Infraestrutura e Segurança

A informação contida nesta seção trata das políticas e processos padrões adotados pela equipe mobileX. Demandas específicas de clientes para os itens descritos podem ser atendidas de acordo com exigências estabelecidas em contrato.

A Plataforma mobileX funciona sobre quatro pilares:

  • Segurança: a mobileX, bem como todas as soluções derivadas como a mobileCare, são desenvolvidas e operadas priorizando segurança da informação.

  • Privacidade: com aplicações desenvolvidas para múltiplos contextos, um dos grandes desafios é classificar corretamente os dados consumidos por essas soluções. Por isso, para assuntos relacionados a infraestrutura como o tráfego e armazenamento dos dados e suporte, optamos por classificar todos os dados das apps mobileX minimamente como dados sensíveis.

  • Disponibilidade: utilizamos exclusivamente nuvens públicas de alta disponibilidade e implementamos uma série de medidas para garantir o máximo de disponibilidade das soluções mobileX e mobileCare.

  • Sustentabilidade: entendemos que sustentabilidade é uma prioridade. Através do programa mobileX Sustentabilidade assumimos o compromisso de operar nossas soluções apenas em parceiros de nuvem que implementem programas que busquem zerar a emissão de carbono gerada pelo consumo de energia das suas infraestruturas.

Confidencialidade dos Dados

  • Toda comunicação entre as aplicações frontend e os servidores da Plataforma mobileX bem como com os servidores do cliente é criptografada utilizando as últimas versões de SSL/TLS. SSL/TLS são protocolos estabelecidos e comumente utilizados para gerenciar a segurança das mensagens transmitidas pela internet.

  • Nenhum dado que é trafegado do servidor do cliente para as aplicações frontend é armazenado na plataforma mobileX.

  • Os banco de dados e storages que armazenam arquivos e imagens são protegidos e sem acesso externo.

  • Os backups são armazenados em cofres criptografados.

  • A plataforma utiliza os padrões OAuth 2.0 de autenticação, armazenando apenas um token e um refresh-token de maneira criptografada, deixando mais segura as aplicações frontend, já que não armazena credenciais de acesso como usuário e senha. Implementa também o padrão OAuth 2.0 na interface de integração com sistemas de nossos clientes, possibilitando a gestão do tempo de vida dos tokens de acesso pelos sistemas integrados.

Disponibilidade dos Serviços e Prevenção a Falhas

  • A hospedagem da Plataforma mobileX é configurada para prover múltiplos níveis de redundância na mesma zona entregando o máximo de disponibilidade.

  • Serviços de checagem automática são configurados para detectar problemas de performance e erros. Dados de telemetria são coletados para maximizar a performance e disponibilidade das aplicações e detectar problemas em segundos.

  • Todos os componentes são configurados para escalonamento automático dependendo do nível de utilização individual (valores adicionais podem ser aplicados em licença enterprise).

  • Backup padrão bancos de dados: São realizados backups diários dos bancos de dados com retenção criptografada de 30 dias.

    • Para implantações no Azure (licença enterprise), é utilizada também ferramenta de restauração pontual dos últimos 7 (sete) dias e backup diferencial a cada 24 horas, são feitos e mantidos backups semanais por 1 (um mês) e backups mensais por seis meses.

  • Teste de carga do ambiente realizado semestralmente para garantir a devida resposta do ambiente durante picos de consumo.

  • Teste dos backups realizados mensalmente.

Segurança Física e Certificações de Conformidade Regulatória

  • Todos as implantações da plataforma mobileX são feitas por padrão em data centers localizados fisicamente em território nacional (Brasil).

  • Todos os data centers utilizados pela Plataforma mobileX (Oracle e Microsoft Azure) implementam medidas para prevenir a entrada de intrusos, a indisponibilidade da estrutura de rede e a falta de energia.

  • É possível acessar os certificados dos fornecedores de nuvem utilizados para hospedagem da plataforma mobileX.

