forked from OWASP/ASVS
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathOWASP Application Security Verification Standard 4.0.3-pt.xml
1 lines (1 loc) · 161 KB
/
OWASP Application Security Verification Standard 4.0.3-pt.xml
1
<?xml version="1.0" encoding="UTF-8" ?><root><Name>Application Security Verification Standard Project</Name><ShortName>ASVS</ShortName><Version></Version><Description>The OWASP Application Security Verification Standard (ASVS) Project provides a basis for testing web application technical security controls and also provides developers with a list of requirements for secure development.</Description><Requirements><item><Shortcode>V1</Shortcode><Ordinal>1</Ordinal><ShortName>Architecture</ShortName><Name>Arquitetura, Design e Modelagem de Ameaças</Name><Items><item><Shortcode>V1.1</Shortcode><Ordinal>1</Ordinal><Name>Ciclo de vida de desenvolvimento de software seguro</Name><Items><item><Shortcode>V1.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique o uso de um ciclo de vida de desenvolvimento de software seguro que aborde a segurança em todos os estágios de desenvolvimento. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique o uso da modelagem de ameaças para cada alteração de design ou planejamento de sprint para identificar ameaças, planejar contramedidas, facilitar respostas apropriadas a riscos e orientar testes de segurança.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1053</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se todas as histórias e recursos do usuário contêm restrições de segurança funcionais, como "Como usuário, devo poder visualizar e editar meu perfil. Não devo visualizar ou editar o perfil de outra pessoa"</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1110</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique a documentação e justificativa de todos os limites de confiança, componentes e fluxos de dados significativos da aplicação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique a definição e a análise de segurança da arquitetura de alto nível da aplicação e de todos os serviços remotos conectados. ([C1](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique a implementação de controles de segurança centralizados, simples (economia de design), verificados, seguros e reutilizáveis para evitar controles duplicados, ausentes, ineficazes ou inseguros. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>637</item></CWE><NIST></NIST></item><item><Shortcode>V1.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique a disponibilidade de uma lista de verificação de codificação segura, requisitos de segurança, diretriz ou política para todos os desenvolvedores e testadores.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>637</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.2</Shortcode><Ordinal>2</Ordinal><Name>Arquitetura de autenticação</Name><Items><item><Shortcode>V1.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique o uso de contas exclusivas ou especiais de sistema operacional de baixo privilégio para todos os componentes de aplicações, serviços e servidores. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>250</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as comunicações entre os componentes da aplicação, incluindo APIs, middleware e camadas de dados, são autenticadas. Os componentes devem ter os privilégios mínimos necessários. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação usa um único mecanismo de autenticação verificado que é conhecido por ser seguro, pode ser estendido para incluir autenticação forte e tem registro e monitoramento suficientes para detectar abuso ou violações de conta.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item><item><Shortcode>V1.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se todos os caminhos de autenticação e APIs de gestão de identidade implementam força de controle de segurança de autenticação consistente, de modo que não haja alternativas mais fracas pelo risco da aplicação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.3</Shortcode><Ordinal>3</Ordinal><Name>Arquitetura de gestão de sessão</Name><Items></Items></item><item><Shortcode>V1.4</Shortcode><Ordinal>4</Ordinal><Name>Arquitetura de controle de acesso</Name><Items><item><Shortcode>V1.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os pontos de imposição confiáveis, como gateways de controle de acesso, servidores e funções serverless, reforçam os controles de acesso. Nunca imponha controles de acesso no cliente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V1.4.2</Shortcode><Ordinal>2</Ordinal><Description>[EXCLUÍDO, NÃO ACIONÁVEL]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.4.3</Shortcode><Ordinal>3</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 4.1.3]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação usa um mecanismo de controle de acesso único e bem testado para acessar dados e recursos protegidos. Todas as solicitações devem passar por esse mecanismo único para evitar copiar e colar ou caminhos alternativos inseguros. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>284</item></CWE><NIST></NIST></item><item><Shortcode>V1.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se o controle de acesso baseado em atributo ou recurso é usado pelo qual o código verifica a autorização do usuário para um item de recurso/dado em vez de apenas sua função. As permissões ainda devem ser alocadas usando funções. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>275</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.5</Shortcode><Ordinal>5</Ordinal><Name>Arquitetura de input e output</Name><Items><item><Shortcode>V1.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os requisitos de input e output definem claramente como lidar e processar dados com base no tipo, conteúdo e leis aplicáveis, regulamentos e outras conformidades com políticas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1029</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a serialização não é usada ao se comunicar com clientes não confiáveis. Se isso não for possível, certifique-se de que os controles de integridade adequados (e possivelmente a criptografia se dados confidenciais forem enviados) sejam aplicados para evitar ataques de desserialização, incluindo injeção de objeto.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a validação de input é aplicada numa camada de serviço confiável. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V1.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a codificação de output ocorre perto ou pelo interpretador para o qual se destina. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.6</Shortcode><Ordinal>6</Ordinal><Name>Arquitetura Criptográfica</Name><Items><item><Shortcode>V1.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se há uma política explícita para gestão de chaves criptográficas e se o ciclo de vida de uma chave criptográfica segue um padrão de gestão de chaves, como NIST SP 800-57.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os consumidores de serviços criptográficos protegem o material de chaves e outros segredos usando cofres de chaves ou alternativas baseadas em API.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se todas as chaves e senhas são substituíveis e fazem parte de um processo bem definido para criptografar novamente dados confidenciais.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item><item><Shortcode>V1.6.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a arquitetura trata os segredos do lado do cliente, como chaves simétricas, senhas ou tokens de API, como inseguros e nunca os usa para proteger ou acessar dados confidenciais.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.7</Shortcode><Ordinal>7</Ordinal><Name>Erros, registro e arquitetura de auditoria</Name><Items><item><Shortcode>V1.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se um formato e uma abordagem de log comuns são usados em todo o sistema. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1009</item></CWE><NIST></NIST></item><item><Shortcode>V1.7.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os logs são transmitidos com segurança para um sistema preferencialmente remoto para análise, detecção, alerta e escalonamento. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.8</Shortcode><Ordinal>8</Ordinal><Name>Proteção de Dados e Arquitetura de Privacidade</Name><Items><item><Shortcode>V1.8.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os dados confidenciais são identificados e classificados em níveis de proteção.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.8.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todos os níveis de proteção têm um conjunto associado de requisitos de proteção, como requisitos de criptografia, requisitos de integridade, retenção, privacidade e outros requisitos de confidencialidade, e se eles são aplicados na arquitetura.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.9</Shortcode><Ordinal>9</Ordinal><Name>Arquitetura de Comunicações</Name><Items><item><Shortcode>V1.9.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação criptografa as comunicações entre os componentes, especialmente quando esses componentes estão em contêineres, sistemas, sites ou provedores de nuvem diferentes. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V1.9.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os componentes da aplicação verificam a autenticidade de cada lado num link de comunicação para evitar ataques de pessoa no meio. Por exemplo, os componentes da aplicação devem validar cadeias e certificados TLS.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>295</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.10</Shortcode><Ordinal>10</Ordinal><Name>Arquitetura de software malicioso</Name><Items><item><Shortcode>V1.10.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se um sistema de controle de código-fonte está em uso, com procedimentos para garantir que os check-ins sejam acompanhados de problemas ou tickets de alteração. O sistema de controle de código-fonte deve ter controle de acesso e usuários identificáveis para permitir a rastreabilidade de quaisquer alterações.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>284</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.11</Shortcode><Ordinal>11</Ordinal><Name>Arquitetura de lógica de negócios</Name><Items><item><Shortcode>V1.11.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique a definição e a documentação de todos os componentes da aplicação em termos de negócios ou funções de segurança que eles fornecem.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1059</item></CWE><NIST></NIST></item><item><Shortcode>V1.11.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todos os fluxos de lógica de negócios de alto valor, incluindo autenticação, gestão de sessão e controle de acesso, não compartilham estado não sincronizado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>362</item></CWE><NIST></NIST></item><item><Shortcode>V1.11.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se todos os fluxos de lógica de negócios de alto valor, incluindo autenticação, gestão de sessão e controle de acesso, são thread-safe e resistentes a condições de corrida de tempo de verificação e tempo de uso.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>367</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.12</Shortcode><Ordinal>12</Ordinal><Name>Arquitetura segura de upload de arquivos</Name><Items><item><Shortcode>V1.12.1</Shortcode><Ordinal>1</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 12.4.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.12.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os arquivos carregados pelo usuário - se necessário para serem exibidos ou baixados da aplicação - são servidos por downloads de fluxo de octetos ou de um domínio não relacionado, como um depósito de armazenamento de arquivos em nuvem. Implemente uma Política de Segurança de Conteúdo (CSP) adequada para reduzir o risco de vetores XSS ou outros ataques do arquivo carregado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>646</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V1.13</Shortcode><Ordinal>13</Ordinal><Name>Arquitetura da API</Name><Items></Items></item><item><Shortcode>V1.14</Shortcode><Ordinal>14</Ordinal><Name>Arquitetura de configuração</Name><Items><item><Shortcode>V1.14.