Introdução
Este documento descreve as medidas e os esforços do PlanRadar para fornecer padrões modernos e elevados de segurança de dados, privacidade e disponibilidade de serviços para o nosso software.
Infraestrutura / Hospedagem
Whitepapers e informações sobre a AWS
Gerenciamento de configuração
Seguimos os princípios de infraestrutura imutável e infraestrutura como código. Em caso de erro/falha, o sistema pode ser regenerado com base em seus modelos e código-fonte. Usamos o Kubernetes e o Argocd para gerenciar nossa infraestrutura.
Alta disponibilidade / escalabilidade
O AWS torna nosso sistema responsivo a picos de alta carga e provisionará automaticamente mais recursos, se necessário. Nossos clientes não sofrerão impactos no desempenho.
DDOS / Proteção contra vulnerabilidade da Web
Nosso aplicativo da Web é blindado e protegido com o sistema de proxy da Web cloudflare.
Desenvolvimento de software
Implementação
Nosso sistema é baseado em uma tecnologia de código aberto moderna, robusta e comprovada por batalhas. Nosso aplicativo da Web é desenvolvido com Ruby on Rails usando uma versão atualizada com suporte a patches de segurança. Nossos clientes móveis são desenvolvidos em Java, Objective-C e .NET.
Toda a transferência de dados é feita via HTTPS/TLS e os dados são criptografados em repouso (em nosso banco de dados relacional e em nosso armazenamento de objetos). Todas as imagens, planos e ativos de documentos são armazenados no sistema de armazenamento altamente durável Amazon S3.
OWASP
Em nossa implementação, seguimos o princípio de segurança por design .
TDD
Toda a nossa funcionalidade principal é implementada com a metodologia de desenvolvimento orientado por testes.
Medidas de segurança de aplicativos
O aplicativo é protegido por vários proxies e balanceadores de carga. Temos a possibilidade de autenticação multifatorial, login federado com SAMl, políticas de senha personalizadas, tentativas de login limitadas, bloqueios de usuário em tentativas de login incorretas e uma configuração detalhada de permissão de usuário.
Processos
Funcionários
Todos os nossos funcionários, especialmente os de suporte e engenharia, estão cientes da privacidade/segurança dos dados e recebem treinamentos e POPs para o tratamento responsável dos dados de nossos clientes. Todos os funcionários só têm o acesso mínimo necessário aos nossos sistemas de TI. Os dados dos clientes só podem ser acessados por funcionários selecionados.
Gerenciamento de incidentes
Os incidentes de segurança e privacidade são coletados em cada ponto de contato e encaminhados para a unidade organizacional responsável. Nossos sistemas de registro detectam anomalias no uso do sistema e enviam alarmes automáticos, se necessário. Temos procedimentos escritos para recuperação de desastres e restaurações de backup.
Acesso
O acesso aos sistemas administrativos é limitado a determinados VPNs e protegido por autenticação de dois fatores.
Certificação de gerenciamento de segurança da informação ISO/IEC 27001
Possuímos uma certificação ISO que pode ser vista aqui:
Comentários
0 comentário
Por favor, entre para comentar.