Segurança EasyRetro

Controle de acesso e segurança

Pessoal

Todos os nossos contratados assinam acordos de confidencialidade antes de obter acesso à nossa base de código e dados. Não fazemos verificações de histórico de nossos contratados, mas temos um processo de contratação que inclui várias etapas, incluindo revisão e desafio de código, análise de portfólio e entrevista.

Acesso de dados

Não possuímos servidores próprios pois usamos o Firebase como nossa plataforma. O acesso ao painel e aos dados do Firebase é feito por autenticação de dois fatores.

Boas práticas de Programação

Garantimos que temos código de alta qualidade através de testes de unidade, testes de integração e ferramentas de análise de código (Code Climate) para integração contínua. Também temos um ambiente de teste para executar testes manuais, uma vez que garantimos que está tudo bem, fazemos deploy na produção. Fazemos deploy quase todas as semanas.

Teste de Intrusão

EasyRetro passa por testes de intrusão de caixa preta, conduzidos por uma agência terceirizada independente, uma vez por ano. Para testes de caixa preta, EasyRetro fornece à agência uma conta de administrador para testar todos os recursos e detalhes extras sobre terminais e arquitetura de software.

As informações sobre quaisquer vulnerabilidades de segurança exploradas por meio de testes de intrusão são usadas para definir prioridades de mitigação e remediação. Mediante solicitação EasyRetro pode fornecer um resumo dos resultados do teste de intrusão.

Proteção de dados

Criptografia de ponta-a-ponta

EasyRetro fornece criptografia de dados na transferência via tecnologia Secure Socket Layer (SSL) de 256 bits e SHA-256 com algoritmo de criptografia RSA. Nosso SSL tem grau A + no relatório de qualidade do SSL Labs.

Usamos a plataforma do Google Cloud para armazenar todos os nossos dados. O Google Cloud utiliza criptografia em repouso por padrão com a tecnologia AES256 ou AES128. Você pode ler mais sobre a criptografia do Google Cloud através deste link: https://cloud.google.com/security/encryption-at-rest/.

reCAPTCHA

Usamos o serviço de segurança Google reCAPTCHA para proteger EasyRetro contra spam e abuso. Também usamos esse serviço em nosso sistema de login para bloquear bots.

Criptografia de senha

Nossas senhas são armazenadas com segurança através da tecnologia bcrypt fornecida pelo Google Cloud. Ao se registrar nós impomos a complexidade de uma senha forte, e exigimos um mínimo de 8 caracteres, dentre eles 1 caracter maiúsculo, 1 caracter minúsculo, 1 número e 1 caractere especial.

Verificação de e-mail

Antes de utilizar e criar dados no EasyRetro, os usuários são obrigados a verificar a propriedade do e-mail da conta. Isso ocorre por meio de um link de verificação que enviamos de forma automatizada por e-mail.

Pagamentos

Os pagamentos são fornecidos pelo Paddle, nosso fornecedor terceirizado. Não armazenamos nenhuma informação de cobrança em nossos servidores. Paddle é PCI-Compliant e adere ao padrão de segurança de dados do setor de pagamento com cartões. Depois de cancelar sua assinatura, as informações de pagamento são excluídas automaticamente do Paddle. Você pode ler mais sobre isso através deste link: https://paddle.com/taxes-fraud-compliance/.

Single Sign On

EasyRetro fornece a opção de SAML SSO para contas de grandes empresas. Isso permite que as empresas controlem o acesso usando sistemas internos. Você pode ler mais sobre nossa integração clicando aqui

Centro de dados e backups

Centro de dados

EasyRetro está hospedado no Firebase que faz parte do Google Cloud Platform. Nossos dados são hospedados na Central dos EUA. O Google Cloud é uma plataforma muito segura que possui várias certificações: ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS e CSA. Você pode ler mais sobre isso aqui: Google Cloud Security e Google Cloud Infrastructure Design.

Controle de acesso físico

EasyRetro está hospedado no Google Cloud Platform. Os centros de dados do Google apresentam um modelo de segurança em camadas, incluindo proteções abrangentes como: cartões de acesso eletrônico personalizados, alarmes, barreiras de acesso de veículos, cercas de perímetro, detectores de metal e biometria.

Backups

EasyRetro faz backups regulares uma vez por dia. Todos os backups são criptografados por padrão. Os backups são excluídos após 30 dias da data de sua criação.

Dados privados

Os dados pertencem a você

EasyRetro usa amplamente os serviços do Firebase. Estamos hospedados na plataforma do Google Cloud que é um serviço muito confiável e de alta disponibilidade. Você pode verificar o status ao vivo do Firebase aqui Política de Privacidade .

Disponibilidade e continuidade de negócios

Disponibilidade

Prevenção de Ataques e Mitigação

Usamos Firebase para serviços de autenticação o qual possui recursos para bloquear IP’s que tentem nos atacar. Nos casos em que o mesmo endereço de IP seja usado de forma suspeita, o Firebase limitará o número de novos e-mails / senhas e inscrições anônimas em nosso aplicativo.

Além disso, a detecção de intrusão do Google Cloud Platform envolve controlar rigidamente o tamanho e a composição da superfície de ataque do Google por meio de medidas preventivas, empregando controles de detecção inteligentes em pontos de entrada de dados e empregando tecnologias que corrigem automaticamente certas situações perigosas.

We protect our backend resources from abuse with App Check. App Check is a tool from Firebase that detects invalid requests and intrusions and utilizes reCAPTCHA v3 technology. You can read more about it here: https://firebase.google.com/docs/app-check.

Incidente

No caso de um incidente, entraríamos em contato com o proprietário da sua conta e trabalharíamos com você durante todo o processo.

Continuidade de Negócios

EasyRetro mantém backups criptografados diários de dados no Firebase. Embora não esperamos, mas no caso de perda de dados de produção, iremos restaurar os dados desses backups.