# Infraestrutura e Segurança
{% hint style="info" %}
A informação contida nesta seção trata das políticas e processos padrões adotados pela equipe mobileX. Demandas específicas de clientes para os itens descritos podem ser atendidas de acordo com exigências estabelecidas em contrato.
{% endhint %}
A Plataforma mobileX funciona sobre quatro pilares:
* **Segurança:** a mobileX, bem como todas as soluções derivadas como a mobileCare, são desenvolvidas e operadas priorizando segurança da informação.
* **Privacidade:** com aplicações desenvolvidas para múltiplos contextos, um dos grandes desafios é classificar corretamente os dados consumidos por essas soluções. Por isso, para assuntos relacionados a infraestrutura como o tráfego e armazenamento dos dados e suporte, optamos por classificar todos os dados das apps mobileX minimamente como dados sensíveis.
* **Disponibilidade:** utilizamos exclusivamente nuvens públicas de alta disponibilidade e implementamos uma série de medidas para garantir o máximo de disponibilidade das soluções mobileX e mobileCare.
* **Sustentabilidade:** entendemos que sustentabilidade é uma prioridade. Através do programa mobileX Sustentabilidade assumimos o compromisso de operar nossas soluções apenas em parceiros de nuvem que implementem programas que busquem zerar a emissão de carbono gerada pelo consumo de energia das suas infraestruturas.
### Confidencialidade dos Dados
* Toda comunicação entre as aplicações frontend e os servidores da Plataforma mobileX bem como com os servidores do cliente é criptografada utilizando as últimas versões de SSL/TLS. SSL/TLS são protocolos estabelecidos e comumente utilizados para gerenciar a segurança das mensagens transmitidas pela internet.
* Nenhum dado que é trafegado do servidor do cliente para as aplicações frontend é armazenado na plataforma mobileX.
* Os banco de dados e storages que armazenam arquivos e imagens são protegidos e sem acesso externo.
* Os backups são armazenados em cofres criptografados.
* A plataforma utiliza os padrões [OAuth 2.0](https://oauth.net/2/) de autenticação, armazenando apenas um token e um refresh-token de maneira criptografada, deixando mais segura as aplicações frontend, já que não armazena credenciais de acesso como usuário e senha. Implementa também o padrão OAuth 2.0 na interface de integração com sistemas de nossos clientes, possibilitando a gestão do tempo de vida dos tokens de acesso pelos sistemas integrados.
### Disponibilidade dos Serviços e Prevenção a Falhas
* A hospedagem da Plataforma mobileX é configurada para prover múltiplos níveis de redundância na mesma zona entregando o máximo de disponibilidade.
* Serviços de checagem automática são configurados para detectar problemas de performance e erros. Dados de telemetria são coletados para maximizar a performance e disponibilidade das aplicações e detectar problemas em segundos.
* Todos os componentes são configurados para escalonamento automático dependendo do nível de utilização individual (valores adicionais podem ser aplicados em licença enterprise).
* Backup padrão bancos de dados: São realizados backups diários dos bancos de dados com retenção criptografada de 30 dias.
* Para implantações no Azure (licença enterprise), é utilizada também ferramenta de restauração pontual dos últimos 7 (sete) dias e backup diferencial a cada 24 horas, são feitos e mantidos backups semanais por 1 (um mês) e backups mensais por seis meses.
* Teste de carga do ambiente realizado semestralmente para garantir a devida resposta do ambiente durante picos de consumo.
* Teste dos backups realizados mensalmente.
### Segurança Física e Certificações de Conformidade Regulatória
* Todos as implantações da plataforma mobileX são feitas por padrão em data centers localizados fisicamente em território nacional (Brasil).
* Todos os data centers utilizados pela Plataforma mobileX (Oracle e Microsoft Azure) implementam medidas para prevenir a entrada de intrusos, a indisponibilidade da estrutura de rede e a falta de energia.
* É possível acessar os certificados dos fornecedores de nuvem utilizados para hospedagem da plataforma mobileX.
