Visão geral
Manter os dados de nossos clientes protegidos o tempo todo é nossa maior prioridade. Esta visão geral de segurança fornece uma visão geral de alto nível das práticas de segurança implementadas para atingir esse objetivo.
Tem perguntas ou comentários? Sinta-se à vontade para entrar em contato conosco em [email protected]
Equipe de Segurança Dedicada
Nossa equipe de segurança é composta por especialistas em segurança dedicados a melhorar a segurança de nossa organização. Nossos funcionários são treinados em resposta a incidentes de segurança e estão disponíveis 24 horas por dia, 7 dias por semana.
A Infraestrutura
Infraestrutura de Nuvem
Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.
Nosso serviço é baseado em Oracle Cloud. Eles fornecem fortes medidas de segurança para proteger nossa infraestrutura e estão em conformidade com a maioria das certificações. Você pode ler mais sobre suas práticas aqui:
– Oracle Cloud
Segurança do Centro de Dados
Nosso data center está localizado no Brasil. É uma instalação compatível com Tier IV, PCI DSS e ISO 27001.
Nossos servidores são fisicamente separados de outros clientes de data center.
As instalações do data center são protegidas 24 horas por dia, 7 dias por semana, com diferentes medidas de segurança (guardas, CFTV, controle eletrônico de acesso, etc.). Monitoramento e alerta estão em vigor para violações de segurança, energia, HVAC e temperatura.
Monitoramento e Proteção de Segurança em Nível de Rede
Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Monitoramos e protegemos nossa rede, para garantir que nenhum acesso não autorizado seja realizado usando:
– Uma nuvem privada virtual (VPC), um bastion host ou VPN com listas de controle de acesso à rede (ACLs) e sem endereços IP públicos.
– Um firewall que monitora e controla o tráfego de rede de entrada e saída.
– Filtragem de endereço IP
Proteção DDoS
Usamos serviços de mitigação de Negação de Serviço Distribuído (DDoS) alimentados por uma solução líder do setor.
Criptografia de Dados
Criptografia em trânsito: todos os dados enviados de ou para nossa infraestrutura são criptografados em trânsito por meio das melhores práticas do setor usando Transport Layer Security (TLS). Você pode ver nosso relatório SSLLabs.
Criptografia em repouso: Todos os nossos dados de usuário (incluindo senhas) são criptografados usando algoritmos de criptografia comprovados no banco de dados.
Retenção e Remoção de Dados
Retemos seus dados de uso por um período de 90 dias. Todos os dados são completamente removidos do painel e do servidor.
Cada usuário pode solicitar a remoção dos dados de uso entrando em contato com o suporte.
Leia mais sobre nossas configurações de privacidade em AgênciaColors Política de Privacidade.
Continuidade de Negócios e Recuperação de Desastres
Fazemos backup de todos os nossos ativos críticos e tentamos restaurar o backup regularmente para garantir uma recuperação rápida em caso de desastre. Todos os nossos backups são criptografados.
Monitoramento de Segurança de Aplicativos
– Usamos uma solução de monitoramento de segurança para obter visibilidade da segurança de nossos aplicativos, identificar ataques e responder rapidamente a uma violação de dados.
– Utilizamos tecnologias para monitorar exceções, logs e detectar anomalias em nossas aplicações.
– Coletamos e armazenamos logs para fornecer uma trilha de auditoria da atividade de nossos aplicativos.
– Usamos monitoramento como rastreamento aberto em nossos microsserviços.
Proteção de Segurança do Aplicativo
– Usamos um sistema de proteção em tempo de execução que identifica e bloqueia OWASP Top 10 e ataques de lógica de negócios em tempo real.
– Usamos cabeçalhos de segurança para proteger nossos usuários contra-ataques. Você pode verificar nossa nota neste scanner de segurança.
– Usamos automação de segurança, recursos que detectam e respondem automaticamente a ameaças direcionadas aos nossos aplicativos.
