Privacidade e Segurança

Visão Geral de Segurança

Última atualização: 18 de outubro de 2023

Esse documento é direcionado aos clientes que possuam contrato de licenciamento de uso da plataforma tecnológica Solução 360, em todas as suas versões e planos, exclusivamente hospedados na nuvem (licenciamento Cloud / SaaS).

Esse relatório não se aplica a:

  1. Produtos instalados em ambientes on-premises, usando infraestrutura própria do cliente;

  2. Produto Solução Integradora e versões anteriores;

Se você tem dúvidas qual a versão de seu software e se essas condições se aplicam, entre em contato conosco pelo tatiane@devexsolucoes.com.br.

Atualização de software

Como prática e requisito inicial básico de segurança, é fundamental sempre mantermos a versão de seu produto a mais atualizada possível. As versões mais atuais possuem patches e recursos de segurança para ameaças mais atuais.

A Devex realiza a atualização automaticamente, em horário não comercial, e o cliente recebe um comunicado antes com o dia e o horário que a atualização irá ocorrer.

Segurança de software

A segurança de software refere-se à proteção do próprio software contra vulnerabilidades e ameaças, como vírus, malware e ataques cibernéticos.

Processo de desenvolvimento seguro (SDL)

Ciclo de Vida do Desenvolvimento Seguro, ou SDL (do inglês Security Development Lifecycle), é um processo que consiste na inserção de várias atividades e produtos relacionados a segurança na fase de desenvolvimento de software, como modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados e revisão final de segurança, minimizando o surgimento de vulnerabilidades.

O processo de desenvolvimento ainda considera a execução de testes periódicos realizados para avaliar e garantir que as aplicações atendem aos padrões de segurança bem como testes contínuos de análise de vulnerabilidade.

Treinamento de segurança

Os membros da equipe de desenvolvimento de produtos da Devex realizam treinamento apropriado e periódico para se manterem informados sobre os fundamentos básicos de segurança e sobre as tendências de segurança e de privacidade. Os treinamentos incluem Design de Segurança, Modelagem de Ameaças, Segurança da codificação , Testes de segurança e Privacidade.

Requisitos

A análise de requisitos de segurança e de privacidade é realizada no primeiro esboço da especificação de nova funcionalidade de produto ou modificação de funcionalidade existente, e inclui a especificação dos requisitos de segurança mínimos. As SRAS (Avaliações de riscos de segurança) e as PRAS (Avaliações de riscos de privacidade) são processos obrigatórios que identificam os aspectos funcionais do software que requerem uma análise profunda.

Design

As atividades de Design incluem a criação das especificações de design de segurança e de privacidade, a revisão da especificação e a especificação dos requisitos de design criptográficos mínimos. As especificações de design descrevem os recursos de segurança e de privacidade que serão expostos diretamente para o usuário, tais como aqueles que requerem a autenticação do usuário para acessar dados específicos ou conteúdos do usuário antes do uso de um recurso de privacidade de alto risco. A modelagem de ameaças é realizada em ambientes onde há um risco de segurança significativo.

Implementação

As equipes de produto utilizam lista de ferramentas aprovadas e suas verificações de segurança associadas, como as opções e os avisos de compilador/vinculador. As equipes de produto realizam análises estáticas periódicas de código-fonte. A análise estática do código-fonte fornece uma capacidade escalável de revisão de código de segurança e ajuda a assegurar que as políticas de codificação seguras estejam sendo seguidas. Além da análise estática, todos os códigos fontes passam por análise de code review manual por membros especialistas de produtos.

Revisão de Código

Todo o código desenvolvido passa por revisão manual identificando quaisquer possíveis impactos de padrões de código, performance e riscos de segurança.

Teste Estático de Segurança do Aplicativo (SAST)

Todo o código desenvolvido passa por testes automatizados de validação estática da aplicação (SAST - Static application security testing). Esse tipo de teste permite identificar vulnerabilidades complexas na fase de desenvolvimento, analisando o código-fonte. Com isso, garante que as mesmas são corrigidas antes de serem publicadas, mantendo o nível de segurança do desenvolvimento.

