, Referrer-Policy, dan Permissions-Policy.

Aplikasi harus menerapkan mekanisme autentikasi yang sesuai dengan sensitivitas data: data standar (nama pengguna + kata sandi yang memenuhi persyaratan kompleksitas), data Rahasia (MFA diperlukan), dan data Terbatas (MFA dengan token perangkat keras atau FIDO2).

Token sesi harus acak secara kriptografis, dikirimkan hanya melalui koneksi terenkripsi, dan dibatalkan saat logout.

Batas waktu sesi harus ditegakkan: sesi tidak aktif berakhir setelah [CUSTOMIZE: 15/30/60] menit, batas waktu sesi absolut setelah [CUSTOMIZE: 8/12] jam.

Penguncian akun harus aktif setelah [CUSTOMIZE: 5/10] upaya autentikasi gagal dalam [CUSTOMIZE: 15/30] menit.

Seluruh API harus memerlukan autentikasi dan otorisasi untuk setiap permintaan.

Pembatasan laju API harus diterapkan untuk mencegah penyalahgunaan, dengan batas yang ditentukan berdasarkan pola penggunaan yang diharapkan.

Input API harus divalidasi, dan output harus dikodekan untuk mencegah injeksi dan paparan data.

Dokumentasi API tidak boleh diekspos secara publik untuk API internal.