  • Todas as infraestruturas de nuvem utilizadas pela plataforma mobileX possuem os certificados descritos a seguir e passam por auditoria SAS 70 anualmente.

    • CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk, GSMA SAS-SM (GSMA SAS-SM Data Centre Operations and Management)

    • ISO 9001 (ISO 9001: Quality Management Systems)

    • ISO/IEC 20000-1 (ISO/IEC 20000-1: Service Management Systems)

    • ISO/IEC 27001 (ISO/IEC 27001: Information Security Management Systems)

    • ISO/IEC 27017 (ISO/IEC 27017: Cloud Specific Controls)

    • ISO/IEC 27018 (ISO/IEC 27018: Personal Information Protection Controls)

    • ISO/IEC 27701 (ISO/IEC 27701: Privacy Information Management

    • PCI DSS (Payment Card Industry Data Security Standard)

    • SOC 1 (System and Organization Controls 1)

    • SOC 2 (System and Organization Controls 2)

    • SOC 3 (System and Organization Controls 3)

    • DoD DISA SRG (Department of Defense, Defense Information Systems Agency, Systems Requirement Guide)

    • FedRAMP (Federal Risk and Authorization Management Program)

    • FIPS 140 (Federal Information Processing Standards Publication 140)

    • HITRUST CSF (Health Information Trust Alliance Common Security Framework)

    • HIPAA (Health Insurance Portability and Accountability Act).

Teste de Segurança (Pentest)

  • Realizamos pentest anual nos componentes da plataforma utilizando empresa especializada e corrigimos os itens de severidade alta e média. Os itens de severidade baixa são corrigidos se entendermos que faz sentido.

  • O certificado de realização do pentest pode ser acessado clicando aqui.

O pentest é realizado nos componentes padrões da plataforma e não incluem testes em aplicações específicas do cliente ou em serviços e APIs externos que atendem aplicações específicas. Caso seja de interesse do cliente, um pentest pode ser realizado via parceiro ou pelo próprio cliente para avaliação de aplicações específicas.

Marco Civil da Internet (Lei n° 12.965/2014)

De acordo com o Marco Civil da Internet (Lei n° 12.965/2014), mantemos log de acesso à aplicação por um período de seis meses. Nenhum dado é armazenado nesse log. De acordo com a lei, devemos armazenar o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.

Política de Acesso

  • Acesso lógico aos componentes da Plataforma mobileX é disponibilizado apenas para membros da equipe mobileX autorizados e de forma individualizada. Credenciais de acesso jamais são compartilhadas.

  • Acesso é disponibilizado apenas durante o período necessário para que o membro da equipe mobileX desempenha a função necessária.

  • Cada componente possui acesso individualizado sendo configurado por usuário, os atributos necessários (privilégios de acesso, autenticação, direitos, autorizações temporárias com data de expiração) evitando acessos não autorizados.

  • Acesso a sistemas em produção realizado de forma controlada por administradores, equipe de implantação e suporte à produção apenas e durante o período necessário.

  • Revisão mensal das permissões concedidas em toda plataforma.

Política de Notificação

A equipe mobileX irá enviar notificação em até 24 horas para os clientes impactados nos seguintes casos:

  • Interrupção dos serviços acima do SLA: compreende indisponibilidade dos serviços cujos componentes estejam sob a responsabilidade da equipe mobileX.

  • Quebra de segurança: compreende a invasão do sistema resultando no acesso de terceiros a dados/ambiente do cliente. Essa notificação inclui a extensão da quebra de segurança incluindo dados armazenados que possam ter sido expostos.

Todas as notificações e os devidos logs quando aplicável serão armazenados em sistema independente

Ferramentas de segurança

A plataforma permite a execução de ferramentas de segurança para avaliar a segurança das aplicações desenvolvidas. As seguintes ferramentas são suportadas:

  • Deepsource

  • Codescan

  • Sonar Qube

PreviousFuncionalidades mobileX Code-FlowNextPolíticas

Last updated