Verificação

A verificação inclui diversas atividades relacionadas a garantir que o software desenvolvido se comporta conforme o planejado e conforme padrões de segurança exigidos e especificados. As atividades de verificação incluem QA - Quality Assurance de software, englobando testes automatizados unitários, de integração, de carga e de segurança, além de testes manuais por equipe especializada. Os ambientes de teste e staging são separados de maneira lógica e física dos ambientes de produção, e nenhum dado de clientes é utilizado nesses ambientes e nas etapas de verificação.

Liberação

A etapa de Liberação inclui montagem de plano de resposta de possíveis incidentes pós-liberação, incluindo plano de rollback emergencial, se necessário. Testes funcionais e de segurança finais são executados. O release final é gerado através de ferramenta de Compilação Contínua, e o plano de rollout para ambientes produtivos é estabelecido.

Teste Dinâmico de Segurança do Aplicativo (DAST)

É um teste automatizado que é executado na aplicação publicada. Esse teste automatizado valida diversos aspectos de segurança considerando as boas práticas de mercado.

Tratamento de vulnerabilidades de software

O processo de desenvolvimento de software utilizado pela Devex em seus produtos leva em consideração padrões e boas práticas de segurança das aplicações.

Utilizamos ferramentas nativas do framework de programação e bibliotecas externas para mitigar e eliminar riscos de segurança dos produtos. Dentre os riscos mitigados estão os apontados pela Open Web Application Security Project® (OWASP) como:

  • Broken Access Control

  • Cryptographic Failures

  • Injection

  • Insecure Design

  • Security Misconfiguration

  • Vulnerable and Outdated Components

  • Identification and Authentication Failures

  • Software and Data Integrity Failures

  • Security Logging and Monitoring Failures

  • Server-Side Request Forgery (SSRF)

Autenticação

A autenticação é sobre como validar credenciais, como nome de usuário / ID de usuário e senha para verificar a identidade da pessoa ou sistema externo que deseja acessar os produtos da Devex.

Transmissão segura

Todos os processos de transmissão de credenciais são criptografados utilizando padrão de mercado HTTPS.

Tipos de autenticação

Os produtos da Devex suportam autenticação interna da aplicação e SSO com login autenticado junto aos provedores Google e Microsoft 365.

Armazenamento de senhas

A Devex utiliza as melhores práticas de segurança, nunca armazenando senhas de usuários, seja criptografadas ou não.

Algoritmo lento

Os produtos da Devex utilizam um algoritmo propositadamente lento para a autenticação de usuários, inviabilizando ataques de brute force.

Políticas de gestão de senhas

No caso de utilização do provedor de autenticação interna, a senha mínima requerida contém um número mínimo de caracteres e números. Nesse cenário, também, o cliente pode definir políticas diversas de gestão de senhas, tais como:

  • Idade máxima da senha, a partir da qual será necessário definir uma nova senha;

  • Bloqueio de utilização de partes do nome ou login do usuário na senha.

Acesso a senhas

No caso de utilização do provedor de autenticação interna, nenhum outro usuário, nem mesmo superadministrador da ferramenta, tem acesso ou pode definir senha para um usuário. Somente o próprio usuário tem acesso a definição de sua senha.

Bloqueio de contas

No caso de utilização do provedor de autenticação interna, tentativas sequenciais e inválidas de acesso ao sistema irão bloquear a conta do usuário temporariamente.

Bloqueio de acesso via LDAP ou SSO

No caso de utilização de provedor Active Directory / LDAP ou SSO / Google / Microsoft, no momento do bloqueio ou inativação do usuário no provedor de autenticação seu acesso é automaticamente bloqueado no produto Solução 360.

Autenticação de APIs

Todas as conexões com APIs do sistema precisam ser autenticadas, utilizando padrão de indústria. ‍

Cookies de Autenticação

Os cookies de autenticação das aplicações são configurados com parâmetros de acesso seguro, com as flags "secure" e "httponly" ativadas. Assim eles podem ser trafegados apenas em conexões seguras, com https, e não pode ser acessados via javascript.

Autorização

A autorização é o processo para determinar se o usuário autenticado tem acesso a recursos específicos do software.

Grupos de manutenção

O acesso a funções e módulos específicos do sistema é definido pela alocação de grupos de manutenção a usuários. Os grupos de manutenção possuem granularidade de operações dentro de um determinado módulo.

Permissões de conteúdo

Além do permissionamento de acesso a módulo, podem existir diversos níveis de personalização de permissões de acesso a informações dentro de um mesmo módulo. Por exemplo, mesmo que dois usuários tenham acesso a uma mesma biblioteca de documentos, permissões personalizadas granularizadas podem fazer com que tenham acesso a um rol de documentos diferentes.

