Bezpečnostní audit není jen penetrační test. Tady je kompletní checklist.
Autentizace¶
- ☐ Silné heslo požadavky
- ☐ MFA implementováno
- ☐ Session management (timeout, invalidace)
- ☐ Rate limiting na login
- ☐ Password reset bezpečný
Autorizace¶
- ☐ Princip nejmenších oprávnění
- ☐ Role-based access control
- ☐ API endpoint autorizace
- ☐ IDOR prevence
Data¶
- ☐ Šifrování at rest
- ☐ Šifrování in transit (TLS 1.2+)
- ☐ PII klasifikace
- ☐ Backup šifrování
- ☐ Log sanitizace (žádné tokeny v logách)
Infrastruktura¶
- ☐ Firewall pravidla reviewována
- ☐ SSH klíče (ne hesla)
- ☐ Secrets v secrets manageru
- ☐ Container scanning
- ☐ Dependency scanning (Snyk, Dependabot)
Compliance¶
- ☐ GDPR souhlas a mazání dat
- ☐ Cookie consent
- ☐ Privacy policy aktuální
- ☐ Data retention policy
Frekvence¶
Plný audit alespoň 1× ročně. Automatizované scany (dependency, container) v CI/CD.
securityauditdevsecops