SEGURANÇA DE DADOS
Privacidade e Arquitetura em Serviços Baseados na Nuvem
  Descarregar o ficheiro PDF
INTRODUÇÃO:TODOS OS CAMINHOS DIRECCIONAM PARA A NUVEM

O mundo está abrandando as ondas de interrupção da tecnologia em quase todas as indústrias e no epicentro disso tudo são soluções integradas em nuvem que substituem as pilhas de tecnologia existentes que o mundo está usando atualmente. A transformação e a inovação neste período de computação em nuvem e mobilidade inteligente estão a uma velocidade rápida, de várias direções e ocorrem de forma mais contínua do que nunca. Estar no negócio e no ambiente da nuvem exige que as organizações elaborem estratégias antes do tempo, sejam realmente envolvidas no engajamento do cliente e fornecem uma resposta rápida para manter a sobrevivência, porque a implementação de soluções em nuvem não lhe proporciona esse luxo de tempo para pensar, refletir e ajustar. No início do milênio, as empresas de tecnologia poderiam poupar 10 anos, agora a velocidade da mudança foi reduzida para apenas alguns meses. O valor global das soluções em nuvem é estimado em mais de 3,5 trilhões de USD e com isso, as empresas de tecnologia são desafiadas com outro obstáculo gigantesco sob a forma de problemas de segurança que surgem devido à exponenciação de vulnerabilidades e ameaças junto com as transições tecnológicas. Por essa razão, os provedores de nuvem precisam ter estratégias viáveis ​​para garantir que as questões de segurança sejam tratadas adequadamente e adequadamente para garantir a continuidade do negócio.
A TimeTec é uma marca mundial de renome que tem fornecido soluções baseadas na nuvem para gestão de segurança e de funcionários, a várias indústrias em todo o mundo.Na sua atividade de programador de sistemas baseados na nuvem, a TimeTec cumpriu todos os seguintes requisitos com o objetivo principal: manter a confiança do consumidor na nossa marca.


19 Preocupações Centrais de Segurança que necessitam ser solucionadas pelos Programadores de Serviços na Nuvem

A confiança do cliente é fundamental para construir e sustentar um negócio de computação na nuvem e é necessário que o fornecedor de serviços seja dedicado para alcançar e manter o negócio, proporcionando programas de segurança e de privacidade sólidos, que tratam da proteção dos dados do cliente em todas as plataformas, inclusive dados de clientes recebidos através dos serviços fornecidos.
  1.Arquitetura e Segregação de Dados
Os serviços operados e proporcionados na nuvem devem residir numa arquitetura multitenant, através da qual o acesso aos dados do cliente só pode ser visualizado com autorização atribuída pela empresa.Fornece uma separação de dados eficaz e lógica através da identificação individual do funcionário, permitindo o acesso às informações com base nas permissões da função.A segregação de dados deve ser realizada fornecendo ambientes separados para diferentes funções, ou seja, para testes e produção.
  2.Controlo de Processamento
O poder é passado ao cliente, garantindo que os dados sejam processados ​​somente quando instruído pelo cliente, ao longo de toda a cadeia de atividades de processamento, e que o cumprimento das medidas implementadas seja sujeito a auditorias.
  3.Auditorias e Certificações
Pelo menos uma vez por ano, todos os serviços fornecidos terão que ser sujeitos a avaliações de segurança executadas por pessoal interno, o que inclui avaliações de vulnerabilidades da infraestrutura e avaliações de segurança da aplicação.
  4.Registos de Segurança
Serão mantidos todos os sistemas utilizados para transmissão dos Serviços Fornecidos, incluindo sistemas operativos, informações de registo da respetiva instalação do registo de sistema de aplicação ou um servidor syslog centralizado (para sistemas de rede), para permitir análises e revisões de segurança e os registos do sistema e de aplicação serão mantidos por um período mínimo de sessenta (60) dias.
  5.Controlos de Segurança
Os Serviços fornecidos disponibilizados através do Browser ou da Aplicação Móvel devem incluir uma variedade de funcionalidades de segurança que sejam configuráveis.Estes controlos incluem, mas não estão limitados ao seguinte:
 
