Document toolboxDocument toolbox

MO-87, Controleren uniciteit uitgegeven codes en tokens

1. Probleemstelling

Door een security incident is duidelijk geworden dat de beschrijvingen in het afsprakenstelsel rondom autorisatie vragen opwekt. Uitgegeven codes en tokens moeten uniek zijn, maar dit wordt nergens goed getest.

2. Oplossingsrichtingen

  1. Controle tijdens de initiële pentest

  2. Controle tijdens audits

  3. Controle tijdens acceptatie

3. Gekozen oplossingsrichting

Vanuit pentests kan verwacht worden dat hierbij ook delen van de code worden gecontroleerd, is dit de meest logische plek in het totale proces. Daarom zal norm A.18.2.3 gewijzigd worden, waarbij een nieuwe eis aan de minimale set wordt toegevoegd. Dit geldt natuurlijk alleen voor de uitgevende partij en dus de DVA.