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique a segregação de componentes de diferentes níveis de confiança por meio de controles de segurança bem definidos, regras de firewall, gateways de API, proxies reversos, grupos de segurança baseados em nuvem ou mecanismos semelhantes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>923</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as assinaturas binárias, conexões confiáveis e endpoints verificados são usados para implantar binários em dispositivos remotos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>494</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o pipeline de construção avisa sobre componentes desatualizados ou inseguros e toma as ações apropriadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1104</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o pipeline de construção contém uma etapa de construção para construir e verificar automaticamente a implantação segura da aplicação, especialmente se a infraestrutura da aplicação for definida por software, como scripts de construção do ambiente de nuvem.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V1.14.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se as implantações de aplicações são adequadamente protegidas, conteinerizadas e/ou isoladas no nível da rede para atrasar e impedir que invasores ataquem outras aplicações, especialmente quando estiverem executando ações confidenciais ou perigosas, como desserialização. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>265</item></CWE><NIST></NIST></item><item><Shortcode>V1.14.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a aplicação não usa tecnologias não suportadas, inseguras ou obsoletas do lado do cliente, como plug-ins NSAPI, Flash, Shockwave, ActiveX, Silverlight, NACL ou miniaplicações Java do lado do cliente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>477</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V2</Shortcode><Ordinal>2</Ordinal><ShortName>Authentication</ShortName><Name>Autenticação</Name><Items><item><Shortcode>V2.1</Shortcode><Ordinal>1</Ordinal><Name>Segurança de senha</Name><Items><item><Shortcode>V2.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as senhas definidas pelo usuário têm pelo menos 12 caracteres (após a combinação de vários espaços). ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se senhas com pelo menos 64 caracteres são permitidas e se senhas com mais de 128 caracteres são negadas. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o truncamento de senha não é executado. No entanto, vários espaços consecutivos podem ser substituídos por um único espaço. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se qualquer caractere Unicode imprimível, incluindo caracteres neutros de idioma, como espaços e Emojis, são permitidos em senhas.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os usuários podem alterar suas senhas.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>620</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a funcionalidade de alteração de senha requer a senha atual e nova do usuário.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>620</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se as senhas enviadas durante o registro da conta, login e alteração de senha são verificadas em relação a um conjunto de senhas violadas localmente (como as 1.000 ou 10.000 senhas mais comuns que correspondem à política de senha do sistema) ou usando uma API externa. Se estiver usando uma API, uma prova de conhecimento zero ou outro mecanismo deve ser usado para garantir que a senha de texto simples não seja enviada ou usada na verificação do status de violação da senha. Se a senha for violada, a aplicação deve exigir que o usuário defina uma nova senha não violada. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se um medidor de força da senha é fornecido para ajudar os usuários a definir uma senha mais forte.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.9</Shortcode><Ordinal>9</Ordinal><Description>Verifique se não há regras de composição de senha limitando o tipo de caracteres permitidos. Não deve haver nenhum requisito para letras maiúsculas ou minúsculas, números ou caracteres especiais. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.10</Shortcode><Ordinal>10</Ordinal><Description>Verifique se não há rotação periódica de credenciais ou requisitos de histórico de senha.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>263</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.11</Shortcode><Ordinal>11</Ordinal><Description>Verifique se a funcionalidade "colar", auxiliares de senha do navegador e gerenciadores de senha externos são permitidos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.1.12</Shortcode><Ordinal>12</Ordinal><Description>Verifique se o usuário pode optar por visualizar temporariamente toda a senha mascarada ou visualizar temporariamente o último caractere digitado da senha em plataformas que não possuem essa funcionalidade integrada.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>521</item></CWE><NIST><item>5.1.1.2</item></NIST></item></Items></item><item><Shortcode>V2.2</Shortcode><Ordinal>2</Ordinal><Name>Segurança geral do autenticador</Name><Items><item><Shortcode>V2.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os controles antiautomação são eficazes na mitigação de testes de credenciais violadas, força bruta e ataques de bloqueio de conta. Esses controles incluem o bloqueio das senhas violadas mais comuns, bloqueios suaves, limitação de taxa, CAPTCHA, atrasos cada vez maiores entre tentativas, restrições de endereço IP ou restrições baseadas em risco, como localização, primeiro login num dispositivo, tentativas recentes de desbloquear a conta, ou similar. Verifique se não é possível mais de 100 tentativas com falha por hora numa única conta.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>307</item></CWE><NIST><item>5.2.2</item><item>5.1.1.2</item><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o uso de autenticadores fracos (como SMS e e-mail) é limitado a verificação secundária e aprovação de transações e não como substituto para métodos de autenticação mais seguros. Verifique se métodos mais fortes são oferecidos antes de métodos fracos, se os usuários estão cientes dos riscos ou se as medidas adequadas estão em vigor para limitar os riscos de comprometimento da conta.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>304</item></CWE><NIST><item>5.2.10</item></NIST></item><item><Shortcode>V2.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se as notificações seguras são enviadas aos usuários após atualizações nos detalhes de autenticação, como redefinições de credenciais, alterações de e-mail ou endereço, login de locais desconhecidos ou arriscados. O uso de notificações push - em vez de SMS ou e-mail - é preferível, mas na ausência de notificações push, SMS ou e-mail é aceitável, desde que nenhuma informação confidencial seja divulgada na notificação.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>620</item></CWE><NIST></NIST></item><item><Shortcode>V2.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique a resistência à representação contra phishing, como o uso de autenticação multifator, dispositivos criptográficos com intenção (como chaves conectadas com um push para autenticar) ou em níveis AAL mais altos, certificados do lado do cliente.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.5</item></NIST></item><item><Shortcode>V2.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se onde um Provedor de Serviços de Credenciais (CSP) e a aplicação que verifica a autenticação estão separados, o TLS mutuamente autenticado está em vigor entre os dois pontos de extremidade.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>319</item></CWE><NIST><item>5.2.6</item></NIST></item><item><Shortcode>V2.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique a resistência à reprodução por meio do uso obrigatório de dispositivos de senhas descartáveis (OTP), autenticadores criptográficos ou códigos de pesquisa.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.8</item></NIST></item><item><Shortcode>V2.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique a intenção de autenticação exigindo a input de um token OTP ou ação iniciada pelo usuário, como pressionar um botão numa chave de hardware FIDO.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.9</item></NIST></item></Items></item><item><Shortcode>V2.3</Shortcode><Ordinal>3</Ordinal><Name>Ciclo de vida do autenticador</Name><Items><item><Shortcode>V2.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as senhas iniciais ou os códigos de ativação gerados pelo sistema DEVEM ser gerados aleatoriamente de forma segura, DEVEM ter pelo menos 6 caracteres e PODEM conter letras e números e expiram após um curto período de tempo. Esses segredos iniciais não devem ser permitidos para se tornar a senha de longo prazo.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.1.2</item><item>A.3</item></NIST></item><item><Shortcode>V2.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se há suporte para inscrição e uso de dispositivos de autenticação fornecidos pelo usuário, como tokens U2F ou FIDO.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>6.1.3</item></NIST></item><item><Shortcode>V2.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se as instruções de renovação são enviadas com tempo suficiente para renovar os autenticadores com limite de tempo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>6.1.4</item></NIST></item></Items></item><item><Shortcode>V2.4</Shortcode><Ordinal>4</Ordinal><Name>Armazenamento de credenciais</Name><Items><item><Shortcode>V2.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as senhas são armazenadas de forma resistente a ataques off-line. As senhas DEVEM ser salted e hash usando uma derivação de chave unidirecional aprovada ou função de hashing de senha. As funções de derivação de chave e hash de senha usam uma senha, um sal e um fator de custo como inputs ao gerar um hash de senha. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o sal tem pelo menos 32 bits de comprimento e é escolhido arbitrariamente para minimizar as colisões de valor de sal entre os hashes armazenados. Para cada credencial, um valor salt único e o hash resultante DEVEM ser armazenados. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se PBKDF2 é usado, a contagem de iteração DEVE ser tão grande quanto o desempenho do servidor de verificação permitir, normalmente pelo menos 100.000 iterações. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o bcrypt é usado, o fator de trabalho DEVE ser tão grande quanto o desempenho do servidor de verificação permitir, com um mínimo de 10. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se uma iteração adicional de uma função de derivação de chave é executada, usando um valor salt que é secreto e conhecido apenas pelo verificador. Gere o valor salt usando um gerador de bit aleatório aprovado [SP 800-90Ar1] e forneça pelo menos a segurança mínima especificada na última revisão do SP 800-131A. O valor salt secreto DEVERÁ ser armazenado separadamente das senhas com hash (por exemplo, num dispositivo especializado como um módulo de segurança de hardware).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>916</item></CWE><NIST><item>5.1.1.2</item></NIST></item></Items></item><item><Shortcode>V2.5</Shortcode><Ordinal>5</Ordinal><Name>Recuperação de credenciais</Name><Items><item><Shortcode>V2.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se um segredo inicial de ativação ou recuperação gerado pelo sistema não é enviado em texto não criptografado ao usuário. