Pular para o conteúdo principal

Política de Segurança

Versão: Abril de 2021

Histórico do documento

DataDescriçãoAutorRevisores
Abril de 2021Diretrizes de desenvolvimento de Software em documento próprioRATSIBS
Março de 2021Revisão Política de FornecedoresDNSRAT, SIBS
Janeiro de 2021Primeira versãoRATRAT, SIBS

Objetivo

Este documento descreve a política de segurança que é adotada em toda a organização. Esta política se aplica à Colaboradores, Clientes, Usuários, Fornecedores, Sistemas, Infra-estrutura, Produtos e Serviços. Esta política tem como objetivo proteger os dados de todos os Stakeholders.

Princípios de segurança que nos norteiam:

1. SEGURANÇA NÃO É NEGOCIÁVEL.

2. ZELAR PELA SEGURANÇA É UM ATO CONTÍNUO. Cultura de segurança deve estar presente sempre que nos relacionamos com nossos Clientes, Usuários, Colaboradores e Fornecedores

3. SEGURANÇA DEVE ESTAR PRESENTE EM TODOS NOSSOS PRODUTOS E SERVIÇOS; Segurança deve compreender todo o ciclo de vida dos nossos produtos e serviços abrangendo Documentação, Código, Código Fonte, Testes, Mensagens, Análises, Imagens e qualquer infra-estrutura seja física ou digital usada para fornecer serviços ou produtos aos nossos clientes.

4. TODOS SÃO RESPONSÁVEIS. Todos devem zelar, manter e assegurar segurança para nossos clientes, usuários, colaboradores, produtos, serviços e serviços.

Política de Usuários e Senhas

ItemDescrição
Usuários ÚnicosTodos os colaboradores, usuários, clientes, e ou fornecedores com acesso à sistemas devem ter contas de acesso únicas e nominais. Sendo expressamente vetado compartilhamento de senhas.
SenhasUso de senhas é obrigatório para acesso a todo e qualquer sistema. Indiferente se sejam sistemas internos ou externos.
Senhas FortesSistemas de login e cadastro de usuários devem impor uso de senhas fortes.
Sistemas de login não devem bloquear ou restringir uso de aplicativos de armazenamento de senhas.
MFATodos os sistemas devem suportar MFA. Plataforma deve recomendar e encorajar uso de MFA
SSOUsuários de clientes empresariais podem acessar seus respectivos ambientes utilizando SSO. Plataforma deve, sempre que possível, recomendar, encorajar e facilitar uso de SSO.
LogsTodos os acessos às plataformas, incluindo falhas de acesso, devem ser monitorados.
MonitoramentoAcesso à sistemas plataformas deve ser monitorado em tempo real.
CriptografiaSenhas devem ser, obrigatoriamente, criptografadas usando hashes assimétricos que impendem que a senha original seja recuperada.
Segregação de acessoSistemas devem implementar níveis de acesso para cada usuário, baseado em RBAC

Política de Equipamentos

ItemDescrição
Anti-virusTodos equipamentos devem usar anti-virus continuamente.
O Anti-virus não pode ser desabilitado pelo usuário.
SenhasUso de senhas é obrigatório para acesso a todo e qualquer equipamento.
CriptografiaSistemas operacionais dos usuários devem usar criptografia em todos seus discos.
LogsTodos os acessos às dispositivos, incluindo falhas de acesso deve ser monitorado.

Política de segurança de Backend e Plataformas

ItemDescrição
Segregação de ambientesAmbientes de produção, testes e desenvolvimento são segregados e apartados.
Acesso restritoAcesso ao ambientes de produção devem ser estritamente restrito aos usuários devidamente qualificados e autorizados para acesso ao backend.
MonitoramentoTodo e qualquer acesso ao ambiente de produção, testes e desenvolvimento tem que ser monitorado em tempo real. Incluindo falhas.
CriptografiaTodo o acesso à plataforma deve ser criptografado. Armazenamento de dados de ambientes devem ser criptografado.
Desenvolvimento SeguroSoftware deve ser desenvolvido, tesado e homologado com cultura de segurança.
Desenvolvimento de Software seguro tem diretrizes de seguranças próprias Diretriz de desenvolvimento de Software Seguro

Política de Segurança para ambientes Cloud

A plataforma é executada na (Cloud) nuvem. A nuvem reduz nosso tempo de entrada no mercado, permite prototipagem rápida e custos controlados. No entanto, a nuvem é inevitavelmente um ambiente de terceiros e deve ser considerado um ambiente que pode ser comprometido. Independentemente do provedor de nuvem utilizado a segurança da plataforma permanece sob nossa responsabilidade.

Premissas de segurança na Nuvem

ItemDescrição
Confiança ZeroA nuvem é apenas o servidor de outra empresa, gerenciado por terceiros. Devemos levar em consideração em nosso código que o provedor de nuvem pode e será eventualmente comprometido.
Tolerância à falhasMesmo o melhor provedor de nuvem irá falhar. Mesmo o melhor esquema de replicação falhará. A plataforma, código, ambientes e sistemas deve prever e se proteger de falhas de terceiros.
CriptografiaOs dados devem ser criptografados o tempo todo. Os dados devem ser criptografados durante o percurso ou quando armazenados.

Requisitos de segurança da Nuvem

ItemDescrição
Criptografia em repousoOs dados do banco de dados devem ser criptografados usando chaves de criptografia exclusivas. As chaves devem ser armazenadas em chaves HSM. Isso garante que os dados não sejam lidos por uma pessoa não autorizada, caso os arquivos sejam comprometidos.

Com a criptografia em repouso, os bancos de dados criptografam os dados antes de armazená-los no disco.

O acesso às chaves HSM deve ser protegidas por chaves IAM.
ContainersTodos os serviços de back-end devem ser executados em seu próprio contêiner designado.
Diretrizes de códigoDesenvolvimento de software deve levar em consideração ambiente Cloud, exposição de APIs na Internet, e ambiente e usuários hostil.
Desenvolvimento de Software seguro tem diretrizes de seguranças próprias Diretriz de desenvolvimento de software seguro
Separação de deveresA separação de funções e o controle de acesso baseado em funções são inerentes ao design da nuvem.

Os sistemas que executam códigos ou monitoram a saúde e a disponibilidade da rede de seus não devem estar envolvidos na criação e gerenciamento de outros ambientes.
Acesso limitado à infraestrutura em nuvemO acesso ao provedor de nuvem é restrito a um número reduzido de desenvolvedores seniores na empresa, todos membros da empresa.

Os desenvolvedores só têm acesso ao código-fonte. O ambiente de desenvolvimento é separado do ambiente produtivo (ambiente de preparação).

As alterações de código, seja no desenvolvimento, teste ou produção, são realizadas apenas por meio da plataforma de implantação contínua, portanto, é possível rastrear e controlar cada alteração no código.
MFAOs colaboradores humanos devem, obrigatóriamente, usar a autenticação com MFA ao se conectar à infraestrutura em nuvem.
Gerenciamento de chave IAMEach environment will use its own set of keys. Keys will be loaded directly into Kubernetes.
Rotação de chavesChaves devem ser rotacionadas a cada 6 meses. A rotação de chaves é realizada diretamente no ambiente de configuração do Kubernetes.

Política de segurança de Fornecedores

ItemDescrição
Pré-certificaçãoFornecedores devem certificados previamente validados e para aferir usas capacidades de segurança.
Mesma BarraFornecedores devem atingir ou superar a barra de segurança em seus processos e controles internos.

Política de Backup

Política de backup é definida em documento dedicado Política de backup