Desenvolvimento Seguro
Desenvolvemos seguindo as melhores práticas e estruturas de segurança (OWASP Top 10, SANS Top 25). Usamos as seguintes práticas recomendadas para garantir o mais alto nível de segurança em nosso software:
– Os desenvolvedores participam de treinamento regular de segurança para aprender sobre vulnerabilidades e ameaças comuns
– Revemos nosso código em busca de vulnerabilidades de segurança
– Atualizamos regularmente nossas dependências e garantimos que nenhuma delas tenha vulnerabilidades conhecidas
– Usamos testes de segurança de aplicativos estáticos (SAST) para detectar vulnerabilidades de segurança básicas em nossa base de código
– Usamos testes dinâmicos de segurança de aplicativos (DAST) para verificar nossos aplicativos
– Contamos com anualmente especialistas em segurança terceirizados para realizar testes de penetração de nossos aplicativos.
Divulgação Responsável
Incentivamos todos que praticam a divulgação responsável e cumprem nossas políticas e termos de serviço a participar de nosso programa de recompensas por bugs.
Evite testes automatizados e execute apenas testes de segurança com seus próprios dados. Por favor, não divulgue nenhuma informação sobre as vulnerabilidades até que as consertemos. As recompensas são feitas a nosso critério, dependendo da criticidade da vulnerabilidade relatada.
Você pode relatar vulnerabilidades entrando em contato com [email protected]. Inclua uma prova de conceito. Responderemos o mais rápido possível ao seu envio e não tomaremos medidas legais se você seguir as regras.
Cobertura
– agenciacolors.digital/*
Exclusões
– *.agenciacolors.digital
– *.agenciacolors.tech
As vulnerabilidades aceitas são as seguintes:
– Cross-Site Scripting (XSS)
– Abrir redirecionamento
– Falsificação de solicitação entre sites (CSRF)
– Inclusão de comando/arquivo/URL
– Problemas de autenticação
– Execução do código
– Injeções de código ou banco de dados
Este programa de recompensas por bugs NÃO inclui:
– Sair do CSRF
– Enumerações de conta/e-mail
– Negação de Serviço (DoS)
– Ataques que possam prejudicar a confiabilidade/integridade do nosso negócio
– Ataques de spam
– Clickjacking em páginas sem autenticação e/ou alterações de estado sensíveis
– Avisos de conteúdo misto
– Falta de DNSSEC
– Spoofing de conteúdo / injeção de texto
– Ataques de temporização
– Engenharia social
– Phishing
– Cookies inseguros para cookies não sensíveis ou cookies de terceiros
– Vulnerabilidades que exigem interação do usuário extremamente improvável
– Exploits que exigem acesso físico à máquina de um usuário
Proteção do Usuário
Autenticação de 2 fatores: Fornecemos um mecanismo de autenticação de 2 fatores para proteger nossos usuários contra ataques de controle de conta. A configuração dessa medida de segurança extra é opcional, mas altamente recomendada para aumentar a segurança de dados confidenciais.
Proteção contra aquisição de conta: Protegemos nossos usuários contra violações de dados monitorando e bloqueando ataques de força bruta.
Logon único: O logon único (SSO) é oferecido para nossos clientes enterprise.
Controle de acesso baseado em função: O controle de acesso baseado em função (RBAC) é oferecido em todas as nossas contas e permite que nossos usuários definam funções e permissões.
Compliance
GDPR/LGPD
Estamos em conformidade com o GDPR/LGPD. O objetivo do GDPR/LGPD é proteger as informações privadas dos cidadãos da União Europeia e Brasil e dar-lhes mais controle sobre seus dados pessoais. Entre em contato conosco para obter mais detalhes sobre como cumprimos o GDPR/LGPD.
Informação de Pagamento
Todo o processamento de instrumentos de pagamento é terceirizado com segurança para Stripe e GerenciaNet que são certificados como Provedor de Serviços PCI Nível 1. Não coletamos nenhuma informação de pagamento e, portanto, não estamos sujeitos às obrigações do PCI.
Acesso do Funcionário
– Nosso rigoroso procedimento interno impede que qualquer funcionário ou administrador tenha acesso aos dados do usuário. Exceções limitadas podem ser feitas para suporte ao cliente.
– Todos os nossos funcionários assinam um Acordo de Não Divulgação e Confidencialidade ao ingressar na empresa para proteger as informações confidenciais de nossos clientes.