...
Deben contar con controles que previenen ataques de fuerza bruta o de bloqueo de cuentas como CAPTCHA o limitación de velocidad.
Debe de contar con store procedures u otros mecanismos protegidos contra inyecciones de código para las consultas a bases de datos.
Debe de contar con mecanimos para prevenir inyecciones de código malicioso en plataformas, servidores web, servidores de aplicaciones y bases de datos.
Protección de datos
Implementar mecanismos de enmascaramiento o anonimización si es necesario usar datos reales (interno, restringidos o confidenciales) en un ambiente no productivo.
Evitar el almacenamiento en cachés de aplicaciones o balanceadores de carga, datos confidenciales y restringidos.
Configurar una política de "limpieza" cuando se almacenan datos temporales en caché por un periodo para evitar su exposición.
...