Autorização de APIs

Todas as requisições a APIs do sistema passam pelos mesmos critérios de autorização de operações realizadas a nível de interface da aplicação.

Auditoria

A auditoria permite rastrear o histórico de operações realizadas pelos usuários autenticados em um dado registro.

Trilha de auditoria

Os produtos da Devex possuem trilha de auditoria que inclui identificação de data, hora, nome do usuário, endereço IP, identificadores do dispositivo utilizado e apontamento para o registro criado, modificado ou excluído.

Segurança de infraestrutura

A segurança de infraestrutura se concentra na proteção dos componentes físicos e lógicos da infraestrutura de tecnologia da informação, como servidores, redes e sistemas de armazenamento, contra ameaças físicas, como roubo, vandalismo e desastres naturais, e ameaças cibernéticas, como ataques a redes, configurações ou softwares de apoio a aplicação.

Data centers

Os servidores da Devex estão atualmente hospedados nos data centers da plataforma Microsoft Azure, uma das maiores fornecedoras de serviços em nuvem no mundo.

Atualmente utilizamos duas regiões do Microsoft Azure:

Sul do Brasil

Estado de São Paulo, Brasil

Todos os ambientes e dados de clientes e parceiros.

Leste dos Estados Unidos

Estado de Virginia, EUA

Replicação de backups de todos os clientes e parceiros.

Esses datacenters geograficamente dispersos estão em conformidade com os principais padrões do setor, como ISO/IEC 27001:2013 e o NIST SP 800-53, em relação a segurança e confiabilidade.

Os datacenters são gerenciados, monitorados e administrados pela equipe de operações da Microsoft. A equipe de operações tem vários anos de experiência no fornecimento dos maiores serviços online do mundo, com a continuidade 24 horas por dia, 7 dias por semana.

A plataforma Microsoft Azure passa por avaliações recorrentes para garantir a conformidade de acordo com os padrões do setor.

Para conferir todas as conformidades, clique aqui.

Redes

Além dos cuidados tomados pela Devex, também contamos com a segurança que a plataforma Microsoft Azure incorpora em sua infraestrutura. Clique aqui para saber mais.

Proteção de Rede\Firewall de borda

A infraestrutura e o gerenciamento de todos os firewalls são fornecidos por nosso provedor de serviços Microsoft Azure.

Por padrão, todo o acesso é negado e apenas portas e protocolos explicitamente permitidos são acessíveis com base nas necessidades do negócio. Cada sistema é atribuído a um grupo de segurança de firewall com base na função do sistema. Os grupos de segurança restringem o acesso às portas e protocolos necessários para a função específica de um sistema, a fim de mitigar o risco.

Além da proteção através do firewall, nossa infraestrutura utiliza o Azure Front Door que nos permite gerenciar todo o tráfego de entrada fornecendo maior disponibilidade, menor latência, maior escala e mais segurança.

Restrição de acesso por país através de Whitelist

A utilização de uma regra de whitelist baseada na localização geográfica permite que apenas usuários de países específicos acessem os serviços em nosso ambiente de nuvem. Ao restringir o acesso a um conjunto limitado de países, reduzimos significativamente o risco de ataques cibernéticos originados de regiões conhecidas por abrigar atividades maliciosas.

Testes de penetração e avaliações de vulnerabilidade

Os testes de segurança são terceirizados e realizado por uma empresa de consultoria de segurança independente e de boa reputação. As conclusões de cada avaliação são revisadas com os avaliadores, classificadas em relação ao risco e atribuídas à equipe responsável.

Também utilizamos o Microsoft Defender para Nuvem que oferece um conjunto de medidas e práticas de segurança projetadas para proteger aplicativos baseados em nuvem contra várias ameaças e vulnerabilidades cibernéticas.

Anti-DDoS

A infraestrutura de nosso provedor fornece proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos em uma rede virtual.

Certificado SSL

Todos nossos ambientes fazem uso de certificados SSL que é a abreviação de Secure Socket Layer, um padrão global em tecnologia de segurança. Através dele é estabelecido uma conexão criptografada entre o servidor web e o seu navegador para garantir que os dados sejam transmitidos de forma segura e sigilosa.

