De webserver bevat geen ontwikkeltools.

Standaard meegeleverde webcontent is verwijderd.

Er worden qualified certificaten gebruikt om het verkeer van HTTPS websites te versleutelen. 

Binnen de documentroot zijn geen world-writable, of door de webservergebruiker aan te passen bestanden aanwezig. 

De website wordt beheerd met behulp van een out-of-band of versleutelde netwerkverbinding.

Alleen admnistrators en contentmanagers hebben toegang tot de op de webadministratietool.

Alleen beheerders hebben toegang tot nog niet geinterpreteerde web-scripts (zoals .jsp, .php, .asp, .inc).

Bezoekers van de website hebben geen toegang tot configuratie en logbestanden.

Indien er gebruik wordt gemaakt van HTTPS, wordt enkel SSLv3 of TLS 1.0 ondersteund. De encryptiesleutel is minimaal 128bits sterk.

Overbodige HTTP-requestmethoden zijn uitgeschakeld.