OBS_015_NO_RAW_URLS_WITH_PII_IN_LOGS: Logs speichern keine rohen URLs mit PII

Severity: must. Bereich: observability-audit.

Regel

Access-, Application- und Audit-Logs DUERFEN keine rohen Request-URLs, Query-Strings oder Redirect-Ziele mit Email, Magic Code, Session-ID, Reset-Token oder anderen personenbezogenen Auth-Werten speichern. Query-Strings muessen vermieden, entfernt, maskiert oder gehasht werden, bevor sie persistent werden.

Reflection-Check

check:
  reflect:
    fields:
    - raw_url_logged
    - query_string_logged
    - query_redaction_policy
    - pii_detection
    objects:
    - log_event
    - http_log_policy

Evidence

alle Regeln dieses Bereichs