Anti-malware

A infraestrutura do nosso provedor utiliza o Microsoft Antimalware que tem como objetivo bloquear qualquer ameaça virtual e fornece:

  • Proteção em tempo real - monitora a atividade em Serviços de Nuvem e em máquinas virtuais para detectar e bloquear a execução de malware.

  • Verificação agendada - Faz a verificação periodicamente para detectar malware, incluindo programas ativamente em execução.

Monitoramento 24x7

O monitoramento é automatizado para garantir que todos os serviços essenciais estejam em pleno funcionamento. Caso seja identificado qualquer instabilidade ou paralisação de algum destes serviços, uma equipe de profissionais será alertada imediatamente.

VPN Site to Site

VPN é a sigla para Virtual Private Network, tendo a função de garantir o tráfego de dados de forma segura e sigilosa entre dois pontos. Esta ponte virtual une redes em vários locais, para conectá-las através da Internet, e manter uma comunicação segura e privada entre essas redes. É um serviço opcional, contratado a parte.

Backups

Os backups são realizados diariamente, retidos por 7 dias, armazenados no Sul do Brasil e replicados para Leste dos Estados Unidos.

São realizados backups de servidores, storages de arquivos, serviços e bancos de dados (individual para cada cliente e/ou parceiro).

Criptografia e autenticação

Criptografia em transferência

Toda a comunicação interna e externa é realizada por meio de uma conexão segura com TLS 1.2 ou TLS 1.3.

Criptografia em transferência - E-mails

Todos os emails são enviados pela Sendgrid por meio de uma conexão TLS segura.

Criptografia em backup

Os backups são criptografados por meio do algoritmo AES-256.

Criptografia em cofre de senhas

O cofre de senhas utilizado é o Azure Key Vault que usa criptografia de chave assimétrica RSA de 2048 bits ou 3072 bits para proteger as chaves criptográficas usadas pelas aplicações e serviços em nuvem do Azure.

Além disso, o Azure Key Vault usa padrões de segurança avançados, como HSMs (Hardware Security Modules) certificados pelo FIPS 140-2 Nível 2 ou 3, para proteger as chaves criptográficas armazenadas.

Disponibilidade e continuidade

Redundância

Nossos serviços ficam disponíveis em 3 zonas de disponibilidade diferentes, cada zona é um datacenter físico da Microsoft e estão localizadas na região Sul do Brasil.

Na possibilidade de uma zona ficar indisponível, nossos serviços automaticamente são redirecionados para outra disponível.

Escalabilidade

Quando necessário nossos serviços são escalonados de forma automatizada conforme a demanda aumenta.

Recuperação de desastres

O objetivo da Recuperação de Desastres é minimizar o tempo de inatividade de um serviço causado por circunstâncias emergenciais, que venham inviabilizar o funcionamento dos sistemas e/ou hardwares que sustentam uma aplicação Cloud.

De forma geral, a solução de Recuperação de Desastres mantém replicada toda a infraestrutura digital (tais como softwares, aplicações, dados), em data centers diferentes com uma distância segura entre eles. Essa distância física é proposital, de modo a mitigar problemas em hardware, catástrofes naturais, ou problemas que afetem uma determinada região (como falta de energia, de conexão) ou mesmo por consequência de ataque de hackers.

Recuperação de Desastres depende de um Plano – Disaster Recovery Plan – que deve ser elaborado caso a caso para atender às exigências específicas, como por exemplo: garantir replicação em pouquíssimos segundos de RPO (Recovery Point Objective).

*Serviço opcional e contratado à parte.

Separação física e lógica

Os produtos Devex são baseados em uma arquitetura multitenancy. Dispomos de um pool compartilhado de aplicações que operam através de regras lógicas ambientes de diferentes clientes, garantindo escalabilidade e eficiência.

Os dados armazenados em banco de dados, entretanto, são separados fisicamente. Cada cliente possui um database diferente e separado.

Os dados armazenados em storage também são separados fisicamente, através de containers e chaves de criptografia diferentes.

* Existem opções de ambientes dedicados onde a infraestrutura do cliente é exclusiva. Serviço opcional e contratado à parte.

Gestão de vulnerabilidades

Valorizamos a segurança dos produtos e da infraestrutura. Realizamos testes e validações internas periodicamente no sentido de manter um alto padrão de segurança. Também são realizadas auditorias de segurança externas para essa finalidade.