* Oracle Cloud:
* Microsoft Azure:
* Todas as infraestruturas de nuvem utilizadas pela plataforma mobileX possuem os certificados descritos a seguir e passam por auditoria SAS 70 anualmente.
* CSA STAR (Cloud Security Alliance Security Trust Assurance and Risk, GSMA SAS-SM (GSMA SAS-SM Data Centre Operations and Management)
* ISO 9001 (ISO 9001: Quality Management Systems)
* ISO/IEC 20000-1 (ISO/IEC 20000-1: Service Management Systems)
* ISO/IEC 27001 (ISO/IEC 27001: Information Security Management Systems)
* ISO/IEC 27017 (ISO/IEC 27017: Cloud Specific Controls)
* ISO/IEC 27018 (ISO/IEC 27018: Personal Information Protection Controls)
* ISO/IEC 27701 (ISO/IEC 27701: Privacy Information Management
* PCI DSS (Payment Card Industry Data Security Standard)
* SOC 1 (System and Organization Controls 1)
* SOC 2 (System and Organization Controls 2)
* SOC 3 (System and Organization Controls 3)
* DoD DISA SRG (Department of Defense, Defense Information Systems Agency, Systems Requirement Guide)
* FedRAMP (Federal Risk and Authorization Management Program)
* FIPS 140 (Federal Information Processing Standards Publication 140)
* HITRUST CSF (Health Information Trust Alliance Common Security Framework)
* HIPAA (Health Insurance Portability and Accountability Act).
### Teste de Segurança (Pentest)
* Realizamos pentest anual nos componentes da plataforma utilizando empresa especializada e corrigimos os itens de severidade alta e média. Os itens de severidade baixa são corrigidos se entendermos que faz sentido.
* O certificado de realização do pentest pode ser acessado clicando [aqui](https://drive.google.com/file/d/1_F05IwxG5rmEqXJ_MR4fk6kGRnccbsaO/view?usp=sharing).
{% hint style="danger" %}
O pentest é realizado nos componentes padrões da plataforma e não incluem testes em aplicações específicas do cliente ou em serviços e APIs externos que atendem aplicações específicas. Caso seja de interesse do cliente, um pentest pode ser realizado via parceiro ou pelo próprio cliente para avaliação de aplicações específicas.
{% endhint %}
### **Marco Civil da Internet (Lei n° 12.965/2014)**
De acordo com o Marco Civil da Internet (Lei n° 12.965/2014), mantemos log de acesso à aplicação por um período de seis meses. Nenhum dado é armazenado nesse log. De acordo com a lei, devemos armazenar o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.
### **Política de Acesso**
* Acesso lógico aos componentes da Plataforma mobileX é disponibilizado apenas para membros da equipe mobileX autorizados e de forma individualizada. Credenciais de acesso jamais são compartilhadas.
* Acesso é disponibilizado apenas durante o período necessário para que o membro da equipe mobileX desempenha a função necessária.
* Cada componente possui acesso individualizado sendo configurado por usuário, os atributos necessários (privilégios de acesso, autenticação, direitos, autorizações temporárias com data de expiração) evitando acessos não autorizados.
* Acesso a sistemas em produção realizado de forma controlada por administradores, equipe de implantação e suporte à produção apenas e durante o período necessário.
* Revisão mensal das permissões concedidas em toda plataforma.
### Política de Notificação
A equipe mobileX irá enviar notificação em até 24 horas para os clientes impactados nos seguintes casos:
* **Interrupção dos serviços acima do SLA:** compreende indisponibilidade dos serviços cujos componentes estejam sob a responsabilidade da equipe mobileX.
* **Quebra de segurança:** compreende a invasão do sistema resultando no acesso de terceiros a dados/ambiente do cliente. Essa notificação inclui a extensão da quebra de segurança incluindo dados armazenados que possam ter sido expostos.
{% hint style="info" %}
Todas as notificações e os devidos logs quando aplicável serão armazenados em sistema independente
{% endhint %}
### Ferramentas de segurança
A plataforma permite a execução de ferramentas de segurança para avaliar a segurança das aplicações desenvolvidas. As seguintes ferramentas são suportadas:
* Deepsource
* Codescan
* Sonar Qube