•  IDs de utilizador como identificadores individuais de utilizador para garantir que as atividades possam ser rastreadas individualmente.
•  O uso de Controlos reCaptcha para dificultar o acesso após várias tentativas consecutivas de inicio de sessão falhadas.
•  Para encerrar uma sessão de utilizador após um período de inatividade.
•  Para controlar o comprimento da palavra passe.
•  Para combinar requisitos de complexidade da palavra passe.
  6.Políticas e Procedimentos de Segurança
Os Serviços oferecidos devem ser operados de acordo com as seguintes políticas e procedimentos para aumentar a segurança:
 
•  As senhas de usuário são mantidas usando um formato de hash salgado e não são transmitidas sem criptografia.
•  As entradas do registro de acesso do usuário serão mantidas, contendo data, hora, URL executada ou identificação de entidade operada, operação executada (vista, editada, etc.) e endereço IP de origem. Observe que o endereço IP de origem pode não estar disponível se o NAT (Network Address Translation) ou PAT (Port Address Translation) for usado por um cliente ou seu ISP.
•  Os logs serão armazenados em um host centralizado seguro para evitar adulterações.
•  As palavras passe não são registadas.
  7.Deteção de Intrusão
Os Serviços oferecidos devem ser monitorados por intrusões não autorizadas usando mecanismos de detecção de intrusão baseados em rede pelo desenvolvedor ou o terceiro designado para essa tarefa. Os dados coletados pelos navegadores da web dos usuários (por exemplo, tipo de dispositivo, resolução de tela, fuso horário, versão do sistema operacional, tipo e versão do navegador, fontes do sistema, plug-ins de navegador instalados, tipos MIME habilitados, etc.) podem ser analisados ​​para segurança para evitar autenticações fraudulentas e garantir que os Serviços oferecidos funcionem corretamente.
  8.Gestão de Incidentes
Um fornecedor de serviços terá de manter procedimentos e políticas de gestão de incidentes de segurança, para notificar os clientes afetados sem demora, de qualquer divulgação dos respetivos Dados dos Clientes não autorizada, da qual tenha tomado conhecimento até onde a lei permitir. Esta tarefa deverá ser executada pelo programador ou pelosseus agentes.
  9.Autenticação de Utilizador
Todo o acesso aos Serviços oferecidos através do Navegador da Internet, Aplicação móvel ou via API exige uma combinação de uma ID de usuário e uma senha válidas que são criptografadas através de HTTPS durante a transmissão. Após a autenticação ter êxito, uma ID de sessão aleatória é gerada e armazenada no navegador do usuário para preservar e rastrear o estado da sessão.
  10.Segurança Física
Se os centros de dados de produção utilizados para fornecer os Serviços cobertos, forem tratados por uma entidade terceira, solicite os detalhes do respetivo Processo de Segurança, conhecido normalmente através do seguinte nome:Livro Branco de Segurança AWS.pdf
  11.Confiança e Cópia de Segurança
Todos os componentes de rede, balanceadores de carga, servidores Web e servidores de aplicações estão configurados numa configuração redundante.Todos os Dados de Cliente enviados aos Serviços Cobertos são armazenados num servidor de base de dados, com cópia de segurança automática, usando as funcionalidades de recuperação para um ponto anterior no tempo.Todas as cópias de segurança do AMI diário serão mantidas durante pelo menos 2 dias e a cópia de segurança do AMI semanal será mantida durante pelo menos um mês.
  12.Recuperação após desastre
Os sistemas de produção dos Serviços Fornecidos devem ser protegidos por um plano de recuperação após desastre, plano esse que providencia a cópia de segurança de dados e serviços vitais. Um sistema abrangente de processos de recuperação existe para colocar novamente em funcionamento sistemas de negócios vitais, no menor tempo possível. Os processos de recuperação de bases de dados, segurança, administração de sistemas, dados e configuração de rede fornecem um roteiro para que o pessoal possa disponibilizar novamente os processos, após uma interrupção do serviço.
  13.Vírus
Os Serviços oferecidos não procurarão vírus que possam ser incluídos em anexos ou outros dados carregados nos Serviços oferecidos pelos clientes. Os anexos carregados não são executados nos Serviços oferecidos e, portanto, não prejudicarão ou comprometerão os Serviços oferecidos on-line em virtude de conter um vírus.
  14.Encriptação de dados
Os Serviços oferecidos devem usar produtos de criptografia aceitos pela indústria para proteger os dados do cliente e as comunicações durante as transmissões entre a rede de um cliente e os Serviços cobertos, incluindo Certificados TLS de 128 bits e chaves públicas RSA de 2048 bits no mínimo.
  15.Retorno de Dados do Cliente
Os Dados do Cliente submetidos nos Serviços Fornecidos serão devolvidos ao Cliente mediante solicitação.
  16. Eliminação dos dados do cliente
Após rescisão dos Serviços Fornecidos, os clientes podem solicitar a eliminação dos Dados do Cliente submetidos nos Serviços Fornecidos, estando este processo sujeito aos requisitos legais aplicáveis. Os dados do cliente armazenados na infraestrutura dos Serviços Fornecidos serão eliminados em conformidade.
  17.Dados sensíveis
Importante: os seguintes tipos de dados pessoais sensíveis não podem ser enviados aos Serviços oferecidos: informações financeiras (como números de cartão de crédito ou débito, quaisquer códigos de segurança ou senhas relacionados e números de conta bancária); informações relacionadas à saúde física ou mental de um indivíduo; e informações relacionadas à provisão ou pagamento de cuidados de saúde. Para maior clareza, as restrições anteriores não se aplicam às informações financeiras fornecidas ao desenvolvedor para verificar as qualificações financeiras e coletar os pagamentos de seus clientes.
  18.Análises
Um programador pode rastrear e analisar o uso dos Serviços Fornecidos para fins de segurança e para ajudar o programador a melhorar os Serviços Fornecidos e a experiência do utilizador ao usar esses mesmos serviços.

