1.
Käyttöliittymät ja rajapinnat eriytetään käyttäjätyyppien tarpeiden perusteella
Käyttäjätyypit jaotellaan käyttötapaustensa mukaan, esimerkiksi seuraavasti:
- viranomaiset,
- kuluttajat/kansalaiset/asiakkaat,
- ylläpito,
- yritykset ja
- avoimen datan rajapinnat.
Käyttötapausten niin salliessa rajapinnat eriytetään siten, että käyttäjä ei saa samasta rajapinnasta erityyppisiä palveluita ainoastaan esimerkiksi todennetun käyttäjätyypin perusteella, vaan esimerkiksi rajapinnan osoite tai polku on erilainen ylläpito- ja loppukäyttäjätoiminnallisuudessa.
Käyttöliittymät rajataan toiminnallisesti sisältämään vain käyttäjäryhmän tarvitsema minimitoiminnallisuus. sekä pienin mahdollinen tietosisältö.
Esimerkki: Palvelu tarjoaa rajapintoja sekä kansalaisille että ylläpidolle. Koska palvelu on monoliittinen ja sitä ei olla jakamassa esimerkiksi mikropalveluihin, päätetään tarjota ylläpitotoiminnallisuudet ulkoisen rajapinnan tasolla "eri" rajapinnasta (esim. juuresta alkaen eri URI-polku), vaikka toteutus onkin samassa sovelluksessa. Tämä mahdollistaa rajapintojen helpomman valvonnan esimerkiksi lokijärjestelmissä tai web-sovelluspalomuureissa.
2.
Käyttövaltuudet hallitaan keskitetysti ja ne sovitetaan kulloiseenkin tarpeeseen
Käyttövaltuuksia hallitaan keskitetystä paikasta, jotta vältetään hajautetun valtuuksien hallinnan mahdolliset ristiriitaisuudet ja katvealueet. Käyttäjillä on käyttökokemukseen ja -tarpeeseen sovitetut käyttövaltuustasot ja tarvittaessa mahdollisuus vaihtaa niitä, jotta kaikkia toimintoja ei tarvitse tehdä aina korkeimmalla tasolla.
3.
Henkilötietojen käyttöön liittyvät tiedot ja valinnat tuodaan käyttäjille oikea-aikaisesti ja oikeassa viitekehyksessä
Henkilötietojen käsittelyyn, ja erityisesti henkilötietojen keräämiseen ja siirtoon, liittyvät tiedotteet ja luvat näytetään käyttäjille käyttökokemuksen perusteella parhaiten soveltuvassa tilanteessa ja ilmaisu on tehty käyttäjän ymmärrystaso huomioon ottaen. Henkilötietojen keräyksestä informoidaan asteittain tarkentuvalla tiedolla sen mukaan, kuinka tarkkoja tietoja käyttäjä tietojen käytöstä haluaa (nk. layered notice).
4.
Suostumuksen kysymisen käyttöliittymässä on oltava auditoitavissa
Käyttäjältä kysytyn henkilötietojen käsittelyyn liittyvän suostumuksen peruminen on oltava käyttäjälle yhtä helppoa kuin sen antaminen. Suostumuksen antamisesta ja perumisesta on jäätävä aikaleimattu lokimerkintä.
EU:n yleinen tietosuoja-asetus (GDPR)
7 artikla Suostumuksen edellytykset
5.
Käyttäjä saa tehdä tietoturvaan vaikuttavan päätöksen vain, jos se on tarpeellista
Käyttäjä saa tehdä tietoturvaan vaikuttavan päätöksen, kuten esimerkiksi poikkeustilanteen hyväksynnän, vain, jos käyttäjä voi todellisuudessa tuoda päätökseen lisätietoa, jota järjestelmällä itsellään ei ole. Käyttöliittymän on uskottavasti pystyttävä takaamaan, että käyttäjä ymmärtää päätöksensä seuraukset. Muussa tapauksessa järjestelmän tulee automaattisesti tehdä turvallinen päätös käyttäjän puolesta, eikä käyttäjä saa pystyä ohittamaan päätöstä.
6.
Rajapinnat toteutetaan kieliopiltaan mahdollisimman yksinkertaisiksi
Rajapintojen hyväksymien syötteiden kieliopin on oltava mahdollisimman yksinkertainen, jotta syötteen oikeellisuuden tarkastaminen on helppoa tai edes mahdollista.
7.
Käyttöliittymät ja rajapinnat hylkäävät väärät syötteet kokonaisuudessaan
Mikäli rajapintaan tulee väärä syöte, koko syöte hylätään mahdollisimman varhaisessa vaiheessa. Syötettä ei yritetä tulkita, mikäli se on osittainkin virheellinen.
8.
Käyttöliittymät ja rajapinnat piilottavat tietovarantojen sisäisen toiminnallisuuden
Tietovarantojen sisäiseen toiminnallisuuteen liittyvät asiat, kuten tietokantarivien järjestysnumerot tai palvelimen tiedostojärjestelmän nimet eivät ole näkyvissä rajapinnan tai käyttöliittymän läpi.
9.
Jokainen rajapinta vaatii todennuksen ja valtuutuksen riippumatta verkkoympäristöstä
Ennen kutsujalle annettavaa valtuutusta on varmistettava, että kyseisiä tietoja saa luovuttaa kyseiselle henkilölle tai organisaatiolle.
Jokaisen tarjottavan rajapinnan on todennettava kutsujan ja tarkistettava sen valtuutus. Rajapintoja ei saa avata edes luotettuun verkkoon niin, että kuka tahansa verkon alueelta pystyy kutsumaan rajapintaa tunnistautumatta.
Tästä ainoana poikkeuksena ovat tilanteet, joissa rajapintojen välillä on pisteestä toiseen toteutettu VPN-yhteys tai jos rajapinta on julkisen tiedon haku- tai monitorointirajapinta.
10.
Rajapinnoissa suositaan standardeja
Rajapintojen toteutuksissa suositaan protokollia ja tietojen esitys- ja siirtomuotoja, jotka ovat laajalti hyväksyttyjä ja käytössä.
Organisaation eri osissa standardoidaan ja yhtenäistetään samoihin tarkoituksiin tarkoitetut rajapinnat ja näiden toteutukset.
11.
Rajapintojen todennuksessa ja valtuutuksessa käytetään standardoituja protokollia ja algoritmeja
Todennus ja valtuutus perustuvat kryptografiaan. Kryptografisten protokollien ja algoritmien suunnittelu itse ei ole sallittua. Yleisesti hyväksyttyjen todennus- ja valtuutusprotokollien toteutus itse on sallittua, mutta niille on tehtävä tarkka suunnittelu- ja toteutuskatselmointi sekä testaus.
12.
Järjestelmien lähtevän sähköpostin asetukset ehkäisevät roskapostia ja tietojen kalastelua
Lähtevää sähköpostia varten on määritelty domain-pohjainen lähtevän sähköpostin todennus (DMARC), joka pyytää vastaanottajaa hylkäämään vialliset viestit.
Esimerkki: Organisaation domain-ylläpito määrittelee DKIM-, SPF- ja DMARC-tiedot ja tarjoaa sovelluskehittäjille tavan lähettää sähköpostia näiden alaisuudessa.