SóProvas

Utilizar conexões TLS para todo conteúdo que requer acesso autenticado ou manutenção da confidencialidade das informações sensíveis.

Não expor informações sensíveis nas respostas de erros, inclusive detalhes de sistema, identificadores de sessão ou informação da conta do usuário.

Implementar um sistema de controle de mudanças para gerenciar e registrar as alterações no código, tanto do desenvolvimento, quanto dos sistemas em produção.

Todos os números aleatórios, nomes de arquivos aleatórios, GUIDs aleatórios e strings aleatórias devem ser geradas usando um módulo criptográfico com gerador de números aleatórios aprovado somente se os valores aleatórios gerados forem impossíveis de serem deduzidos.

Limitar o número de transações que um único usuário ou dispositivo pode executar em um determinado período de tempo. As transações por período de tempo devem estar acima da necessidade real do negócio, mas abaixo o suficiente para impedir ataques automatizados.