FAQ - Segurança SeniorX

Sim, são suportados os seguintes tipos de autenticação: nativo (G7/G5), LDAP e SAML. Saiba mais.

É possível utilizar a autenticação duplo fator com o Google Authenticator. Saiba mais.

Sim, a política de senha pode ser configurada para autenticação nativa. Para autenticar através de SAML ou LDAP, a política deve ser configurada no provedor de identidade. Saiba mais.

Sim, o usuário pode definir as faixas de IPs que poderão acessar seu tenant. Saiba mais.

Sim, as permissões são organizadas em domínios, serviços e recursos que possuem ações. Assim, os papéis recebem um conjunto de permissões e os usuários são relacionados a esses papéis. Saiba mais.

Sim.

Sim, todos os bancos de dados que compõem hoje a solução SeniorX possuem o recurso de criptografia habilitado, o algoritmo de criptografia é o AES-256.

Sim, toda transferência de dados entre os usuários e a plataforma é realizada através de protocolos seguros como HTTPS (TLS).

A versão mínima suportada é TLS 1.2.

Está hospedada na nuvem da AWS, com os principais serviços na região de São Paulo (sa-east-1).

Não, pois o banco de dados é privado e não há nenhuma forma de acessar via Internet ou VPN.

Não, não é permitido estabelecer conexões VPN com a plataforma SeniorX. O uso de VPN, caracteriza uma falha de segurança, onde teremos um túnel aberto entre as partes e caso uma das duas pontas sofra um ataque cibernético, poderá afetar a outra ponta, ocasionando um incidente de segurança.

Sim, o ambiente é protegido por um WAF, o qual é atualizado constantemente.

Sim, o cliente pode configurar o seu servidor SMTP para envio dos emails da SeniorX, assim poderá autonomia sobre o tráfego do seu SMTP. A SeniorX também fornece um servidor SMTP padrão para uso exclusivo da SeniorX, onde são aplicadas algumas restrições como quantidade de emails enviados por dia.

Sim, o monitoramento é no modelo 24x7 e o cliente consegue verificar a disponibilidade através da página de status: status.senior.com.br.

O plano de recuperação de desastres é validado semestralmente.

Sim. Possuímos diagrama de arquitetura básico em dev.senior.com.br/plataforma.

Sim. Os release notes são publicados juntamente com a documentação do produto de forma online. Por exemplo, release notes HCM.

O DAST é realizado com a aplicação já rodando na nuvem. Trata-se de um scan dinâmico que simula tentativas de invasão explorando vulnerabilidades a nível de aplicação. Desta forma, caso alguma vulnerabilidade não tenha sido identificada no processo de SAST, o DAST fornece mais uma camada de proteção no processo de proteção das aplicações.Os scans DAST são realizados a cada 15 dias, onde os resultados são analisados e as possíveis vulnerabilidades são encaminhadas para os times de desenvolvimento tratar.

Sim. Usamos o SonarQube em todos os projetos do SeniorX.

Sim. Os projetos na Senior usam a ferramenta de atualização automática Renovate. Exemplos de atualização: