Segurança

Cultura de Segurança

Na Webdox reconhecemos a sensibilidade das informações que processamos e, por isso, a cada ano trabalhamos em um RoadMap de Segurança mais rigoroso, com auditorias externas de entidades reconhecidas no mercado, implementando novas normativas e controles de proteção para que a sua experiência na Webdox entregue a maior confiança.
  • A Webdox está certificada na ISO 27001 pela A-LIGN.
  • Desde 2019, contamos com um Sistema de Gestão de Segurança das Informações conforme o definido pela ISO 27001, para sistemas e processos tecnológicos e operacionais.
  • Cada integrante da Webdox conta com capacitações de segurança e com contratos de confidencialidade, cumprindo com as políticas de segurança requeridas para o desenvolvimento das suas funções.

Compliance

O cumprimento das diversas normativas de cada área e país tem nos orientado para a entrega de um serviço personalizado segundo os requerimentos técnicos e legais das empresas. A Webdox possui uma Política de Privacidade no que diz respeito de como os seus dados pessoais vão ser processados, medimos o seu impacto na nossa avaliação de riscos e reportamos todos os nossos clientes sobre o estado dos seus dados sensíveis.
  • A Webdox tem como intuito para 2021 a certificação da norma ISO 27701 (Privacidade e Proteção de Dados Pessoais) e da ISO 27018 (controles de segurança para processamentos de dados pessoais desde a nuvem)
  • Com isso, a Webdox procura cumprir com a normativa vigente da cada país, correspondente à Privacidade e Proteção de Dados Pessoais, tais como a GDPR (Regulamento Geral de Proteção de Dados) na Europa e a LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil.

Arquitetura Sólida

Cada grande solução é apoiada por um grande parceiro estratégico. A Google Cloud Platform, junto com outros parceiros reconhecidos, entrega todas as funcionalidades de segurança que são requeridas no mercado.
  • A Webdox é o Google Cloud Partner, a infraestrutura e segurança são herdadas dos serviços do Google, com alta disponibilidade em todas as suas capas.
  • O Cloudflare, o Gitlab y a HackerOne são alguns dos serviços que utilizamos na criação e uso da Webdox.
  • Sistemas elaborados para um objetivo de nível de serviço (SLO) de um 99,99% e acordos de nível de serviço (SLA) adaptam-se, geralmente, em um 99,5%.
  • Os Backups são executados a cada 24 horas com uma retenção de 30 dias e as réplicas de comutação por erro são ativadas melhorando a Alta Disponibilidade.
  • Um Disaster Recovery Planning (DRP) com RTO (Recovery Time Objective) de 1 hora e um RPO (Recovery Point Objective) de até 24 horas.
  • Toda a metadata em repouso é criptografada usando a AES 256.
  • Toda a metadata em trânsito é criptografada usando a TLS 1.2 ou 1.3.
  • A Webdox possui ferramentas de monitoramento e programação de alarmas perante eventos anómalos.

Desenvolvimento Seguro

Em nível aplicativo, a Webdox conta com uma série de características de segurança que você poderá integrar com a sua infraestrutura tecnológica e, se precisar apoio técnico, temos uma equipe de especialistas que resolverão todas as suas dúvidas. Atualmente, a nossa base são as boas práticas entregadas pelo OWASP (Top Ten) no tratamento dos riscos mais frequentes e, além disso, estamos trabalhando diretamente com hackers éticos no melhoramento continuo da aplicação.
  • Configuração de parâmetros de sessão de usuários: tempo de inatividade, duração da sessão, formato de senhas.
  • Gestão de acesso perimetral, configura-se desde onde é possível o acesso e também desde onde não, por meio de endereços IP.
  • Mecanismos de Single Sign On via SAML V2.
  • Integração do OAUTH através de API e APP outorgando robustez nas integrações que seja possível gerar.
  • Segundo fator de autenticação.
  • Os acessos e permissões são controlados por funções assignadas aos usuários.
  • Logs de Auditorias com todas as ações geradas pelos usuários.
  • DevSecOps em todo o ciclo de desenvolvimento.
  • Identificação de cada processo interno (UUID), outorgando um melhor funcionamento e auditoria da plataforma.

Monitoramento e Deployment

Periodicamente, a Webdox solicita entidades externas especializadas em Cibersegurança, ensaios de tipo Ethical Hacking e Pentest, para trabalhar qualquer nova vulnerabilidade que seja detectada em relação ao produto.

Além disso, a equipe de Tecnologia e Segurança realiza provas de Disaster Recovery Planning (DRP) para cada um dos seus sistemas críticos que, junto com as auditorias internas e externas programadas durante o ano, alimentam o nosso processo de melhoramento continuo tanto em nível de processos quando de produto Webdox.

Na Webdox, trabalhamos arduamente na descoberta de novas vulnerabilidades e o seu tratamento, por isso, contamos com o frequente e especializado serviço da Unitti para ensaios Pentesting e Ethical Hacking, trabalhando em conjunto com a resolução das descobertas evidenciadas. Isso fará com que continuemos