Segurança¶
Segurança de aplicativos e da plataforma¶
A segurança de aplicativos é da mais alta importância na FutureOn. Além de aplicarmos princípios ágeis ao Ciclo de Vida de Desenvolvimento de Software (SDLC), também aplicamos os princípios da metodologia do Ciclo de Vida de Desenvolvimento Seguro (SDL) em todo o desenvolvimento do nosso software. Isso nos permite descobrir e abordar falhas de software voltadas à segurança mais rapidamente do que em metodologias de desenvolvimento de ciclo de lançamento mais longo.
A FutureOn, com a abordagem de desenvolvimento e integração contínuos, permite lançar e atualizar rapidamente o nosso software. Os patches que podem afetar usuários finais serão aplicados o mais rápido possível, mas podem exigir a notificação do usuário final e agendamento de uma janela de serviço apropriada. Assim, poderemos responder rapidamente a problemas funcionais e de segurança quando e se eles ocorrerem. As nossas políticas e procedimentos corporativos de gerenciamento de mudanças bem definidos determinam quando e como as mudanças ocorrem. Isso é fundamental para os princípios de segurança do DevOps e para as metodologias de desenvolvimento que fizeram com que a FutureOn os adotasse. Nós nos esforçamos continuamente para melhorar a nossa prática do DevOps de forma iterativa com revisões regulares.
Segurança física¶
Toda a infraestrutura de plataforma e produção da FutureOn está hospedada nos nossos ambientes CSP (Provedor de Serviços de Nuvem). Portanto, todos os controles relacionados à segurança física e ambiental, que incluem o acesso a edificações, são gerenciados pelos CSPs. Os nossos seletos provedores de nuvem são certificados com SSAE16/ISAE 3402 Tipo II, SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27017, ISO 27018 e PCI DSS v3.1.
Consulte mais informações aqui:
Google Cloud: Microsoft Azure: Amazon AWS:
Segurança corporativa¶
Todos os serviços internos da FutureOn que exigem segurança da camada de transporte para acesso à rede requerem que autentiquemos individualmente os nossos usuários por meio de um provedor de identidade central e usam autenticação de dois fatores. Todos os funcionários da FutureOn passam por treinamento regular de conscientização de segurança e privacidade, sejam eles de funções técnicas ou não técnicas. Os materiais de treinamento de segurança são desenvolvidos para funções de desenvolvimento individual e de operações na nuvem para garantir que os funcionários estejam munidos para lidar com os desafios específicos voltados à segurança.
Autenticação e gerenciamento de acesso¶
A FutureOn fornece aos nossos clientes a capacidade de fazer login na nossa plataforma FieldTwin usando um provedor de identidade. Somos compatíveis com Microsoft On-Premise AD, Azure AD, SAML 2.0 e OIDC. Esses serviços autenticam a identidade de um indivíduo e permitem que as organizações controlem a autenticação e apliquem políticas de senha específicas e tecnologias de autenticação multifator.
Para que a API acesse a própria plataforma FieldTwin, todas as solicitações à API devem ser autenticadas com uma chave de API. Além disso, a FutureOn requer tokens JWT para acesso específico à funcionalidade da plataforma FieldTwin.
A plataforma FieldTwin também tem conjuntos específicos de funções e direitos de usuário que determinam que dados um usuário pode acessar e controlam os seus direitos de criar, ler, atualizar e excluir dados de acordo com funções de usuário padrão ou criadas pela empresa.
Proteção e residência dos dados do cliente¶
E os dados carregados, criados ou armazenados em um ambiente da FieldTwin são considerados confidenciais e de propriedade do cliente. Esses dados são protegidos em trânsito em redes públicas e criptografados em repouso. Todos os dados transmitidos entre um ambiente da FieldTwin e uma sessão de navegador do usuário final da FieldTwin são protegidos com o uso de TLS (Transport Layer Security) e HSTS (HTTP Strict Transport Security).
Os dados são criptografados em repouso e em trânsito. O padrão de criptografia avançada de 256 bits é usado, e cada chave de criptografia é criptografada com um conjunto de chaves mestras revezadas regularmente. A opção de chave de criptografia fornecida pelo usuário também está disponível. Especificamente, usamos chaves fortes de 2048 bits nos nossos certificados SSL, assinamos tokens de autenticação com assinaturas HMAC SHA256 e usamos BCrypt no armazenamento de senhas.
A FutureOn pode implantar os ambientes da FieldTwin em qualquer país/região que tenham o suporte dos nossos Provedores de Serviços de Nuvem (CSPs), com a solicitação do cliente. Os dados do cliente residem totalmente no ambiente selecionado.
O acesso aos dados do cliente deve ser concedido pelo cliente e está limitado a funções com requisito comercial para fazê-lo, como uma solicitação de suporte. A FutureOn monitora a nossa infraestrutura de nuvem continuamente em relação a eventos relacionados a desempenho e segurança com o uso de tecnologias comerciais. Os dados de tráfego e de atividades são monitorados e registrados em logs para identificar e sinalizar qualquer comportamento malicioso ou não aprovado, para que medidas apropriadas possam ser tomadas pela nossa equipe de operações na nuvem.
Leis e regulamentações¶
A solução FutureOn FieldTwin está em conformidade com diversas leis e regulamentações de proteção de dados relevantes aos serviços que prestamos, como o GDPR.
Subprocessadores¶
A FutureOn usa diversos aplicativos e serviços de terceiros para apoiar a entrega dos nossos produtos aos nossos clientes. Essas organizações, chamadas de "subprocessadoras", são identificadas abaixo com suas localizações e tipos de serviços que oferecem.
| Fornecedor | País | Serviço |
|---|---|---|
| Google Cloud | Escolhido pelo cliente | Provedor de Serviços de Nuvem |
| Microsoft Azure | Escolhido pelo cliente | Provedor de Serviços de Nuvem |
| Amazon AWS | Escolhido pelo cliente | Provedor de Serviços de Nuvem |
| SendGrid | EUA | Serviços de notificação por e-mail |
| Slack | EUA | Serviços de mensagens |
| Office365 | Reino Unido/Noruega | Aplicativos de e-mail e escritório |
| Service Cloud | EUA | Serviços de suporte |