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se dicas de senha ou autenticação baseada em conhecimento (as chamadas "perguntas secretas") não estão presentes.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a recuperação da credencial de senha não revela a senha atual de forma alguma. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se contas compartilhadas ou padrão não estão presentes (por exemplo, "root", "admin" ou "sa").</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST><item>5.1.1.2</item><item>A.3</item></NIST></item><item><Shortcode>V2.5.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se um fator de autenticação é alterado ou substituído, o usuário é notificado sobre esse evento.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>304</item></CWE><NIST><item>6.1.2.3</item></NIST></item><item><Shortcode>V2.5.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique a senha esquecida e outros caminhos de recuperação usam um mecanismo de recuperação seguro, como OTP baseado em tempo (TOTP) ou outro token flexível, push móvel ou outro mecanismo de recuperação offline. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>640</item></CWE><NIST><item>5.1.1.2</item></NIST></item><item><Shortcode>V2.5.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se os fatores de autenticação OTP ou multifator são perdidos, se a prova de identidade é realizada no mesmo nível que durante o registro.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>6.1.2.3</item></NIST></item></Items></item><item><Shortcode>V2.6</Shortcode><Ordinal>6</Ordinal><Name>Verificador secreto de pesquisa</Name><Items><item><Shortcode>V2.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os segredos de pesquisa podem ser usados apenas uma vez.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.1.2.2</item></NIST></item><item><Shortcode>V2.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os segredos de pesquisa têm aleatoriedade suficiente (112 bits de entropia) ou, se tiverem menos de 112 bits de entropia, salteados com um sal exclusivo e aleatório de 32 bits e hash com um hash unidirecional aprovado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.2.2</item></NIST></item><item><Shortcode>V2.6.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os segredos de pesquisa são resistentes a ataques offline, como valores previsíveis.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>310</item></CWE><NIST><item>5.1.2.2</item></NIST></item></Items></item><item><Shortcode>V2.7</Shortcode><Ordinal>7</Ordinal><Name>Verificador fora de banda</Name><Items><item><Shortcode>V2.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os autenticadores de texto não criptografado fora da banda (NIST "restrito"), como SMS ou PSTN, não são oferecidos por padrão e alternativas mais fortes, como notificações por push, são oferecidas primeiro.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o verificador fora de banda expira solicitações, códigos ou tokens de autenticação fora de banda após 10 minutos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se as solicitações, códigos ou tokens de autenticação do verificador fora de banda podem ser usados apenas uma vez e apenas para a solicitação de autenticação original.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o autenticador e o verificador fora da banda se comunicam por um canal independente seguro.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>523</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se o verificador fora da banda retém apenas uma versão com hash do código de autenticação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>256</item></CWE><NIST><item>5.1.3.2</item></NIST></item><item><Shortcode>V2.7.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se o código de autenticação inicial é gerado por um gerador de número aleatório seguro, contendo pelo menos 20 bits de entropia (normalmente, um número aleatório de seis dígitos é suficiente).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>310</item></CWE><NIST><item>5.1.3.2</item></NIST></item></Items></item><item><Shortcode>V2.8</Shortcode><Ordinal>8</Ordinal><Name>Verificador Único</Name><Items><item><Shortcode>V2.8.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os OTPs baseados em tempo têm um tempo de vida definido antes de expirar.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as chaves simétricas usadas para verificar os OTPs enviados são altamente protegidas, por exemplo, usando um módulo de segurança de hardware ou armazenamento de chave baseado em sistema operacional seguro.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se algoritmos criptográficos aprovados são usados na geração, propagação e verificação de OTPs.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o OTP baseado em tempo pode ser usado apenas uma vez no período de validade.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.4.2</item><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se um token OTP multifator baseado em tempo é reutilizado durante o período de validade, ele é registrado e rejeitado com notificações seguras sendo enviadas ao proprietário do dispositivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.5.2</item></NIST></item><item><Shortcode>V2.8.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se o gerador OTP físico de fator único pode ser revogado em caso de roubo ou outra perda. Assegure-se de que a revogação entre em vigor imediatamente nas sessões de login, independentemente do local.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>5.2.1</item></NIST></item><item><Shortcode>V2.8.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se os autenticadores biométricos estão limitados ao uso apenas como fatores secundários em conjunto com algo que você possui e algo que você conhece.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>Optional</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>308</item></CWE><NIST><item>5.2.3</item></NIST></item></Items></item><item><Shortcode>V2.9</Shortcode><Ordinal>9</Ordinal><Name>Verificador Criptográfico</Name><Items><item><Shortcode>V2.9.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as chaves criptográficas usadas na verificação são armazenadas com segurança e protegidas contra divulgação, como o uso de um Módulo de plataforma confiável (TPM) ou Módulo de segurança de hardware (HSM) ou um serviço de sistema operacional que pode usar esse armazenamento seguro.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST><item>5.1.7.2</item></NIST></item><item><Shortcode>V2.9.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o nonce de desafio tem pelo menos 64 bits de comprimento e é estatisticamente exclusivo ou exclusivo durante a vida útil do dispositivo criptográfico.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>330</item></CWE><NIST><item>5.1.7.2</item></NIST></item><item><Shortcode>V2.9.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os algoritmos criptográficos aprovados são usados na geração, propagação e verificação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>327</item></CWE><NIST><item>5.1.7.2</item></NIST></item></Items></item><item><Shortcode>V2.10</Shortcode><Ordinal>10</Ordinal><Name>Autenticação de Serviço</Name><Items><item><Shortcode>V2.10.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os segredos intra-serviço não dependem de credenciais imutáveis, como senhas, chaves de API ou contas compartilhadas com acesso privilegiado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>SO assistido</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>287</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as senhas são necessárias para autenticação de serviço, a conta de serviço usada não é uma credencial padrão. (por exemplo, root/root ou admin/admin são padrão em alguns serviços durante a instalação).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>SO assistido</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>255</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se as senhas são armazenadas com proteção suficiente para evitar ataques de recuperação offline, incluindo acesso ao sistema local.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>SO assistido</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>522</item></CWE><NIST><item>5.1.1.1</item></NIST></item><item><Shortcode>V2.10.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se senhas, integrações com bancos de dados e sistemas de terceiros, sementes e segredos internos e chaves de API são gerenciados com segurança e não incluídos no código-fonte ou armazenados em repositórios de código-fonte. Esse armazenamento DEVE resistir a ataques offline. O uso de um armazenamento de chave de software seguro (L1), TPM de hardware ou um HSM (L3) é recomendado para armazenamento de senha.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>SO assistido</Requirement></L2><L3><Required>True</Required><Requirement>HSM</Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V3</Shortcode><Ordinal>3</Ordinal><ShortName>Session</ShortName><Name>Gestão de sessão</Name><Items><item><Shortcode>V3.1</Shortcode><Ordinal>1</Ordinal><Name>Fundamentos de Segurança de Gestão de Sessão</Name><Items><item><Shortcode>V3.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação nunca revela tokens de sessão em parâmetros de URL.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>598</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V3.2</Shortcode><Ordinal>2</Ordinal><Name>Ligação de Sessão</Name><Items><item><Shortcode>V3.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação gera um novo token de sessão na autenticação do usuário. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>384</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os tokens de sessão possuem pelo menos 64 bits de entropia. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>331</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação armazena apenas tokens de sessão no navegador usando métodos seguros, como cookies devidamente protegidos (consulte a seção 3.4) ou armazenamento de sessão HTML 5.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>539</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os tokens de sessão são gerados usando algoritmos criptográficos aprovados. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>331</item></CWE><NIST><item>7.1</item></NIST></item></Items></item><item><Shortcode>V3.3</Shortcode><Ordinal>3</Ordinal><Name>Encerramento da Sessão</Name><Items><item><Shortcode>V3.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se o logoff e a expiração invalidam o token de sessão, de modo que o botão Voltar ou uma parte confiável downstream não retome uma sessão autenticada, inclusive entre partes confiáveis. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.1</item></NIST></item><item><Shortcode>V3.3.2</Shortcode><Ordinal>2</Ordinal><Description>Se os autenticadores permitirem que os usuários permaneçam conectados, verifique se a reautenticação ocorre periodicamente quando usados ativamente ou após um período ocioso. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>30 dias</Requirement></L1><L2><Required>True</Required><Requirement>12 horas ou 30 minutos de inatividade, 2FA opcional</Requirement></L2><L3><Required>True</Required><Requirement>12 horas ou 15 minutos de inatividade, com 2FA</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2</item></NIST></item><item><Shortcode>V3.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação oferece a opção de encerrar todas as outras sessões ativas após uma alteração de senha bem-sucedida (incluindo alteração por redefinição/recuperação de senha) e se isso é eficaz na aplicação, no login federado (se houver) e em quaisquer partes confiáveis.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST></NIST></item><item><Shortcode>V3.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os usuários podem visualizar e (tendo inserido novamente as credenciais de login) fazer logoff de qualquer ou de todas as sessões e dispositivos ativos no momento.