Este artigo também está disponível em:
Este artigo descreve algumas das técnicas e procedimentos que temos em vigor.

No Easy LMS, a segurança de seus dados é nossa maior prioridade. Nós constantemente tentamos quebrar nossos próprios sistemas de segurança a fim de identificar pontos fracos.

Arquitetura de software

Easy LMS é construído sobre o nosso próprio Sistema de Gerenciamento de Conteúdo (CMS). Este sistema é desenvolvido em cima do framework PHP do Yii de código aberto. Yii usa uma arquitetura baseada em model-view-controller (MVC) que permite código estruturado, limpo e de fácil manutenção. Yii é considerado sólido, rápido e seguro.



Yii Estrutura

Nós utilizamos muitos dos recursos de segurança embutidos da Yii, tais como criptografia de dados, prevenção de XSS e higienização de dados. Os dados de entrada do usuário são sempre validados no servidor, mesmo que a validação do lado do cliente também seja utilizada.

Autenticação

Autorização de Função

Nós temos vários tipos de usuários que podem acessar o sistema, como você pode ver no diagrama abaixo. Por nível de segurança, cada função tem acesso a partes extras do sistema e dados. A partir do nível de suporte, nós usamos um tipo de login que difere do login de um cliente como uma camada extra de segurança.



Perguntas mais freqüentes

Abaixo está uma lista de perguntas de segurança que frequentemente recebemos.

Onde estão localizados seus servidores?

Easy LMS é executado em uma nuvem de Web Services da Amazon, ou AWS, em resumo. Os servidores e bancos de dados estão fisicamente localizados em Frankfurt, Alemanha. Seus dados são protegidos pelo Privacy Shield. Leia mais sobre hospedagem, privacidade e regras da UE da Amazon aqui. Se você tem uma conta Enterprise Owl e deseja ser capaz de armazenar dados em um local diferente, entre em contato conosco para mais informações.

Como vocês protegem meus dados?

Nós protegemos seus dados de várias maneiras:

Os dados pessoais que pedimos são armazenados no banco de dados usando criptografia. Isto significa que mesmo que o banco de dados esteja comprometido, um atacante não seria capaz de ler os dados sem a chave para descriptografá-los.
As senhas são armazenadas usando um algoritmo de hashing altamente seguro. Ao contrário de outros dados, é impossível recuperar a senha original a partir de seu hash.
As senhas nunca são enviadas a ninguém de forma alguma.
Toda a comunicação entre o cliente (você) e o servidor passa por uma conexão criptografada.

Quem tem acesso aos meus dados?

Você faz, em todos os momentos. Nós podemos acessar alguns de seus dados, por exemplo, para fins de suporte e faturas. Nós nunca compartilhamos seus dados sem o seu consentimento.

Quem tem acesso ao banco de dados?

Nosso banco de dados é acessível apenas por usuários autorizados. Esta autorização é tratada por um sistema separado, portanto nenhuma conta Easy LMS tem acesso direto ao banco de dados. Este sistema é alcançável somente a partir de nossa própria rede interna.

Você processa e armazena dados pessoais?

Nós só pedimos os dados que precisamos, por exemplo, para o faturamento. Nós armazenamos esses dados criptografados em nosso banco de dados.

Você tem um procedimento no caso de um vazamento de dados?

Sim. Se um vazamento de dados for detectado, tomaremos medidas imediatamente para primeiro reparar o vazamento e desativar o acesso externo. Nós informaremos as partes interessadas dentro de 48 horas da detecção de um vazamento de dados.

Que tipo de criptografia você usa?

A comunicação passa por https (SSL, TLS 1.2)
As senhas são armazenadas usando o bcrypt-hashing
Dados pessoais são armazenados usando criptografia CBC ou ECB (dependendo do tipo e uso)

Como usamos a criptografia para dados sensíveis?

As senhas são transmitidas por hashed via blowfish
Os endereços de e-mail são criptografados através do aes-128-ecb
Outras informações pessoais são criptografadas via aes-128-cbc

Você suporta Single sign-on?

Sim, nós apoiamos os seguintes métodos de SSO:

Azure AD
CAS
OKTA
AFAS Live
OAuth
SAML

Você tem backups?

Sim, nós fazemos. Nós fazemos fotos diárias do nosso banco de dados com um período de retenção de 35 dias.