Procedimento de segurança

Em caso de serem reportadas vulnerabilidades e estas forem confirmadas como originadas nos softwares ou em nossa infraestrutura então as mesmas passam pelas seguintes etapas.

1. Recebimento e análise das evidências: nesta etapa são recebidos os relatórios de vulnerabilidade, as pré-classificações das mesmas, o procedimento necessário para reproduzir ou confirmar a vulnerabilidade em ambiente controlado;

2. Avaliação das evidências da vulnerabilidade reportada: são avaliadas as evidências da vulnerabilidade de forma a confirmar se as mesmas podem ser reproduzidas em ambiente controlado;

3. Avaliação de risco da vulnerabilidade: com base nas etapas anteriores são avaliados os possíveis riscos da vulnerabilidade, o nível de criticidade e a avaliação do potencial de exploração;

4. Priorização da resolução da vulnerabilidade: a remediação da vulnerabilidade é priorizada conforme critérios da etapa anterior;

5. Planejamento da correção: uma estratégia detalhada será desenvolvida para abordar a vulnerabilidade. Esta fase incluirá a criação de procedimentos de backup e medidas de recuperação para garantir que a correção seja aplicada com o mínimo de interrupção;

6. Disponibilização e aplicação da correção: produto é disponibilizado com a vulnerabilidade remediada. A correção será então implementada no ambiente de produção. Os nossos especialistas irão monitorar ativamente a implementação para garantir que a correção seja aplicada corretamente e sem problemas adicionais.

Priorização e remediação

A priorização e remediação será feita conforme informações abaixo.

Crítica

Prazo de remediação em até 5 dias corridos

A Devex, com apoio da equipe técnica do cliente (quando necessário), irá buscar reproduzir a vulnerabilidade em ambiente interno e então buscar identificar a origem do problema e ajustar seu funcionamento com a solução definitiva ou com condições de contorno viáveis. Caso não seja encontrada uma solução de contorno viável e será necessário a correção estiver associada aos nossos produtos, será gerado um novo pacote para instalação/atualização e será disponibilizado para a equipe técnica do cliente. A correção poderá fazer parte de um release hotfix, isto é, baseado na versão atualmente em uso pelo cliente caso ainda não exista correção em uma versão mais atual. No caso de ambientes com licenciamento cloud, será de responsabilidade da Devex realizar a atualização do ambiente ou realizar ajustes na infraestrutura caso necessário para tratativa de uma vulnerabilidade.

Alta

Prazo de remediação em até 15 dias corridos

Idem a "Crítica"

Média

Prazo de remediação em até 30 dias corridos

A Devex, com apoio da equipe técnica do cliente (quando necessário), irá buscar reproduzir a vulnerabilidade em ambiente interno e então buscar identificar a origem do problema e ajustar seu funcionamento com a solução definitiva ou com condições de contorno viáveis. Caso não seja encontrada uma solução de contorno viável e será necessário a correção estiver associada aos nossos produtos, será gerado um novo pacote para instalação/atualização e será disponibilizado para a equipe técnica do cliente. A correção fará parte de um pacote de atualização de versão mais recente. No caso de ambientes com licenciamento cloud, será de responsabilidade da Devex realizar a atualização do ambiente ou realizar ajustes na infraestrutura caso necessário para tratativa de uma vulnerabilidade.

Baixa

Prazo de remediação não estabelecido

A Devex, com apoio da equipe técnica do cliente (quando necessário), irá buscar reproduzir a vulnerabilidade em ambiente interno e então buscar identificar a origem do problema e reestabelecer seu funcionamento com a solução definitiva ou com condições de contorno viáveis. Caso não seja encontrada uma solução de contorno viável e seja necessário a correção no produto, o item será adicionado no backlog de evolução do produto, não havendo prazo pré-determinado para sua correção.

Informacional

Prazo de remediação não estabelecido

A Devex, com apoio da equipe técnica do cliente (quando necessário), irá buscar reproduzir a vulnerabilidade em ambiente interno e então buscar identificar a origem da mesma e adicionar o ajuste no backlog de evolução do produto, não havendo prazo pré-determinado para sua correção.

A Devex reserva-se o direito de não divulgar o conteúdo de correções de segurança disponibilizados e não informar detalhes da correção realizada nem de como explorar vulnerabilidades, de modo a preservar a segurança dos dados de seus clientes.

Last updated