Segurança sem compromissos para as suas necessidades de conformidade

Segurança

Armazenamento de Dados

Armazenamento físico

A AWS (Amazon Web Services) é responsável pela segurança física da infraestrutura. A AWS foi criada não só para permitir soluções de cloud verdadeiramente escaláveis, mas também para satisfazer as mais elevadas expectativas de segurança.

Os dados são armazenados em servidores de uma instalação que é ISO 27001, ISO 27017, ISO 27018 and SOC 1, SOC 2 & SOC 3 , -certificada. Para obter uma visão geral completa dos programas de conformidade, clique aqui

Localização

Todos os dados e cópias de segurança são armazenados na AWS em Frankfurt. As cópias de segurança são armazenadas em diferentes zonas de disponibilidade para garantir a disponibilidade dos dados.

Compreenda a camada de perímetro dos centros de dados, a camada de infraestrutura, a camada de dados e a camada ambiental, clique aqui

Encriptação

Todos os dados são encriptados enquanto estão em trânsito e em repouso. Isto garante a integridade dos dados, uma vez que estes não podem ser corrompidos ou modificados durante a transferência, a privacidade, uma vez que os dados não podem ser interceptados por terceiros, e a autenticação, uma vez que o cliente final pode ter a certeza de que o sítio a que está ligado somos nós.

Em Trânsito

Os dados que circulam em trânsito são encriptados utilizando TLS (Transport layer security). Apenas são suportadas versões TLS iguais ou superiores a 1.2, todas as outras versões estão bloqueadas.

Em Repouso

Sempre que os dados são armazenados num disco rígido, por exemplo, dados armazenados numa base de dados, são encriptados utilizando AES (256 bits). Isto impede a leitura de dados no caso de um disco rígido físico ser roubado num centro de dados.

Gestão de Patches

Na Formalize, damos prioridade à segurança e à alta disponibilidade, aproveitando os serviços geridos pela AWS sempre que possível. Estes serviços são submetidos a correção e manutenção contínuas pela AWS. No entanto, para determinados serviços não geridos pela AWS, implementamos processos rigorosos de gestão de patches para garantir que a segurança permanece intacta.

Cópia de Segurança dos Dados

Frequência das cópias de segurança

São efetuadas cópias de segurança periódicas para garantir que os dados dos clientes não se perdem. As cópias de segurança são efetuadas em intervalos diários (as cópias de segurança expiram ao fim de 35 dias) e semanais (as cópias de segurança expiram ao fim de 85 dias).

Para serviços não geridos pela AWS, como a nossa Jump Box, os patches são analisados e aplicados diariamente. Além disso, a nossa Jump Box está protegida numa rede privada que requer autenticação de dois factores para acesso e regista todas as ligações para uma melhor monitorização.

Alguns serviços, como os nossos Serviços Web, são geridos conjuntamente pela AWS e pela Formalize. Estes são verificados e corrigidos continuamente para manter a segurança e o desempenho.

Segurança de Backup

Todos os backups são armazenados em diferentes zonas de disponibilidade para evitar a perda de dados. Uma zona de disponibilidade é um ou mais centros de dados separados com energia, rede e conetividade redundantes. Todas as cópias de segurança são protegidas de acordo com as mesmas normas que o ambiente de produção.

Registo

A Formalize leva o registo a sério e tem um registo extensivo em toda a nossa aplicação, estamos continuamente a melhorar o nosso registo. O registo é feito em quatro níveis diferentes: eventos de início de sessão etc., erros de validação, registo de erros, registos de fluxo DNS, etc.

Monitorização do Sistema e Deteção de Intrusões

Utilizamos o AWS GuardDuty, um serviço inteligente de deteção de ameaças que monitoriza continuamente a atividade maliciosa ou não autorizada na nossa rede. Actua como o nosso principal Sistema de Deteção de Intrusão de Rede (NIDS). A atividade do administrador e os registos de consulta DNS também são registados e analisados quanto a possíveis utilizações indevidas. Mais informações sobre o GuardDuty podem ser encontradas em aqui.