Que plataformas de software você usa?

Debian ≥ Jessie
Apache ≥ 2.4
PHP ≥ 7.2
MariaDB ≥ 10.2

Você faz revisões de código?

Sim, todas as alterações do código requerem uma revisão do código. Uma mudança não pode entrar em produção sem a aprovação de pelo menos dois desenvolvedores.

Que tipo de suporte você tem?

Você pode nos contatar através do nosso site. Nosso departamento de suporte está disponível das 09:30 até as 23:00 horas (CET). Nossos consultores de suporte falam holandês, inglês, francês, português, espanhol. Nós fornecemos suporte a todos os outros idiomas com a ajuda de tradução automática.

Quanto tempo leva para responder a uma solicitação?

Isto depende do tipo de pedido, mas normalmente dentro de 48 horas. Em média, nós lhe respondemos dentro de 67 minutos.

Você faz testes de penetração?

Nós estamos investigando isso. Alguns de nossos clientes realizam seus próprios testes com caneta em nosso sistema e compartilham seus resultados. Escusado será dizer que qualquer problema que surja recebe nossa atenção imediata.

Posso fazer um teste de penetração?

Nós convidamos você a fazer isso, muitos de nossos outros clientes também têm. Nós pedimos que você nos avise com antecedência para que saibamos que pode haver alguma pressão extra em nossos servidores.

Com que freqüência você atualiza o software?

De forma contínua. Nós trabalhamos constantemente em melhorias para a segurança do software e novas funcionalidades. Sempre que há uma correção para um bug ou um problema de segurança, nós implementamos isto imediatamente.

Como você testa seu software?

Nós testamos nosso software tanto manualmente quanto automaticamente. Antes de cada implementação, nosso sistema passa por vários estágios. Uma das quais é a fase de testes. Durante esta fase um sistema automatizado executa milhares de testes automatizados, como testes unitários e testes funcionais. Isto assegura que quaisquer mudanças que fizermos em nosso software não quebram outras funcionalidades ou medidas de segurança. Mesmo que apenas um teste falhe, a construção é rejeitada e enviada de volta para o desenvolvimento para consertar.

Você usa Adobe Flash?

Não, nós não fazemos, nem nunca faremos.

Todos os funcionários comissionados com o processamento de dados foram comprometidos com o sigilo dos dados?

Sim, cada um de nossos funcionários assina uma declaração de que ele ou ela nunca irá compartilhar qualquer informação com partes que não estejam envolvidas.

Você tem algum processo de endurecimento em andamento?

Sim, nós fazemos:

Todos os patches de segurança de nossos sistemas operacionais são instalados.
Temos anti-vírus e anti-spyware instalados em todos os nossos sistemas.
Temos proteção endpoint implementada.
Todas as credenciais de login, tanto em nossas estações de trabalho quanto na plataforma, são necessárias para serem fortes. Nós usamos autenticação de dois fatores quando apropriado.
Bloqueamos todos os PCs automaticamente quando alguém sai de sua estação de trabalho.
Nós temos um firewall instalado.

Como é feita a separação entre a rede corporativa com suas credenciais e o ambiente de produção?

As credenciais da rede corporativa são diferentes daquelas do ambiente de produção. Nós não permitimos o acesso ao ambiente de produção usando uma forma de SSO da nossa rede corporativa. Portanto, o acesso ao ambiente de produção funciona com diferentes credenciais, que só estão disponíveis para devops e sysadmins.

Como está organizado o seu acesso e gerenciamento de chaves?

O CTO é responsável pelo gerenciamento de acesso e chaves e pela atribuição de autorizações. Nós só atribuímos acesso se necessário para o trabalho do funcionário.

Você é compatível com o GDPR?

O GDPR entrou em vigor em 25 de maio de 2018. Nós temos o prazer de confirmar que o Easy LMS é totalmente compatível com o GDPR. Nós atualizamos nossa Política de Privacidade, Termos & Condições e operações de acordo com a GDPR. Se você precisar de um Contrato de Processador conosco, nos informe e nós lhe enviaremos um documento digital para assinar. Mais informações sobre a GDPR e o que ela implica podem ser encontradas aqui.

Este artigo foi útil?
Cancelar
Obrigado!