O.Auth 2
Beschreibung
Die Web-Anwendung MUSS für die Anbindung an das Hintergrundsystem eine geeignete Authentifizierung und Autorisierung unterstützen. Die effektive Durchsetzung dieser Mechanismen MUSS im Falle der Web-Anwendung ausschließlich im Hintergrundsystem erfolgen. Insbesondere stellt der Autorisierungsmechanismus sicher, dass der authentifizierte Benutzer autorisiert ist auf die sensiblen Daten zuzugreifen.
Kurzfassung
Getrennte Realisierung von Authentifizierungsmechanismen und Autorisierungsfunktionen.
Anmerkungen
Prüftiefe
EXAMINE
Der Evaluator prüft und bewertet die getroffenen Maßnahmen zur Trennung von Autorisierungs- und Authentifizierungsmechanismen. Sollte keine Trennung der Mechanismen vorgenommen sein oder die getroffenen Maßnahmen nicht ausschließlich vom Hintergrundsystem durchgesetzt werden, sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.