Este documento visa apresentar os controles de segurança adotados na infraestrutura da cloud GAT Infosec.

Infraestrutura

Datacenter

As instâncias do GAT Infosec são hospedadas no Linode, o qual possui datacenters espalhados pela Europa, Japão e EUA. Todos os datacenters estão em compliance com GDPR, HIPAA, PCI-DSS e outras certificações:

Região

Certificados

London, UK

  • ISO 14001:2004

  • ISO 22301:2012

  • ISO/IEC 27001:2013

  • ISO 50001:2011

  • ISO 9001:2008

  • OHSAS 18001:2007

  • PCI DSS

  • SOC 1

  • SOC 2 Type 2

  • SOC 3

Atlanta, US

  • SOC 1 Type 2

  • SOC 2 Type 2

  • SOC 3

  • HIPAA Type 1

  • PCI DSS

Newark, US

  • SOC 1 Type 2

  • SOC 2 Type 2

  • HIPAA Type 1

  • HITECH

  • PCI DSS

Frankfurt, DE

  • ISO/IEC 27001:2013

  • PCI DSS

Singapore

  • ISO/IEC 27001:2013

  • PCI DSS

Tokyo 2, JP

  • SOC 1 Type 2

  • ISO/IEC 27001:2013

Dallas, US

  • SOC 2 Type 2

  • SOC 3

Tokyo 1, JP

  • ISO/IEC 27001:2013

Instâncias

Todas as instâncias GAT Core de clientes são hospedadas individualmente, não existem recursos compartilhados.

Segurança

Acesso

Todos os usuários do GAT Infosec criam e gerenciam suas próprias senhas. Nenhum funcionário do GAT Infosec tem acesso às credenciais de nenhum usuário.

O processo de recuperação de senha é feito entre usuário e plataforma, sem intervenção de terceiros.

Todos os dados de usuários são criptografados no banco de dados.

O GAT Core possui a opção de habilitar o 2FA.

Backup

São realizados backups diários e automatizados dos dados sendo que os dados são armazenados criptografados e de forma distribuída.

Proteção de borda

É possível limitar o acesso à instância a IPs específicos.

Criptografia

O tráfego de dados é totalmente criptografado seguindo as boas práticas do mercado como TLSv1.2 com HSTS habilitado.

ssl.png

Gestão de Vulnerabilidades

Tanto as aplicaçãoes web GAT Infosec quanto sua infraestrutura passam por testes de segurança periódicos realizados por empresa de consultoria especializada e gerenciados através do próprio GAT Core.

São realizados scans de vulnerabilidades mensais em todas as instâncias do GAT Core, bem como testes de invasão trimestrais. Os resultados dos testes são apresentados pelos consultores à equipe GAT Infosec em detalhes, e priorizamos as correções conforme tabela abaixo.

Severidade da Vulnerabilidade

SLA para Correção

Crítica

15 dias a partir da detecção

Alta

30 dias a partir da detecção

Média

90 dias a partir da detecção

Baixa

Sem SLA

Informativa

Sem SLA

Incidentes

No caso de haver algum incidente de segurança, todos os interessados serão notificados em até 2 horas após a detecção do incidente, com as seguintes informações:

  • Identificação do incidente

  • Classificação de severidade do incidente

  • Plano de ação

  • Tempo previsto para normalização

Ao longo da tratativa, todos os interessados receberão reports de acompanhamento.

Após a normalização, todos os interessados receberão um report final detalhando o incidente, as ações tomadas e quaisquer outras informações relevantes.

Monitoramento

A infraestrutura possui monitoramento 24/7. São realizados monitoramento de:

Segurança

Alertas são enviados em casos de tentativas de ataque e, dependendo dos casos, a origem do ataque é bloqueada por tempo determinado.

ossec.png

Recursos

Os recursos (Memória, disco, BD, etc) são monitorados e alertas são enviados nos casos de sobrecarga ou outros eventos adversos.

munin.png

Disponibilidade

A disponibilidade é monitorada em duas camadas, pelo datacenter e via monitoramento externo.

uptime_robot.png
Encontrou sua resposta?