Para melhorar as nossas defesas, utilizamos o AWS WAF. Este serviço ajuda a monitorizar e a impedir pedidos Web maliciosos, oferecendo uma camada adicional de proteção contra tentativas de pirataria informática. Para obter mais detalhes clique aqui.

Ciclo de Vida de Desenvolvimento Seguro

Um ciclo de vida de desenvolvimento seguro (SDLC) é um processo que nos ajuda a garantir que a segurança é incorporada no software desde o início. O nosso SDLC inclui várias atividades de segurança que são realizadas em cada fase do nosso processo de desenvolvimento. Estas atividades ajudam-nos a encontrar e a corrigir potenciais vulnerabilidades de segurança e a evitar a introdução de novas vulnerabilidades.

São realizadas várias atividades essenciais do ciclo de vida, incluindo a criação e o lançamento em pequenos incrementos, a dívida técnica, a política de pacotes de terceiros, a verificação de segredos divulgados, o controlo de versões, a verificação de vulnerabilidades, as normas de criptografia, as métricas e o registo, a formação de programadores, os testes e a separação de ambientes.

Gestão de Vulnerabilidades

Na Formalize, levamos a segurança a sério, empregando práticas robustas de gestão de vulnerabilidades para proteger a nossa infraestrutura e melhorar continuamente.

Prevenção de Vulnerabilidades

Para minimizar a nossa superfície de ataque, mantemos um único ponto de entrada público para a nossa API, que é protegido por uma Firewall de Aplicação Web (WAF). Esta firewall bloqueia eficazmente ameaças comuns, como Cross-Site Scripting (XSS) e Remote Code Execution (RCE). A nossa infraestrutura é baseada em Alpine Linux, proporcionando uma pegada de sistema operativo mínima e segura. Além disso, os nossos servidores Web foram concebidos para funcionar como contentores só de leitura que são actualizados a cada 15 minutos ou durante as implementações, garantindo que o malware não pode persistir no nosso ambiente.

Para além destas medidas preventivas, recorremos a serviços geridos para reforçar a segurança e reduzir o risco de erros de configuração. Estes serviços geridos permitem a aplicação automática de correções, reforçando ainda mais a integridade da nossa infraestrutura. O acesso à base de dados é rigorosamente controlado, exigindo autenticação de dois factores (2FA) e limitando o acesso exclusivamente a utilizadores aprovados dentro da nossa rede.

Análise de Vulnerabilidades

Na Formalize, empregamos práticas abrangentes de verificação de vulnerabilidade para identificar e abordar proativamente riscos potenciais de segurança em nossos sistemas. Os nossos esforços de análise abrangem dependências de código, contentores e servidores, bem como a nossa infraestrutura e rede mais amplas.

As análises de vulnerabilidade das dependências de código são efetuadas diariamente. Isto é realizado utilizando quatro ferramentas diferentes: CVEs públicos, base de dados de vulnerabilidades privada, dependência de código aberto com XSS (Cross-site scripting) e dependência de código aberto com RCS (Remote code execution).

As análises de contentores e servidores são efetuadas continuamente e sempre que o código é enviado. Estas análises centram-se na deteção de vulnerabilidades em pacotes de SO no nosso ambiente baseado em Alpine Linux. Os CVEs públicos e as bases de dados de vulnerabilidades privadas são utilizados para a análise. Por exemplo, podem identificar versões desatualizadas do OpenSSL que possam representar riscos de estouro da memória intermédia ou RCE (execução remota de código).

As nossas análises de infraestrutura e rede ocorrem a cada 18 horas e cumprem normas rigorosas, incluindo os requisitos do CIS (Center of Internet Security), PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) e as melhores práticas de segurança fundamentais do nosso fornecedor de alojamento. Estas análises foram concebidas para identificar configurações incorretas, tais como filas não encriptadas ou a ausência de autenticação de dois factores para utilizadores administrativos.