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.1</item></NIST></item></Items></item><item><Shortcode>V3.4</Shortcode><Ordinal>4</Ordinal><Name>Gestão de sessão baseado em cookies</Name><Items><item><Shortcode>V3.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os tokens de sessão baseados em cookie têm o atributo 'Seguro' definido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>614</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os tokens de sessão baseados em cookie têm o atributo 'HttpOnly' definido. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1004</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os tokens de sessão baseados em cookies utilizam o atributo 'SameSite' para limitar a exposição a ataques de falsificação de solicitação entre sites. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os tokens de sessão baseados em cookie usam o prefixo "__Host-" para que os cookies sejam enviados apenas para o host que inicialmente definiu o cookie.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item><item><Shortcode>V3.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se a aplicação é publicado sob um nome de domínio com outras aplicações que definem ou usam cookies de sessão que podem divulgar os cookies de sessão, defina o atributo path em tokens de sessão baseados em cookie usando o caminho mais preciso possível. ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST><item>7.1.1</item></NIST></item></Items></item><item><Shortcode>V3.5</Shortcode><Ordinal>5</Ordinal><Name>Gestão de sessão baseado em token</Name><Items><item><Shortcode>V3.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação permite que os usuários revoguem tokens OAuth que formam relacionamentos de confiança coma aplicaçãos vinculados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>290</item></CWE><NIST><item>7.1.2</item></NIST></item><item><Shortcode>V3.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação usa tokens de sessão em vez de chaves e segredos de API estáticos, exceto com implementações herdadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item><item><Shortcode>V3.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os tokens de sessão sem estado usam assinaturas digitais, criptografia e outras contramedidas para proteger contra adulteração, envelopamento, repetição, cifra nula e ataques de substituição de chave.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V3.6</Shortcode><Ordinal>6</Ordinal><Name>Reautenticação federada</Name><Items><item><Shortcode>V3.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as Partes Confiáveis (RPs) especificam o tempo máximo de autenticação para Provedores de Serviços de Credenciais (CSPs) e se os CSPs autenticam novamente o usuário se eles não tiverem usado uma sessão dentro desse período.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2.1</item></NIST></item><item><Shortcode>V3.6.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os provedores de serviços de credenciais (CSPs) informam as partes confiáveis (RPs) sobre o último evento de autenticação, para permitir que os RPs determinem se precisam autenticar novamente o usuário.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>613</item></CWE><NIST><item>7.2.1</item></NIST></item></Items></item><item><Shortcode>V3.7</Shortcode><Ordinal>7</Ordinal><Name>Defesas contra exploits de gestão de sessão</Name><Items><item><Shortcode>V3.7.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação garante uma sessão de login completa e válida ou requer reautenticação ou verificação secundária antes de permitir transações confidenciais ou modificações de conta.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V4</Shortcode><Ordinal>4</Ordinal><ShortName>Access</ShortName><Name>Controle de Acesso</Name><Items><item><Shortcode>V4.1</Shortcode><Ordinal>1</Ordinal><Name>Projeto de controle de acesso geral</Name><Items><item><Shortcode>V4.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação impõe regras de controle de acesso numa camada de serviço confiável, especialmente se o controle de acesso do lado do cliente estiver presente e puder ser ignorado.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>602</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todos os atributos de usuário e dados e as informações de política usadas pelos controles de acesso não podem ser manipulados pelos usuários finais, a menos que especificamente autorizados.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>639</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se existe o princípio do menor privilégio - os usuários só devem poder acessar funções, arquivos de dados, URLs, controladores, serviços e outros recursos, para os quais possuam autorização específica. Isso implica proteção contra falsificação e elevação de privilégio. ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V4.1.4</Shortcode><Ordinal>4</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 4.1.3]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V4.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os controles de acesso falham com segurança, inclusive quando ocorre uma exceção. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V4.2</Shortcode><Ordinal>2</Ordinal><Name>Controle de acesso de nível de operação</Name><Items><item><Shortcode>V4.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os dados confidenciais e as APIs estão protegidos contra ataques Insecure Direct Object Reference (IDOR) direcionados à criação, leitura, atualização e exclusão de registros, como criar ou atualizar o registro de outra pessoa, visualizar os registros de todos ou excluir todos os registros.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>639</item></CWE><NIST></NIST></item><item><Shortcode>V4.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação ou estrutura impõe um forte mecanismo anti-CSRF para proteger a funcionalidade autenticada e se a antiautomação ou anti-CSRF eficaz protege a funcionalidade não autenticada.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>352</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V4.3</Shortcode><Ordinal>3</Ordinal><Name>Outras considerações de controle de acesso</Name><Items><item><Shortcode>V4.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as interfaces administrativas usam autenticação multifator apropriada para impedir o uso não autorizado.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>419</item></CWE><NIST></NIST></item><item><Shortcode>V4.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a navegação no diretório está desativada, a menos que seja deliberadamente desejada. Além disso, as aplicações não devem permitir a descoberta ou divulgação de metadados de arquivo ou diretório, como pastas Thumbs.db, .DS_Store, .git ou .svn.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>548</item></CWE><NIST></NIST></item><item><Shortcode>V4.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação possui autorização adicional (como intensificação ou autenticação adaptativa) para sistemas de baixo valor e/ou segregação de funções para aplicações de alto valor para impor controles antifraude de acordo com o risco da aplicação e fraudes anteriores.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>732</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V5</Shortcode><Ordinal>5</Ordinal><ShortName>Validation</ShortName><Name>Validação, Sanitização e Codificação</Name><Items><item><Shortcode>V5.1</Shortcode><Ordinal>1</Ordinal><Name>Validação de input</Name><Items><item><Shortcode>V5.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação possui defesas contra ataques de poluição de parâmetro HTTP, principalmente se a estrutura da aplicação não fizer distinção sobre a origem dos parâmetros de solicitação (GET, POST, cookies, cabeçalhos ou variáveis de ambiente).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>235</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as estruturas protegem contra ataques de atribuição de parâmetros em massa ou se a aplicação possui contramedidas para proteger contra atribuição de parâmetros não segura, como marcar campos como privados ou similares. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>915</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se todas as inputs (campos de formulário HTML, solicitações REST, parâmetros de URL, cabeçalhos HTTP, cookies, arquivos em lote, feeds RSS, etc.) são validadas usando validação positiva (listas de permissão). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os dados estruturados são fortemente digitados e validados em relação a um esquema definido, incluindo caracteres permitidos, comprimento e padrão (por exemplo, números de cartão de crédito, endereços de e-mail, números de telefone ou validação de que dois campos relacionados são razoáveis, como verificar o subúrbio e o CEP /correspondência de código postal). ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V5.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os redirecionamentos e encaminhamentos de URL permitem apenas destinos que aparecem numa lista de permissões ou exibem um aviso ao redirecionar para conteúdo potencialmente não confiável.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>601</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.2</Shortcode><Ordinal>2</Ordinal><Name>Sanitização e Sandbox</Name><Items><item><Shortcode>V5.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os inputs de HTML não confiáveis de editores WYSIWYG ou similares foram devidamente sanitizadas com uma biblioteca, ou recurso de estrutura do higienizador de HTML. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os dados não estruturados são limpos para impor medidas de segurança, como caracteres e comprimento permitidos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>138</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação limpa a input do usuário antes de passar para os sistemas de e-mail para proteger contra injeção de SMTP ou IMAP.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>147</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação evita o uso de eval() ou outros recursos dinâmicos de execução de código. Onde não houver alternativa, qualquer input do usuário incluída deve ser limpa ou protegida antes de ser executada.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>95</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se a aplicação protege contra-ataques de injeção de modelo, garantindo que qualquer input do usuário incluída seja limpa ou protegida.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>94</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a aplicação protege contra-ataques SSRF, validando ou limpando dados não confiáveis, ou metadados de arquivos HTTP, como nomes de arquivos e campos de input de URL, e usa listas de permissão de protocolos, domínios, caminhos e portas.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>918</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se a aplicação sanitiza, desativa ou coloca em área restrita o conteúdo de scripts Scalable Vector Graphics (SVG) fornecido pelo usuário, especialmente no que se refere a XSS resultante de scripts embutidos e ao ForeignObject.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>159</item></CWE><NIST></NIST></item><item><Shortcode>V5.2.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se a aplicação sanitiza, desativa ou coloca em sandbox o conteúdo de linguagem de modelo de expressão ou script fornecido pelo usuário, como folhas de estilo Markdown, CSS ou XSL, BBCode ou similares.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>94</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.3</Shortcode><Ordinal>3</Ordinal><Name>Codificação de Output e Prevenção de Injeção</Name><Items><item><Shortcode>V5.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a codificação de output é relevante para o interpretador e o contexto necessários. Por exemplo, use codificadores especificamente para valores HTML, atributos HTML, JavaScript, parâmetros de URL, cabeçalhos HTTP, SMTP e outros conforme o contexto exigir, especialmente de inputs não confiáveis (por exemplo, nomes com Unicode ou apóstrofes, como ねこ ou O'Hara) . ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a codificação de output preserva o conjunto de caracteres e localidade escolhidos pelo usuário, de forma que qualquer ponto de caractere Unicode seja válido e manipulado com segurança. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>176</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o escape de output sensível ao contexto, de preferência automatizado - ou, na pior das hipóteses, manual - protege contra XSS refletido, armazenado e baseado em DOM. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>79</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a seleção de dados ou consultas de banco de dados (por exemplo, SQL, HQL, ORM, NoSQL) usam consultas parametrizadas, ORMs, estruturas de entidade ou estão protegidas contra ataques de injeção de banco de dados. ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>89</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se onde mecanismos parametrizados ou mais seguros não estão presentes, a codificação de output específica do contexto é usada para proteger contra ataques de injeção, como o uso de escape SQL para proteger contra injeção SQL. ([C3, C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>89</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a aplicação protege contra ataques de injeção JSON, ataques de avaliação JSON e avaliação de expressão JavaScript. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>830</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se a aplicação protege contra vulnerabilidades de injeção de LDAP ou se foram implementados controles de segurança específicos para impedir a injeção de LDAP. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>90</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se a aplicação protege contra injeção de comando do SO e se as chamadas do sistema operacional usam consultas de SO parametrizadas ou usam codificação de output de linha de comando contextual. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>78</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.9</Shortcode><Ordinal>9</Ordinal><Description>Verifique se a aplicação protege contra ataques de inclusão de arquivo local (LFI) ou inclusão de arquivo remoto (RFI).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V5.3.10</Shortcode><Ordinal>10</Ordinal><Description>Verifique se a aplicação protege contra ataques de injeção XPath ou injeção XML. ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>643</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.4</Shortcode><Ordinal>4</Ordinal><Name>Memória, String e Código Não Gerenciado</Name><Items><item><Shortcode>V5.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação usa cadeia de memória segura, cópia de memória mais segura e aritmética de ponteiro para detectar ou evitar estouros de pilha, buffer ou heap.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>120</item></CWE><NIST></NIST></item><item><Shortcode>V5.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as strings de formato não aceitam inputs potencialmente hostis e são constantes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>134</item></CWE><NIST></NIST></item><item><Shortcode>V5.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se as técnicas de validação de sinal, intervalo e input são usadas para evitar estouros de número inteiro.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>190</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V5.5</Shortcode><Ordinal>5</Ordinal><Name>Prevenção de desserialização</Name><Items><item><Shortcode>V5.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os objetos serializados usam verificações de integridade ou são criptografados para impedir a criação de objetos hostis ou adulteração de dados. ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação restringe corretamente os analisadores de XML para usar apenas a configuração mais restritiva possível e para garantir que recursos não seguros, como a resolução de entidades externas, sejam desabilitados para evitar ataques de XML eXternal Entity (XXE).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>611</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a desserialização de dados não confiáveis é evitada ou protegida em código personalizado e bibliotecas de terceiros (como analisadores JSON, XML e YAML).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>502</item></CWE><NIST></NIST></item><item><Shortcode>V5.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se, ao analisar JSON em navegadores ou back-ends baseados em JavaScript, JSON.parse é usado para analisar o documento JSON. Não use eval() para analisar JSON.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>95</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V6</Shortcode><Ordinal>6</Ordinal><ShortName>Cryptography</ShortName><Name>Criptografia armazenada</Name><Items><item><Shortcode>V6.1</Shortcode><Ordinal>1</Ordinal><Name>Classificação de dados</Name><Items><item><Shortcode>V6.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os dados privados regulamentados são armazenados criptografados enquanto estão em repouso, como informações de identificação pessoal (PII), informações pessoais confidenciais ou dados avaliados que provavelmente estão sujeitos ao GDPR da UE.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item><item><Shortcode>V6.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os dados de saúde regulamentados são armazenados criptografados enquanto estão em repouso, como registros médicos, detalhes de dispositivos médicos ou registros de pesquisa anonimizados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item><item><Shortcode>V6.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os dados financeiros regulamentados são armazenados criptografados enquanto estão inativos, como contas financeiras, inadimplência ou histórico de crédito, registros fiscais, histórico de pagamentos, beneficiários ou registros de pesquisa ou mercado anonimizados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>311</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.2</Shortcode><Ordinal>2</Ordinal><Name>Algoritmos</Name><Items><item><Shortcode>V6.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os módulos criptográficos falham com segurança e se os erros são tratados de forma a não permitir ataques de Padding Oracle.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>310</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se são usados algoritmos, modos e bibliotecas criptográficos comprovados pelo setor ou aprovados pelo governo, em vez de criptografia codificada personalizada. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>327</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o vetor de inicialização de criptografia, a configuração de cifra e os modos de bloqueio estão configurados com segurança usando as recomendações mais recentes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o número aleatório, algoritmos de criptografia ou hash, comprimentos de chave, rodadas, cifras ou modos podem ser reconfigurados, atualizados ou trocados a qualquer momento, para proteger contra quebras criptográficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os modos de bloco inseguros conhecidos (ou seja, ECB, etc.), modos de preenchimento (ou seja, PKCS#1 v1.5, etc.), cifras com tamanhos de bloco pequenos (ou seja, Triple-DES, Blowfish, etc.) e algoritmos de hash fracos (ou seja, MD5, SHA1, etc.) não são usados, a menos que sejam necessários para compatibilidade com versões anteriores.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se nonces, vetores de inicialização e outros números de uso único não devem ser usados mais de uma vez com uma determinada chave de criptografia. O método de geração deve ser apropriado para o algoritmo que está sendo usado.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se os dados criptografados são autenticados por meio de assinaturas, modos de cifra autenticados ou HMAC para garantir que o texto cifrado não seja alterado por uma parte não autorizada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V6.2.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se todas as operações criptográficas são de tempo constante, sem operações de 'curto-circuito' em comparações, cálculos ou retornos, para evitar vazamento de informações.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>385</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.3</Shortcode><Ordinal>3</Ordinal><Name>Valores aleatórios</Name><Items><item><Shortcode>V6.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os números aleatórios, nomes de arquivos aleatórios, GUIDs aleatórios e strings aleatórias são gerados usando o gerador de números aleatórios criptograficamente seguro aprovado do módulo criptográfico quando esses valores aleatórios não devem ser adivinhados por um invasor.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item><item><Shortcode>V6.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os GUIDs aleatórios são criados usando o algoritmo GUID v4 e um gerador de números pseudo-aleatórios criptograficamente seguro (CSPRNG). GUIDs criados usando outros geradores de números pseudo-aleatórios podem ser previsíveis.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item><item><Shortcode>V6.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os números aleatórios são criados com a entropia adequada mesmo quando a aplicação está sob carga pesada ou se a aplicação se degrada normalmente nessas circunstâncias.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>338</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V6.4</Shortcode><Ordinal>4</Ordinal><Name>Gestão de segredo</Name><Items><item><Shortcode>V6.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se uma solução de gestão de segredos, como um cofre de chaves, é usada para criar, armazenar, controlar o acesso e destruir segredos com segurança. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>798</item></CWE><NIST></NIST></item><item><Shortcode>V6.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o material da chave não está exposto à aplicação, mas usa um módulo de segurança isolado como um cofre para operações criptográficas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>320</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V7</Shortcode><Ordinal>7</Ordinal><ShortName>Error</ShortName><Name>Tratamento e registro de erros</Name><Items><item><Shortcode>V7.1</Shortcode><Ordinal>1</Ordinal><Name>Conteúdo do registro</Name><Items><item><Shortcode>V7.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação não registra credenciais ou detalhes de pagamento. Os tokens de sessão devem ser armazenados apenas em logs num formato de hash irreversível. ([C9, C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação não registra outros dados confidenciais conforme definido nas leis de privacidade locais ou na política de segurança relevante. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação registra eventos relevantes de segurança, incluindo eventos de autenticação bem-sucedidos e com falha, falhas de controle de acesso, falhas de desserialização e falhas de validação de input. ([C5, C7](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item><item><Shortcode>V7.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se cada evento de log inclui as informações necessárias que permitem uma investigação detalhada da linha do tempo quando um evento ocorre. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.2</Shortcode><Ordinal>2</Ordinal><Name>Processamento de Log</Name><Items><item><Shortcode>V7.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todas as decisões de autenticação são registradas, sem armazenar senhas ou tokens de sessão confidenciais. Isso deve incluir solicitações com metadados relevantes necessários para investigações de segurança.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>778</item></CWE><NIST></NIST></item><item><Shortcode>V7.