Toepassingsbeveiligingseisen MOETEN het volgende omvatten, al naargelang de situatie:
het niveau van vertrouwen in de identiteit van entiteiten (bijv. via authenticatie);
het identificeren van het door de toepassing te verwerken soort informatie en het classificatieniveau ervan;
de noodzaak van segmentatie van toegang en het niveau van toegang tot gegevens en functies in de toepassing;
weerstand tegen kwaadaardige aanvallen of onbedoelde verstoringen (bijv. bescherming tegen bufferoverflow of SQL-injecties];
wettelijke, statutaire en regelgevende eisen in het rechtsgebied waar de transactie wordt gegenereerd, verwerkt, voltooid of opgeslagen;
de noodzaak van privacy met betrekking tot alle betrokken partijen;
de eisen ten aanzien van bescherming van vertrouwelijke informatie;
bescherming van gegevens tijdens de verwerking, tijdens het transport en in rust;
de noodzaak om communicatie tussen alle betrokken partijen op beveiligde wijze te versleutelen;
inputbeheersmaatregelen, waaronder integriteitscontroles en validatie van de invoer;
geautomatiseerde beheersmaatregelen (bijv. goedkeuringslimieten of dubbele goedkeuring);
outputbeheersmaatregelen, waarbij ook wordt nagedacht over wie er toegang kan hebben tot output en de autorisatie ervoor;
beperkingen met betrekking tot de inhoud van vrije tekst-velden aangezien deze kunnen leiden tot ongecontroleerde opslag van vertrouwelijke gegevens (bijv. persoonsgegevens);
eisen die zijn afgeleid van het bedrijfsproces, zoals registreren en monitoren van transacties, eisen voor onweerlegbaarheid;
eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot beveiliging (bijv. interfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
het afhandelen van foutmeldingen.
