Questions for Third Party

Đối tác có Chứng nhận bảo mật thông tin như SOC 2 Type II , ISO 27001, CSA STAR, CREST, hoặc
chứng chỉ nào khác hay không?
Đối tác có bộ phận chuyên trách về bảo mật thông tin không?
Nhân viên Bộ phận An ninh Công nghệ Thông tin của đối tác có chứng nhận/bằng cấp về bảo mật
như CISSP, CISM,.. không?
Đối tác có nâng cao nhân thức về an ninh mạng của tất cả người dùng thường xuyên không?
Trong 12 tháng qua, đối tác có thực hiện kiểm thử xâm nhập hệ thống (Pen Test) cho các hệ thống có
xử lý hoặc lưu trữ thông tin của FWD không?
Đối tác đã thiết lập và kiểm tra thực tế đối với kế hoạch Ứng phó sự cố CNTT và sự cố an ninh mạng
hay không?
Đối tác có thiết lập quy trình và triển khai các công nghệ để bảo vệ hệ thống mạng không?
Đối tác có sử dụng giải pháp bảo vệ thiết bị đầu cuối nào không?
Đối tác có sử dụng giải pháp chống thất thoát dữ liệu nào không?
Đối tác có gặp các sự cố liên quan đến bảo mật như rò rỉ thông tin, tấn công từ chối dịch vụ (DDos)
trong 3 năm vừa qua không?
Đối tác có thể thông báo đến FWD trong vòng 72h khi có sự cố bảo mật liên quan đến dữ liệu của
FWD không?
Trong trường hợp có yêu cầu, đối tác có thể hỗ trợ FWD được thực hiện rà soát onsite đối với việc
bảo vệ thông tin của FWD không?
Respond (Y/N)
Security Checklist for Web Application Design
Task
Authentication & authorization
Do not hardcode credentials

Develop a strong password reset system

Implement strong password policy

Implement account lockout against brute-force attacks

User authorization principles

Input and Output Handling

Conduct contextual output encoding

Set the encoding for application

User input sanitization and validation

Use parameterized SQL queries

Use tokens to prevent forged requests

Validate uploaded file

Configure secure HTTP headers / HTTP response

Data Protection
Use HTTPS everywhere
Use strong TLS configurations
Store user password using a strong, iterative, salted hash

Session Management
Ensure that session identifiers are sufficiently random
Implement an idle session timeout
Implement an absolute session timeout
Destroy session at any sign of tampering
Invalidate the session after logout
Place a logout button on every page
Use secure cookie attributes
Set the cookie domain and path correctly
Use non-persistent cookies
Error Handling and Logging
Display generic error messages
No unhandled exceptions
Log all authentication and validation activities
Log all privilege changes
Log administrative activities
Log access to sensitive data
Sensitive data should never be logged in an unencrypted form.
Note Requirement met? (Y/N)

- Must not distribute in cleartext by email, sms..

- Generate a link and send to user's email address on file. The link will
take user to page where they can reset password. The link must
expire within 24 hours.

- Turn off auto-complete function

- Not allow resuse recently used password
- Password complexity must adhere to requirement defined in FWD
IAM Standard:
+ Must be at least 8 characters or longer
+ Support for at least a 64 characters length
+ Use combination of all ASCII character types: number, lowercase
letters, uppercase letters, and symbols
- Not use default password
- Check number and speed of authentication attempts for user.
- Least privilege
- Deny by default
- Segregation of duties

All output functions must contextually encode data before sending it

to the user. Depending on where the output will end up in the HTML
page, the output must be encoded differently.
For every page in application set the encoding using HTTP headers or
metadata within HTML.
For each user input field, there should be validation on the input
content. Whitelist input is preferred approach. Only accept data that
meet a certain criteria.
SQL queries should be crafted with user content passed into a bind
variable. This should prevent SQL injection attacks. Donot create SQL
dynamically using string concatenation.
To prevent CSRF attacks, embed a random value that not known to
third parties into HTML form. This token must be unique.
Validate the size of file, the file type, and the file contents as well as
ensuring that it is not possible to override the destination path for the
file.

- Content Security Policy header

- HTTP Strict Transport Security header
- “Referrer-Policy” header
- Cross Origin Resource Sharing configuration policy
- No disclosure of internal IP
- No disclosure of server and software information
- X-frame options (DENY or SAME-ORIGIN)

Disable HTTP access for all protected resources

Weak ciphers such as SSL v2, SSL v3, and TLS protocols prior to 1.2
must be disabled on every servers.
Store password using secure hashing techniques with strong
algorithms like PBKDF2, bcrypt, or SHA-512..

Use secure random function with sufficient length

Session identifiers must be subject to an inactivity timeout of thirty
(30) minute.
User should be logged out after an extensive amount of time.

The cookie domain and path scope should be set to the most
restrictive setting.
Set the cookie expiration time

- Only display generic information.

- Must display '404 not found' instead of '403 forbidden page'.