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todas as decisões de controle de acesso podem ser registradas e todas as decisões com falha são registradas. Isso deve incluir solicitações com metadados relevantes necessários para investigações de segurança.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.3</Shortcode><Ordinal>3</Ordinal><Name>Proteção de Log</Name><Items><item><Shortcode>V7.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os componentes de log codificam os dados adequadamente para evitar a injeção de log. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>117</item></CWE><NIST></NIST></item><item><Shortcode>V7.3.2</Shortcode><Ordinal>2</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 7.3.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V7.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os logs de segurança estão protegidos contra acesso e modificação não autorizados. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item><item><Shortcode>V7.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se as fontes de horário estão sincronizadas com a hora e o fuso horário corretos. Considere fortemente o registro apenas em UTC se os sistemas forem globais para auxiliar na análise forense pós-incidente. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V7.4</Shortcode><Ordinal>4</Ordinal><Name>Tratamento de Erros</Name><Items><item><Shortcode>V7.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se uma mensagem genérica é exibida quando ocorre um erro inesperado ou sensível à segurança, possivelmente com uma ID exclusiva que a equipe de suporte pode usar para investigar. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>210</item></CWE><NIST></NIST></item><item><Shortcode>V7.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o tratamento de exceção (ou um equivalente funcional) é usado na base de código para contabilizar as condições de erro esperadas e inesperadas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>544</item></CWE><NIST></NIST></item><item><Shortcode>V7.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se um manipulador de erro de "último recurso" está definido para capturar todas as exceções não tratadas. ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>431</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V8</Shortcode><Ordinal>8</Ordinal><ShortName>Data</ShortName><Name>Proteção de Dados</Name><Items><item><Shortcode>V8.1</Shortcode><Ordinal>1</Ordinal><Name>Proteção Geral de Dados</Name><Items><item><Shortcode>V8.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação protege os dados confidenciais de serem armazenados em cache nos componentes do servidor, como balanceadores de carga e caches de aplicações.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>524</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todas as cópias em cache ou temporárias de dados confidenciais armazenados no servidor estão protegidas contra acesso não autorizado ou eliminadas/invalidadas depois que o usuário autorizado acessa os dados confidenciais.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>524</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação minimiza o número de parâmetros numa solicitação, como campos ocultos, variáveis Ajax, cookies e valores de cabeçalho.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>233</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação pode detectar e alertar sobre números anormais de solicitações, como por IP, usuário, total por hora ou dia ou o que fizer sentido para a aplicação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os backups regulares de dados importantes são executados e se a restauração de teste de dados é realizada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>19</item></CWE><NIST></NIST></item><item><Shortcode>V8.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se os backups são armazenados com segurança para evitar que os dados sejam roubados ou corrompidos.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>19</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V8.2</Shortcode><Ordinal>2</Ordinal><Name>Proteção de dados do lado do cliente</Name><Items><item><Shortcode>V8.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação define cabeçalhos anti-cache suficientes para que dados confidenciais não sejam armazenados em cache em navegadores modernos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>525</item></CWE><NIST></NIST></item><item><Shortcode>V8.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os dados armazenados no armazenamento do navegador (como localStorage, sessionStorage, IndexedDB ou cookies) não contêm dados confidenciais.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>922</item></CWE><NIST></NIST></item><item><Shortcode>V8.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os dados autenticados foram apagados do armazenamento do cliente, como o DOM do navegador, após o término do cliente ou da sessão.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>922</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V8.3</Shortcode><Ordinal>3</Ordinal><Name>Dados privados confidenciais</Name><Items><item><Shortcode>V8.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os dados confidenciais são enviados ao servidor no corpo ou nos cabeçalhos da mensagem HTTP e se os parâmetros da string de consulta de qualquer verbo HTTP não contêm dados confidenciais.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os usuários têm um método para remover ou exportar os seus dados sob demanda.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>212</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os usuários recebem uma linguagem clara sobre a coleta e o uso das informações pessoais fornecidas e se os usuários forneceram consentimento para o uso desses dados antes de serem usados de qualquer forma.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se todos os dados confidenciais criados e processados pela aplicação foram identificados e certifique-se de que haja uma política sobre como lidar com dados confidenciais. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se o acesso a dados confidenciais é auditado (sem registrar os próprios dados confidenciais), se os dados forem coletados conforme as diretivas de proteção de dados relevantes ou se o registro de acesso for necessário.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>532</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se as informações confidenciais contidas na memória são substituídas assim que não são mais necessárias para mitigar ataques de despejo de memória, usando zeros ou dados aleatórios.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>226</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se as informações confidenciais ou privadas que devem ser criptografadas estão criptografadas usando algoritmos aprovados que fornecem confidencialidade e integridade. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>327</item></CWE><NIST></NIST></item><item><Shortcode>V8.3.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se as informações pessoais confidenciais estão sujeitas à classificação de retenção de dados, de modo que os dados antigos ou desatualizados sejam excluídos automaticamente, de acordo com a programação ou conforme a situação exigir.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V9</Shortcode><Ordinal>9</Ordinal><ShortName>Communications</ShortName><Name>Comunicação</Name><Items><item><Shortcode>V9.1</Shortcode><Ordinal>1</Ordinal><Name>Segurança de comunicação do cliente</Name><Items><item><Shortcode>V9.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se o TLS é usado para toda a conectividade do cliente e não retrocede para comunicações inseguras ou não criptografadas. ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V9.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique, usando ferramentas de teste de TLS atualizadas, que somente conjuntos de cifras fortes estão ativados, com os conjuntos de cifras mais fortes definidos como preferenciais.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item><item><Shortcode>V9.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se apenas as versões recomendadas mais recentes do protocolo TLS estão habilitadas, como TLS 1.2 e TLS 1.3. A versão mais recente do protocolo TLS deve ser a opção preferida.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>326</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V9.2</Shortcode><Ordinal>2</Ordinal><Name>Segurança de comunicação do servidor</Name><Items><item><Shortcode>V9.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se as conexões de e para o servidor usam certificados TLS confiáveis. Onde certificados gerados internamente ou autoassinados são usados, o servidor deve ser configurado para confiar apenas em CAs internas específicas e certificados autoassinados específicos. Todos os outros devem ser rejeitados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>295</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as comunicações criptografadas, como TLS, são usadas para todas as conexões de input e output, incluindo portas de gestão, monitoramento, autenticação, API ou chamadas de Web Service, banco de dados, nuvem, serverless, mainframe, externas e conexões de parceiros. O servidor não deve recorrer a protocolos inseguros ou não criptografados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>319</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se todas as conexões criptografadas com sistemas externos que envolvem informações ou funções confidenciais são autenticadas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>287</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a revogação de certificação adequada, como o grampeamento do protocolo de status de certificado on-line (OCSP), está habilitada e configurada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>299</item></CWE><NIST></NIST></item><item><Shortcode>V9.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se as falhas de conexão TLS de back-end são registradas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>544</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V10</Shortcode><Ordinal>10</Ordinal><ShortName>Malicious</ShortName><Name>Código malicioso</Name><Items><item><Shortcode>V10.1</Shortcode><Ordinal>1</Ordinal><Name>Integridade do código</Name><Items><item><Shortcode>V10.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se uma ferramenta de análise de código está em uso e pode detectar códigos potencialmente maliciosos, como funções de tempo, operações de arquivo inseguras e conexões de rede.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>749</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V10.2</Shortcode><Ordinal>2</Ordinal><Name>Pesquisa de código malicioso</Name><Items><item><Shortcode>V10.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se o código-fonte da aplicação e as bibliotecas de terceiros não contêm recursos não autorizados de telefone residencial ou coleta de dados. Onde tal funcionalidade existir, obtenha a permissão do usuário para que ela opere antes de coletar quaisquer dados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>359</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação não solicita permissões desnecessárias ou excessivas para recursos ou sensores relacionados à privacidade, como contatos, câmeras, microfones ou localização.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>272</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o código-fonte da aplicação e as bibliotecas de terceiros não contêm backdoors, como contas ou chaves codificadas ou adicionais não documentadas, ofuscação de código, blobs binários não documentados, rootkits ou antidepuração, recursos de depuração inseguros ou de outra forma fora de data, funcionalidade insegura ou oculta que pode ser usada maliciosamente se descoberta.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>507</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se o código-fonte da aplicação e as bibliotecas de terceiros não contêm bombas-relógio procurando por funções relacionadas a data e hora.