El CISO de mi empresa actualmente está ausente y, como gerente de TI, se me ha pedido que envíe algunas preguntas de seguridad a una empresa que espera implementar una base de datos SQL para administrar salarios, pedidos, etc.
Tengo muy poca experiencia con respecto a SQL, he incluido mi lista de 9 preguntas a continuación, ¿me he perdido alguna pregunta obvia?
¿Cómo protege su solución contra los ataques de inyección de SQL? Su aplicación tiene una amplia funcionalidad, ¿utiliza declaraciones preparadas, validación de entrada, etc.?
¿Cómo protege su producto los nombres de usuario y las contraseñas para acceder a la base de datos? ¿Están las contraseñas con hash y con sal, si es así, qué funciones de hash y mecanismos de salado utilizas? Además, si se usan sales, ¿se usan valores de sal diferentes para cada contraseña individual?
¿Se prueba regularmente su solución con pruebas de penetración? De ser así, ¿con qué frecuencia y por favor, proporcionaría el nombre de la empresa que realizó las pruebas? Además, si tenemos una prueba de penetración independiente, esto infringirá los Términos de uso, es decir, ¿todavía estamos cubiertos para recibir su apoyo y servicios completos?
Con respecto a las copias de seguridad, mencionó que éstas pueden implementarse para copias de seguridad automáticas, puede el cifrado de las copias de seguridad también a través de su producto o esto se hace manualmente?
Noté que está utilizando SQL Server versión 2014, ¿es posible que esto se migre a una versión más nueva?
Usted mencionó sobre el cambio de costos para cada base de datos si el flujo de trabajo es diferente, al respecto, si quisiéramos comenzar a usar su solución solo en un entorno LAN (sin acceso remoto) y desea incluir el acceso remoto en una fecha posterior ¿Nos costaría más esto? Me imagino que esto es simplemente un caso de abrir un puerto en el servidor.
Usted mencionó que puede implementar el acceso VPN al servidor SQL. ¿Qué protocolos VPN admite su aplicación? L2TP, IPsec, etc.?
¿Hay alguna capacidad de registro incluida? ¿Puede el administrador ver qué usuario inició sesión, qué acciones se tomaron y desde qué dirección IP o proporciona un sistema de detección de intrusos para hacer esto?