Audyt IT

Audyt systemu do generowania wyciągów dla jednego z Banków
W ramach projektu doradczego dla jednego z Banków w Polsce wykonaliśmy kompleksowy audyt jednego z systemów.
Nasi konsultanci kontrolowali projekt, który obejmował wdrożenie systemu, weryfikowali poprawność kodu źródłowego oraz dokumentacji, przygotowali raport podsumowujący zebrane informacje oraz zawierający rekomendację zmian.
 
Obszary analizy:

Aktualność i spójność danych przechowywanych w bazie danych, prezentowanych użytkownikom oraz wysyłanych do systemów zewnętrznych, w szczególności:

  • sprawdzenie istnienia oraz przestrzegania zasad i standardów dotyczących obsługi błędów oraz walidacji danych wprowadzanych przez użytkownika oraz przychodzących z systemów zewnętrznych,
  • weryfikacja istnienia oraz poprawności stosowania mechanizmów cachujących,
  • sprawdzenie poprawności obsługi transakcji.

Wydajność aplikacji – sprawdzenie czy architektura aplikacji oraz jej implementacja nie zawiera uchybień mogących negatywnie wpłynąć na wydajność aplikacji, w szczególności:

  • sprawdzenie użycia odpowiednich elementów architektonicznych zapewniających efektywną obsługę żądań użytkownika, takich jak zdefiniowana pula połączeń do bazy danych, cachowanie, kolejkowanie żądań,
  • weryfikacja poprawności podziału architektury na warstwy,
  • obsługa sesji użytkownika,
  • baza danych – konwencje w bazie danych i ich praktyczne zastosowanie, normalizacja.

Jakość kodu źródłowego obejmująca:

  • standardy kodowania – definicja oraz przestrzeganie (poprawność nazywania klas oraz zmiennych, formatowanie kodu, poprawność używania wyjątków),
  • sprawdzenie czy tworzone są testy jednostkowe, ich jakości (testowanie przypadków poprawnych, niepoprawnych i wartości brzegowych) oraz weryfikacja poziomu pokrycia kodu testami jednostkowymi,
  • weryfikacje istnienia i jakości komentarzy w kodzie źródłowym,
  • sprawdzenie raportowania oraz logowania operacji i błędów w działaniu aplikacji.

Bezpieczeństwo aplikacji – weryfikacja bezpieczeństwa aplikacji na podstawie analizy kodu oraz z użyciem narzędzi umożliwiających symulację ataków pod kątem następujących zagrożeń:

  • podatność na ataki SQL Injection oraz Cross-Site Scripting (XSS),
  • weryfikacja mechanizmu uwierzytelniania pod kątem podatności na przechwycenie hasła,
  • sprawdzenie czy zaimplementowane są mechanizmy zabezpieczające przez atakami Cross-Site Request Forgery (CSRF),
  • weryfikacja wprowadzenia odpowiednich mechanizmów zabezpieczeń dostępu do danych i funkcji systemu tzw. mechanizmów AAA (authentication, authorization and accounting).

Strona wykorzystuje pliki cookies w celu realizacji usług. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Nie pokazuj więcej tego komunikatu