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>511</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se o código-fonte da aplicação e as bibliotecas de terceiros não contêm código mal-intencionado, como ataques de salame, desvios lógicos ou bombas lógicas.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>511</item></CWE><NIST></NIST></item><item><Shortcode>V10.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se o código-fonte da aplicação e as bibliotecas de terceiros não contêm ovos de Páscoa ou qualquer outra funcionalidade potencialmente indesejada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>507</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V10.3</Shortcode><Ordinal>3</Ordinal><Name>Integridade da aplicação</Name><Items><item><Shortcode>V10.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação possui um recurso de atualização automática de cliente ou servidor, as atualizações devem ser obtidas por canais seguros e assinadas digitalmente. O código de atualização deve validar a assinatura digital da atualização antes de instalar ou executar a atualização.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST></NIST></item><item><Shortcode>V10.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação emprega proteções de integridade, como assinatura de código ou integridade de sub-recurso. A aplicação não deve carregar ou executar código de fontes não confiáveis, como carregamento de inclusões, módulos, plug-ins, códigos ou bibliotecas de fontes não confiáveis ou da Internet.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>353</item></CWE><NIST></NIST></item><item><Shortcode>V10.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação tem proteção contra invasões de subdomínio se a aplicação depender de inputs DNS ou subdomínios DNS, como nomes de domínio expirados, ponteiros DNS ou CNAMEs desatualizados, projetos expirados em repositórios públicos de código-fonte ou APIs de nuvem temporárias, funções serverless, ou depósitos de armazenamento (*autogen-bucket-id*.cloud.example.com) ou similar. As proteções podem incluir a garantia de que os nomes DNS usados pelas aplicações sejam verificados regularmente quanto à expiração ou alteração.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>350</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V11</Shortcode><Ordinal>11</Ordinal><ShortName>BusLogic</ShortName><Name>Lógica de Negócios</Name><Items><item><Shortcode>V11.1</Shortcode><Ordinal>1</Ordinal><Name>Segurança da Lógica de Negócios</Name><Items><item><Shortcode>V11.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação processará apenas fluxos de lógica de negócios para o mesmo usuário em ordem sequencial de etapas e sem pular etapas.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>841</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação processará apenas fluxos de lógica de negócios com todas as etapas sendo processadas em tempo humano realista, ou seja, as transações não são enviadas muito rapidamente.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>799</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a aplicação tem limites apropriados para ações ou transações de negócios específicas que são aplicadas corretamente por usuário.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação possui controles antiautomação para proteção contra chamadas excessivas, como exfiltração de dados em massa, solicitações de lógica de negócios, uploads de arquivos ou ataques de negação de serviço.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se a aplicação tem limites de lógica de negócios ou validação para proteger contra prováveis riscos ou ameaças de negócios, identificados usando modelagem de ameaças ou metodologias semelhantes.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>841</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a aplicação não sofre de problemas de "Time Of Check to Time Of Use" (TOCTOU) ou outras condições de corrida para operações confidenciais.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>367</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se a aplicação monitora eventos ou atividades incomuns de uma perspectiva de lógica de negócios. Por exemplo, tentativas de executar ações fora de ordem ou ações que um usuário normal nunca tentaria. ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>754</item></CWE><NIST></NIST></item><item><Shortcode>V11.1.8</Shortcode><Ordinal>8</Ordinal><Description>Verifique se a aplicação possui alertas configuráveis quando ataques automatizados ou atividades incomuns são detectados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>390</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V12</Shortcode><Ordinal>12</Ordinal><ShortName>Files</ShortName><Name>Arquivos e Recursos</Name><Items><item><Shortcode>V12.1</Shortcode><Ordinal>1</Ordinal><Name>Carregamento de arquivo</Name><Items><item><Shortcode>V12.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a aplicação não aceitará arquivos grandes que possam encher o armazenamento ou causar uma negação de serviço.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>400</item></CWE><NIST></NIST></item><item><Shortcode>V12.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a aplicação verifica os arquivos compactados (por exemplo, zip, gz, docx, odt) em relação ao tamanho máximo descompactado permitido e ao número máximo de arquivos antes de descompactar o arquivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>409</item></CWE><NIST></NIST></item><item><Shortcode>V12.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se uma cota de tamanho de arquivo e um número máximo de arquivos por usuário são aplicados para garantir que um único usuário não possa preencher o armazenamento com muitos arquivos ou arquivos excessivamente grandes.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.2</Shortcode><Ordinal>2</Ordinal><Name>Integridade do arquivo</Name><Items><item><Shortcode>V12.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os arquivos obtidos de fontes não confiáveis são validados como sendo do tipo esperado com base no conteúdo do arquivo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.3</Shortcode><Ordinal>3</Ordinal><Name>Execução de Arquivo</Name><Items><item><Shortcode>V12.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os metadados de nome de arquivo enviados pelo usuário não são usados diretamente pelo sistema ou sistemas de arquivos de estrutura e se uma API de URL é usada para proteção contra travessia de caminho.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>22</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os metadados de nome de arquivo enviados pelo usuário são validados ou ignorados para impedir a divulgação, criação, atualização ou remoção de arquivos locais (LFI).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>73</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os metadados de nome de arquivo enviados pelo usuário são validados ou ignorados para evitar a divulgação ou execução de arquivos remotos por ataques de inclusão de arquivo remoto (RFI) ou falsificação de solicitação do lado do servidor (SSRF).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>98</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação protege contra download de arquivo reflexivo (RFD) validando ou ignorando nomes de arquivo enviados pelo usuário num parâmetro JSON, JSONP ou URL, o cabeçalho Content-Type de resposta deve ser definido como text/plain e o cabeçalho Content-Disposition deve ter um nome de arquivo fixo.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>641</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os metadados de arquivos não confiáveis não são usados diretamente com API ou bibliotecas do sistema, para proteger contra a injeção de comandos do sistema operacional.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>78</item></CWE><NIST></NIST></item><item><Shortcode>V12.3.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a aplicação não inclui e executa funcionalidades de fontes não confiáveis, como redes de distribuição de conteúdos não verificados, bibliotecas JavaScript, bibliotecas de nó npm ou DLLs do lado do servidor.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.4</Shortcode><Ordinal>4</Ordinal><Name>Armazenamento de Arquivos</Name><Items><item><Shortcode>V12.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os arquivos obtidos de fontes não confiáveis são armazenados fora da raiz da web, com permissões limitadas.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>552</item></CWE><NIST></NIST></item><item><Shortcode>V12.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os arquivos obtidos de fontes não confiáveis são verificados por scanners antivírus para impedir o upload e a exibição de conteúdo malicioso conhecido.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>509</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.5</Shortcode><Ordinal>5</Ordinal><Name>Download do arquivo</Name><Items><item><Shortcode>V12.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a camada da web está configurada para servir apenas arquivos com extensões de arquivo específicas para evitar informações não intencionais e vazamento de código-fonte. Por exemplo, arquivos de backup (por exemplo, .bak), arquivos de trabalho temporários (por exemplo, .swp), arquivos compactados (.zip, .tar.gz, etc) e outras extensões comumente usadas por editores devem ser bloqueados, a menos que necessário.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>552</item></CWE><NIST></NIST></item><item><Shortcode>V12.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se as solicitações diretas para arquivos carregados nunca serão executadas como conteúdo HTML/JavaScript.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V12.6</Shortcode><Ordinal>6</Ordinal><Name>Proteção SSRF</Name><Items><item><Shortcode>V12.6.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se o servidor da web ou de aplicações está configurado com uma lista de permissões de recursos ou sistemas para os quais o servidor pode enviar solicitações ou carregar dados/arquivos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>918</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V13</Shortcode><Ordinal>13</Ordinal><ShortName>API</ShortName><Name>API e Web Service</Name><Items><item><Shortcode>V13.1</Shortcode><Ordinal>1</Ordinal><Name>Segurança genérica de Web Service</Name><Items><item><Shortcode>V13.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os componentes da aplicação usam as mesmas codificações e analisadores para evitar ataques de análise que exploram URI diferente ou comportamento de análise de arquivo que pode ser usado em ataques SSRF e RFI.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.2</Shortcode><Ordinal>2</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 4.3.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V13.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os URLs da API não expõem informações confidenciais, como a chave da API, tokens de sessão, etc.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>598</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se as decisões de autorização são feitas no URI, impostas por segurança programática ou declarativa no controlador ou roteador, e no nível do recurso, impostas por permissões baseadas em modelo.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item><item><Shortcode>V13.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se as solicitações que contêm tipos de conteúdo inesperados ou ausentes são rejeitadas com cabeçalhos apropriados (status de resposta HTTP 406 inaceitável ou 415 tipo de mídia não compatível).</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>434</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.2</Shortcode><Ordinal>2</Ordinal><Name>Serviço Web RESTful</Name><Items><item><Shortcode>V13.