Devs.lv
Atpakaļ uz blogu
Drošība10 min lasīšana

Web aplikāciju drošība un GDPR: ko katram uzņēmumam jāzina 2025. gadā

Praktisks ceļvedis web aplikāciju aizsardzībai — no OWASP Top 10 līdz GDPR atbilstībai, ar konkrētiem soļiem un rīkiem.

Web aplikāciju drošība un GDPR: ko katram uzņēmumam jāzina 2025. gadā

Drošība nav opcija — tā ir prasība

2024. gadā Eiropā reģistrēti 1,200+ nozīmīgi datu pārkāpumi ar kopējiem GDPR sodiem virs €2 miljardu. Latvijā DVI (Datu valsts inspekcija) arvien aktīvāk uzrauga uzņēmumus. Web aplikāciju drošība vairs nav tikai IT nodaļas atbildība — tā ir biznesa risks.

Devs.lv veic drošības auditus un GDPR atbilstības novērtējumus jau 8+ gadus. Šajā rakstā dalāmies ar praktisku ceļvedi, ko var ieviest jebkurš uzņēmums.

OWASP Top 10 — biežākie draudi

1. Injekcijas (SQL, XSS, LDAP)

Joprojām #1 ievainojamība pasaulē. Risinājums ir vienkāršs, bet prasa disciplīnu:

  • Parametrizēti vaicājumi — nekad nelietojiet string concatenation SQL vaicājumos
  • ORM izmantošana — Prisma, TypeORM, Sequelize automātiski aizsargā pret SQL injekcijām
  • Content Security Policy — CSP headers bloķē XSS uzbrukumus, pat ja kods ir ievainojams
  • Input validācija — validējiet VISUS ievades datus serverī (ne tikai klientā)

2. Autentifikācijas kļūdas

Vājas paroles, nav MFA, sesiju pārvaldības problēmas — klasika:

  • MFA obligāts — vismaz admin lietotājiem, ideālā gadījumā visiem
  • Paroļu politika — minimums 12 simboli, paroles pārbaudīšana pret haveibeenpwned datubāzi
  • Sesiju ierobežojumi — automātiska sesijas izbeigšana pēc neaktivitātes, drošas cookie (HttpOnly, Secure, SameSite)
  • Rate limiting — bloķējiet brute-force mēģinājumus (max 5 mēģinājumi, tad bloķēšana)

3. Sensitīvu datu ekspozīcija

API atbildes, kas atgriež vairāk datu nekā nepieciešams. Žurnāli ar personīgiem datiem. Nešifrētas datubāzes.

  • API response filtrēšana — atgrieziet tikai nepieciešamos laukus (ne visu datubāzes rindu)
  • Šifrēšana — TLS 1.3 transportam, AES-256 sensitīviem datiem miera stāvoklī
  • Žurnālu sanitizācija — nekad nelogojiet paroles, API atslēgas, personas kodus

GDPR atbilstība — praktiskie soļi

Piekrišanas pārvaldība

Katrai web aplikācijai nepieciešams:

  • Cookie banner ar granulāru piekrišanu (ne tikai "Piekrītu visam")
  • Consent Mode v2 — Google prasība no 2024. gada marta. Ietekmē GA4, Google Ads
  • Piekrišanas žurnāls — saglabājiet, kad un kam lietotājs piekrita. DVI var pieprasīt pierādījumus.

Datu apstrādes reģistrs

GDPR 30. pants pieprasa dokumentēt:

  • Kādus personas datus vācat un kāpēc
  • Kur dati tiek glabāti (ES vai ārpus ES)
  • Cik ilgi datus glabājat
  • Kas tiem var piekļūt

Tiesības uz dzēšanu

Lietotājam ir tiesības pieprasīt savu datu dzēšanu. Jūsu sistēmai jāspēj:

  • Identificēt visus lietotāja datus visās sistēmās (datubāze, žurnāli, backupi, trešo pušu servisi)
  • Dzēst vai anonimizēt datus 30 dienu laikā
  • Apstiprināt dzēšanu lietotājam

Drošības headers — ātrā uzvara

Šie HTTP headers aizsargā pret vairuma izplatītāko uzbrukumu veidiem. Ieviešana aizņem 30 minūtes:

  • Content-Security-Policy — bloķē XSS un datu injekcijas
  • Strict-Transport-Security — piespiež HTTPS (HSTS)
  • X-Frame-Options: DENY — aizsargā pret clickjacking
  • X-Content-Type-Options: nosniff — novērš MIME type sniffing
  • Referrer-Policy: strict-origin-when-cross-origin — ierobežo referrer informāciju
  • Permissions-Policy — bloķē nevajadzīgas pārlūka API (kamera, mikrofons, ģeolokācija)

Devs.lv piemērs: mūsu Next.js projektos visi šie headers tiek iestatīti middleware līmenī, automātiski piemērojot katram pieprasījumam.

Regulāri drošības auditi

Drošība nav vienreizēja darbība. Ieteicamais cikls:

  • Katru nedēļu: automatizēta dependenču skenēšana (npm audit, Snyk, Dependabot)
  • Katru mēnesi: OWASP ZAP vai Burp Suite skenēšana
  • Katru ceturksni: manuāls penetrācijas tests (iekšējs vai ārējs)
  • Katru gadu: pilns drošības audits ar GDPR atbilstības pārbaudi

Incidentu reaģēšanas plāns

GDPR pieprasa paziņot DVI par datu pārkāpumu 72 stundu laikā. Jums jābūt gataviem:

  • Kontaktpersona — kas zvana DVI un klientiem?
  • Izmeklēšanas process — kā identificējat pārkāpuma apjomu?
  • Komunikācijas plāns — sagatavoti teksti klientiem un presei
  • Tehniskā reaģēšana — kā izolējat un novēršat problēmu?

Secinājums

Web drošība un GDPR atbilstība nav sarežģīta — tā prasa sistēmisku pieeju un regulāru uzturēšanu. Sāciet ar drošības headers un OWASP Top 10, tad virzieties uz GDPR dokumentāciju un regulāriem auditiem.

Vajag drošības auditu? Devs.lv piedāvā web aplikāciju drošības auditu, kas ietver OWASP testēšanu, GDPR atbilstības novērtējumu un konkrētu rekomendāciju plānu. Rezultāts 5 darba dienu laikā.

Citi raksti

AI

On-Premise AI pret mākoņa risinājumiem: kuru izvēlēties?

Salīdzinām lokālo GPU infrastruktūru ar mākoņa AI pakalpojumiem — izmaksas, drošība, veiktspēja un kad katrs risinājums ir labākā izvēle.

E-komercija

Magento migrācija uz headless arhitektūru: soli pa solim

Praktiska rokasgrāmata Magento veikala pārveidošanai par mūsdienīgu headless e-komercijas platformu ar React frontend.

Vajag palīdzību ar savu projektu?

Sazinies ar mums — palīdzēsim realizēt jūsu idejas.

Sazināties