A informação é um dos principais bens do mundo dos negócios. A gestão das informações é capaz de decidir o sucesso de uma organização, aumentando sua vantagem competitiva. Nós, da SMS Soluções, com o SÓLON – Sistema Informatizado de Gestão, buscamos gerenciar da forma mais adequada as informações de nossos clientes, reduzindo os riscos e ameaças internas e externas que possam causar consideráveis danos. Atentos a isso, publicamos nossa POLÍTICA DE SEGURANÇA DA INFORMAÇÃO em relação ao SÓLON, o alicerce dos esforços de proteção à informação de nossos clientes. Para tanto, estabelecemos os seguintes princípios:
garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;
garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.
Quando necessário, o SÓLON conta com um processo para validação dos dados de entrada pelo lado do cliente, identificando a necessidade de informações corretas. Também são verificados os dados de entrada pelo lado do servidor, sendo validados os tipos de dados de entrada que são permitidos para os campos e ainda realizada
a checagem de contra-ataques de XSS. No caso de dados inseridos erroneamente são exibidas mensagens de erro para a devida orientação do usuário.
O sistema SÓLON possui mecanismo de autenticação de usuários por meio de um formulário de login. O usuário deve informar o seu e-mail corporativo e senha, os dados dos usuários são armazenados no banco de dados e criptografados (em formato de HASH, Bcrypt e usado um round de força 12), sem possibilidade de
descriptografá-los, sendo tudo gerenciado pela própria aplicação. Caso ocorra um ataque de força bruta no mecanismo de autenticação o sistema SÓLON bloqueia a conta do usuário após cinco tentativas erradas, sendo enviado um e-mail de aviso ao usuário e sua conta fica bloqueada por um período de 10 minutos. Caso seja necessário recuperar a senha de acesso, na página de login há um campo de “Esqueceu sua senha?”, onde o usuário informa o seu e-mail corporativo e o sistema automaticamente gera um token e o envia para o e-mail cadastrado do usuário, sendo que este obrigatoriamente deve criar uma nova senha – não há recuperação via sistema de senha em uso.
O mecanismo de controle de sessão utilizado pelo sistema SÓLON é a criação da sessão pelo lado do cliente, armazenado em banco de dados e verificado em toda requisição realizada. As sessões são encerradas automaticamente após 24 horas de inatividade, sendo canceladas no log-out do usuário. O sistema SÓLON utiliza cookies que são criados pela aplicação na máquina do usuário.
O sistema SÓLON utiliza práticas de criptografia, sendo aplicado os padrões SSL – Secure Sockets Layer e Message Authentication Code (MAC).
Para erros de entrada de dados a aplicação informa ao usuário o erro instantaneamente e para erros internos, estes são gravados em arquivos de log, com as informações como data e hora, tipo e local do erro. Também são criados logs de acessos de usuários, sendo que para os acessos são armazenados: a hora, o
identificador do usuário, o endereço de IP, o agente de usuário (navegador) e o link acessado (criados em toda ação realizada por um usuário).
O acesso ao banco de dados é realizado por meio da própria aplicação e não são utilizados stored procedures. O sistema SÓLON também realiza uma validação e limpeza dos dados de entrada para que possa gerar as saídas mais corretas para os usuários.
O sistema SÓLON está hospedado nos servidores da Amazon Web Services (AWS), no Datacenter em São Paulo com 3 zonas de disponibilidades. Os Datacenters possuem as seguintes certificações: CSA, ISO 9001, 27001, 27017, 27018, PCI DSS nível 1, SOC 1, SOC 2, SOC3.
Sob a LGPD, controladores e processadores (conforme definidos na LGPD) necessitam adotar medidas de segurança, tanto técnicas quanto administrativas, para proteger dados pessoais contra acesso não autorizado, situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de processamento inadequado ou ilegal. Nosso ambiente está em conformidade com a ISO 27018, um código de práticas com foco na proteção de dados pessoais na nuvem. Como fornecedor, mantemos a propriedade sobre o conteúdo e selecionamos quais serviços nosso provedor podem processar, armazenar e hospedar. O controlador (AWS) não acessa nem usa nosso conteúdo para qualquer finalidade sem o nosso consentimento.
Segurança e conformidade são responsabilidades compartilhadas entre o provedor e a SMS. Quando o cliente transfere seus dados para o sistema, as responsabilidades de privacidade e segurança são compartilhadas entre o cliente e a SMS.
Monitoramento e registro em log, auditoria de conformidade e análises de segurança, criptografia de dados em repouso, criptografia de dados em trânsito, ferramentas de machine learning para identificar comportamentos estranhos, sejam eles frutos de falhas operacionais ou de atividades maliciosas.
ANDERSON DE SÁ MEDEIROS
Responsável pela Proteção de Dados em Sistemas SÓLON (DPO)
dpo@smssolucoes.eco.br
