Este documento visa apresentar os controles de segurança adotados na infraestrutura da cloud GAT Infosec.
Infraestrutura #
Datacenter #
As instâncias do GAT Infosec são hospedadas no Linode, o qual possui datacenters espalhados pela Europa, Japão e EUA. Todos os datacenters estão em compliance com GDPR, HIPAA, PCI-DSS e outras certificações:
Região | Certificados |
London, UK | ISO 14001:2004ISO 22301:2012ISO/IEC 27001:2013ISO 50001:2011ISO 9001:2008OHSAS 18001:2007PCI DSSSOC 1SOC 2 Type 2SOC 3 |
Atlanta, US | SOC 1 Type 2SOC 2 Type 2SOC 3HIPAA Type 1PCI DSS |
Newark, US | SOC 1 Type 2SOC 2 Type 2HIPAA Type 1HITECHPCI DSS |
Frankfurt, DE | ISO/IEC 27001:2013PCI DSS |
Singapore | ISO/IEC 27001:2013PCI DSS |
Tokyo 2, JP | SOC 1 Type 2ISO/IEC 27001:2013 |
Dallas, US | SOC 2 Type 2SOC 3 |
Tokyo 1, JP | ISO/IEC 27001:2013 |
Instâncias #
Todas as instâncias GAT Core de clientes são hospedadas individualmente, não existem recursos compartilhados.
Segurança #
Acesso #
Todos os usuários do GAT Infosec criam e gerenciam suas próprias senhas. Nenhum funcionário do GAT Infosec tem acesso às credenciais de nenhum usuário.
O processo de recuperação de senha é feito entre usuário e plataforma, sem intervenção de terceiros.
Todos os dados de usuários são criptografados no banco de dados.
O GAT Core possui a opção de habilitar o 2FA.
Backup #
São realizados backups diários e automatizados dos dados sendo que os dados são armazenados criptografados e de forma distribuída.
Proteção de borda #
É possível limitar o acesso à instância a IPs específicos.
Criptografia #
O tráfego de dados é totalmente criptografado seguindo as boas práticas do mercado como TLSv1.2 com HSTS habilitado.
Gestão de Vulnerabilidades #
Tanto as aplicaçãoes web GAT Infosec quanto sua infraestrutura passam por testes de segurança periódicos realizados por empresa de consultoria especializada e gerenciados através do próprio GAT Core.
São realizados scans de vulnerabilidades mensais em todas as instâncias do GAT Core, bem como testes de invasão trimestrais. Os resultados dos testes são apresentados pelos consultores à equipe GAT Infosec em detalhes, e priorizamos as correções conforme tabela abaixo.
Severidade da Vulnerabilidade | SLA para Correção |
Crítica | 15 dias a partir da detecção |
Alta | 30 dias a partir da detecção |
Média | 90 dias a partir da detecção |
Baixa | Sem SLA |
Informativa | Sem SLA |
Incidentes #
No caso de haver algum incidente de segurança, todos os interessados serão notificados em até 2 horas após a detecção do incidente, com as seguintes informações:
- Identificação do incidente
- Classificação de severidade do incidente
- Plano de ação
- Tempo previsto para normalização
Ao longo da tratativa, todos os interessados receberão reports de acompanhamento.
Após a normalização, todos os interessados receberão um report final detalhando o incidente, as ações tomadas e quaisquer outras informações relevantes.
Monitoramento #
A infraestrutura possui monitoramento 24/7. São realizados monitoramento de:
Segurança #
Alertas são enviados em casos de tentativas de ataque e, dependendo dos casos, a origem do ataque é bloqueada por tempo determinado.
Recursos #
Os recursos (Memória, disco, BD, etc) são monitorados e alertas são enviados nos casos de sobrecarga ou outros eventos adversos.
Disponibilidade #
A disponibilidade é monitorada em duas camadas, pelo datacenter e via monitoramento externo.