Um programador pode partilhar dados de utilização anónimos com seus fornecedores de serviços, com a finalidade de ajudar o programador em tais rastreamentos, análises e melhorias.Além disso, o programador pode partilhar esses dados de uso anónimos de forma agregada no curso normal da operação dos nossos negócios; por exemplo, podemos partilhar informações publicamente para mostrar tendências sobre o uso geral de nossos serviços.

  19.Integração ou Interfuncionamento com Outros Serviços
Os serviços fornecidos por um programador podem ser integrados ou interfuncionar com outros serviços fornecidos pelo programador ou por terceiros. O programador também pode fornecer muitas plataformas e recursos que permitem aos utilizadores saber mais sobre os produtos, participar em comunidades, conectar aplicações de terceiros e participar em pilotos, testes e avaliações, que estão fora do âmbito desta documentação. A comunicação com utilizadores que participam em tais plataformas e funcionalidades deve ser efetuada de uma forma consistente com a Declaração de Privacidade. Além disso, o programador pode entrar em contacto com utilizadores para fornecer informações transacionais sobre os Serviços Fornecidos; por exemplo, através da Gestão de Conta ou através de mensagens de e-mail geradas pelo sistema. O programador deve proporcionar aos clientes e utilizadores a capacidade de desativar ou optar por não receber essas mensagens.

Na sua atividade de programador de sistemas baseados na nuvem, a TimeTec cumpriu todos os requisitos acima com o objetivo principal: manter a confiança do consumidor na nossa marca.A documentação de Segurança, Privacidade e Arquitetura relativa a serviços prestados pela TimeTec, está disponível no website da TimeTec Cloud.

Verifique as soluções baseadas na nuvem da TimeTec em
www.timeteccloud.com