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os métodos HTTP RESTful ativados são uma escolha válida para o usuário ou ação, como impedir que usuários normais usem DELETE ou PUT em recursos ou API protegidos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>650</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a validação do esquema JSON está em vigor e verificada antes de aceitar a input.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os serviços da Web RESTful que utilizam cookies estão protegidos contra falsificação de solicitação entre sites por meio do uso de pelo menos um ou mais dos seguintes: padrão de cookie de envio duplo, nonces CSRF ou verificações de cabeçalho de solicitação de origem.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>352</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.4</Shortcode><Ordinal>4</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 11.1.4]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V13.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os serviços REST verificam explicitamente se o Content-Type de input é o esperado, como application/xml ou application/json.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>436</item></CWE><NIST></NIST></item><item><Shortcode>V13.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se os cabeçalhos e a carga da mensagem são confiáveis e não foram modificados em trânsito. Exigir criptografia forte para transporte (somente TLS) pode ser suficiente em muitos casos, pois fornece proteção de confidencialidade e integridade. As assinaturas digitais por mensagem podem fornecer garantia adicional além das proteções de transporte para aplicações de alta segurança, mas trazem consigo complexidade e riscos adicionais para comparar com os benefícios.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.3</Shortcode><Ordinal>3</Ordinal><Name>Serviço Web SOAP</Name><Items><item><Shortcode>V13.3.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se a validação do esquema XSD ocorre para garantir um documento XML formado corretamente, seguido pela validação de cada campo de input antes de qualquer processamento desses dados.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>20</item></CWE><NIST></NIST></item><item><Shortcode>V13.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se a carga útil da mensagem está assinada usando WS-Security para garantir o transporte confiável entre o cliente e o serviço.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>345</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V13.4</Shortcode><Ordinal>4</Ordinal><Name>GraphQL</Name><Items><item><Shortcode>V13.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se uma lista de permissões de consulta ou uma combinação de limitação de profundidade e limitação de quantidade é usada para impedir o GraphQL ou a negação de serviço (DoS) da expressão da camada de dados como resultado de consultas aninhadas caras. Para cenários mais avançados, a análise de custo de consulta deve ser usada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>770</item></CWE><NIST></NIST></item><item><Shortcode>V13.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se GraphQL ou outra lógica de autorização da camada de dados deve ser implementada na camada de lógica de negócios em vez da camada GraphQL.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>285</item></CWE><NIST></NIST></item></Items></item></Items></item><item><Shortcode>V14</Shortcode><Ordinal>14</Ordinal><ShortName>Config</ShortName><Name>Configuração</Name><Items><item><Shortcode>V14.1</Shortcode><Ordinal>1</Ordinal><Name>Construir e Implantar</Name><Items><item><Shortcode>V14.1.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se os processos de criação e implantação da aplicação são executados de maneira segura e repetível, como automação de CI/CD, gestão de configuração automatizada e scripts de implantação automatizada.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.1.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os sinalizadores do compilador estão configurados para habilitar todas as proteções e avisos de buffer overflow disponíveis, incluindo randomização de pilha, prevenção de execução de dados e para interromper a compilação se um ponteiro inseguro, memória, string de formato, número inteiro ou operações de string forem encontrados.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>120</item></CWE><NIST></NIST></item><item><Shortcode>V14.1.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se a configuração do servidor está protegida de acordo com as recomendações do servidor de aplicações e estruturas em uso.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>16</item></CWE><NIST></NIST></item><item><Shortcode>V14.1.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se a aplicação, a configuração e todas as dependências podem ser reimplantados usando scripts de implantação automatizados, criados a partir de um runbook documentado e testado num tempo razoável ou restaurados de backups em tempo hábil.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.1.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se os administradores autorizados podem verificar a integridade de todas as configurações relevantes para a segurança para detectar adulterações.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.2</Shortcode><Ordinal>2</Ordinal><Name>Dependência</Name><Items><item><Shortcode>V14.2.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se todos os componentes estão atualizados, de preferência usando um verificador de dependência durante o tempo de construção ou compilação. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1026</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todos os recursos, documentação, aplicações de amostra e configurações desnecessários foram removidos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1002</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os ativos da aplicação, como bibliotecas JavaScript, CSS ou fontes da Web, são hospedados externamente numa rede de entrega de conteúdo (CDN) ou provedor externo, a integridade do subrecurso (SRI) é usada para validar a integridade do ativo.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os componentes de terceiros vêm de repositórios predefinidos, confiáveis e mantidos continuamente. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>829</item></CWE><NIST></NIST></item><item><Shortcode>V14.2.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se uma lista de materiais de software (SBOM) é mantida para todas as bibliotecas de terceiros em uso. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.2.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se a superfície de ataque é reduzida por sandbox ou encapsulamento de bibliotecas de terceiros para expor apenas o comportamento necessário na aplicação. ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering))</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>265</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.3</Shortcode><Ordinal>3</Ordinal><Name>Divulgação de segurança não intencional</Name><Items><item><Shortcode>V14.3.1</Shortcode><Ordinal>1</Ordinal><Description>[EXCLUÍDO, DUPLICADO DE 7.4.1]</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>False</Required><Requirement></Requirement></L2><L3><Required>False</Required><Requirement></Requirement></L3><CWE></CWE><NIST></NIST></item><item><Shortcode>V14.3.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se os modos de depuração da estrutura da aplicação ou servidor da Web estão desativados na produção para eliminar recursos de depuração, consoles de desenvolvedor e divulgações de segurança não intencionais.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>497</item></CWE><NIST></NIST></item><item><Shortcode>V14.3.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se os cabeçalhos HTTP ou qualquer parte da resposta HTTP não expõe informações detalhadas sobre a versão dos componentes do sistema.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>200</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.4</Shortcode><Ordinal>4</Ordinal><Name>Cabeçalhos de segurança HTTP</Name><Items><item><Shortcode>V14.4.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se cada resposta HTTP contém um cabeçalho Content-Type. Especifique também um conjunto de caracteres seguro (por exemplo, UTF-8, ISO-8859-1) se os tipos de conteúdo forem text/*, /+xml e application/xml. O conteúdo deve corresponder ao cabeçalho Content-Type fornecido.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>173</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se todas as respostas da API contêm um anexo Content-Disposition:; cabeçalho filename="api.json" (ou outro nome de arquivo apropriado para o tipo de conteúdo).</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se um cabeçalho de resposta da política de segurança de conteúdo (CSP) está em vigor para ajudar a atenuar o impacto de ataques XSS, como HTML, DOM, JSON e vulnerabilidades de injeção de JavaScript.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1021</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se todas as respostas contêm um cabeçalho X-Content-Type-Options: nosniff.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.5</Shortcode><Ordinal>5</Ordinal><Description>Verifique se um cabeçalho Strict-Transport-Security está incluído em todas as respostas e para todos os subdomínios, como Strict-Transport-Security: max-age=15724800; includeSubdomains.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>523</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.6</Shortcode><Ordinal>6</Ordinal><Description>Verifique se um cabeçalho Referrer-Policy adequado está incluído para evitar a exposição de informações confidenciais na URL por meio do cabeçalho Referer para partes não confiáveis.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>116</item></CWE><NIST></NIST></item><item><Shortcode>V14.4.7</Shortcode><Ordinal>7</Ordinal><Description>Verifique se o conteúdo de uma aplicação da Web não pode ser incorporado num site de terceiros por padrão e se a incorporação dos recursos exatos só é permitida quando necessária usando a política de segurança de conteúdo adequada: resposta de ancestrais de quadro e opções de X-Frame cabeçalhos.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>1021</item></CWE><NIST></NIST></item></Items></item><item><Shortcode>V14.5</Shortcode><Ordinal>5</Ordinal><Name>Validação de cabeçalho de solicitação HTTP</Name><Items><item><Shortcode>V14.5.1</Shortcode><Ordinal>1</Ordinal><Description>Verifique se o servidor de aplicações aceita apenas os métodos HTTP em uso pela aplicação/API, incluindo OPÇÕES pré-voo e logs/alertas em quaisquer solicitações que não sejam válidas para o contexto da aplicação.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>749</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.2</Shortcode><Ordinal>2</Ordinal><Description>Verifique se o cabeçalho Origin fornecido não é usado para autenticação ou decisões de controle de acesso, pois o cabeçalho Origin pode ser facilmente alterado por um invasor.</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>346</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.3</Shortcode><Ordinal>3</Ordinal><Description>Verifique se o cabeçalho Access-Control-Allow-Origin de compartilhamento de recursos de origem cruzada (CORS) usa uma lista de permissão estrita de domínios e subdomínios confiáveis para correspondência e não oferece suporte à origem "nula".</Description><L1><Required>True</Required><Requirement>✓</Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>346</item></CWE><NIST></NIST></item><item><Shortcode>V14.5.4</Shortcode><Ordinal>4</Ordinal><Description>Verifique se os cabeçalhos HTTP adicionados por um proxy confiável ou dispositivos SSO, como um token de portador, são autenticados pela aplicação.</Description><L1><Required>False</Required><Requirement></Requirement></L1><L2><Required>True</Required><Requirement>✓</Requirement></L2><L3><Required>True</Required><Requirement>✓</Requirement></L3><CWE><item>306</item></CWE><NIST></NIST></item></Items></item></Items></item></Requirements></root>