O princípio do privilégio mínimo estabelece que o acesso deve ser concedido apenas quando necessário, sendo recomendado adotar negação por padrão (deny by default).

O controle de acesso deve ser implementado apenas na camada de apresentação para evitar sobrecarga no servidor.

A criptografia de dados substitui mecanismos de controle de acesso.

Vulnerabilidades do tipo IDOR estão restritas a determinados tipos de banco de dados.

Requisitos de segurança não precisam ser incluídos na rastreabilidade de requisitos.