| Checklist de Cibersegurança
|
| 1 - IAM - Controle de acesso
|
Considerações para as respostas
|
| 1.1 - Autenticação multifator (MFA): Capacidade de autenticação multifator para proteger contas de usuário. |
Criptografia com chaves aleatórias, similar ao MFA, automática. |
| 1.2 - Funções e perfis: Capacidade de aplicar controles no fluxo de informações, bem como estabelecer funções e perfis e atribuir ou compartilhar privilégios específicos. |
Usuários e perfis de aplicação. |
| 1.3 - Single Sign-On (SSO): Integração de sistemas de perfis, acesso e identidade (por exemplo: Azure Active Directory).
|
Utilizamos o Keycloak na versão 2.0. A versão 1.x é opcional. |
| 1.4 - Política de senha: deve ter no mínimo 10 caracteres, incluindo letras maiúsculas e minúsculas, números e símbolos, com expiração a cada 45 dias e armazenamento seguro (criptografado). |
Ao utilizar o Keycloak, o critério pode ser programado ou simplesmente depender do AD ou de algum provedor de internet, como o SAML. |
| 1.5 - Sessão Segura: A solução permite gerenciar sessões de forma segura, seja por meio de cookies e/ou tokens, ou por algum outro mecanismo compensatório. |
Nós utilizamos tokens utilizando OpenID ou SAML (Authorization Bearer), com durações configuráveis através do Keycloak. Em relação ao armazenamento de dados pessoais, o CONNECT está em conformidade com a lei de proteção de dados. |
| 2 - Logs/Registros auditáveis
|
| 2.1 - A solução possui logs auditáveis onde é possível validar: o responsável, data, hora, início de sessão, endereço IP, atribuição de privilégios, modificação de configurações e atividades de administração. |
Log de monitoramento com opções de armazenamento banco de dados ou arquivos. |
| 3 - Encriptado
|
| 3.1 - A base de dados e/ou os arquivos de dados da solução possuem criptografia dos dados em repouso. |
Sempre utilizamos criptografia para o armazenamento de dados em arquivos JSON. As chaves podem ser adicionadas à configuração do Docker. Na versão atual, as chaves são fixas no desenvolvimento. |
| 3.2 - A solução permite a criptografia do canal de transmissão através do qual envia e recebe dados. |
TSL / HTTPS |
| 4 - Segurança (Networking e Código)
|
| 4.1 - A solução contempla arquitetura de N-Camadas, segmentando redes e servidores distintos para publicação de conteúdo, configuração de regras de negócio e armazenamento de dados. |
O acesso é realizado via HTTPS por meio de um proxy reverso (nginx) que acessa as aplicações em docker e utiliza portas que são expostas somente na mesma rede do docker, ou seja, sem exposição pública. Na instalação do Kubernetes é feita da mesma forma, utilizando toda uma infraestrutura EKS. O acesso é realizado somente pela aplicação com um usuário autenticado e autorizado. |
| 4.2 - Quais são os elementos de segurança perimetral contemplados na solução: WAF, IPS ou Firewall. |
Depende da infraestrutura a ser instalada. Se for uma instalação on-premise, depende principalmente do cliente. Se a instalação estiver na nuvem, contamos com as ferramentas da AWS. |
| 4.3 - Existem procedimentos de certificação de qualidade, segurança e precisão do trabalho realizado pelo fornecedor, que incluem auditorias, revisão de código para detectar códigos maliciosos, verificação do cumprimento dos requisitos de segurança de software estabelecidos, entre outros. |
Nosso desenvolvimento conta com um ciclo de DEVOPS. |
| 4.4 - A solução foi submetida a testes de Pentesting ou Ethical Hacking em todas as suas interfaces web |
As instalações no ambiente de nossos clientes sempre passam por rigorosos testes de segurança. Um exemplo que podemos mencionar foi o realizado pelo Banco do Nordeste (BNB), onde tivemos que melhorar e finalmente obtivemos aprovação. |
| 5 - Segurança da informação
|
| 5.1 - As instalações no ambiente de nossos clientes sempre passam por rigorosos testes de segurança. Um exemplo que podemos mencionar foi o realizado pelo Banco do Nordeste (BNB), onde tivemos que melhorar e finalmente obtivemos aprovação. |
Se estamos falando sobre a configuração na nuvem, temos balanceadores de carga em containers e na versão 2.0 temos Kubernetes. |
| 5.2 - O provedor deve garantir que os serviços oferecidos tenham mecanismos de isolamento para serem consumidos apenas pelo Cliente e medidas de mitigação para evitar o compartilhamento de recursos com outras empresas. |
Utilizamos TENANT para separar o ambiente de cada cliente da plataforma. |
English
Español
