Este artigo também está disponível em:
Este artigo foi traduzido usando tradução automática. Ele pode conter alguns erros ou traduções estranhas. Ainda assim, achamos que é útil para você ler este artigo de ajuda em seu idioma nativo. Informe-nos se este artigo foi útil ou se você tem algum outro comentário, na parte inferior do artigo.

Este artigo descreve algumas das técnicas e procedimentos que temos em vigor.

No Easy LMS, a segurança de seus dados é nossa maior prioridade. Nós constantemente tentamos quebrar nossos próprios sistemas de segurança a fim de identificar pontos fracos.

Arquitetura de software

Easy LMS é construído sobre o nosso próprio Sistema de Gerenciamento de Conteúdo (CMS). Este sistema é desenvolvido em cima do framework PHP do Yii de código aberto. Yii usa uma arquitetura baseada em model-view-controller (MVC) que permite código estruturado, limpo e de fácil manutenção. Yii é considerado sólido, rápido e seguro.



Yii Estrutura

Nós utilizamos muitos dos recursos de segurança embutidos da Yii, tais como criptografia de dados, prevenção de XSS e higienização de dados. Os dados de entrada do usuário são sempre validados no servidor, mesmo que a validação do lado do cliente também seja utilizada.

Autenticação

Autorização de Função

Nós temos vários tipos de usuários que podem acessar o sistema, como você pode ver no diagrama abaixo. Por nível de segurança, cada função tem acesso a partes extras do sistema e dados. A partir do nível de suporte, nós usamos um tipo de login que difere do login de um cliente como uma camada extra de segurança.



Perguntas mais freqüentes

Abaixo está uma lista de perguntas de segurança que frequentemente recebemos.

Onde estão localizados seus servidores?

Easy LMS é executado em uma nuvem de Web Services da Amazon, ou AWS, em resumo. Os servidores e bancos de dados estão fisicamente localizados em Frankfurt, Alemanha.

Como vocês protegem meus dados?

Nós protegemos seus dados de várias maneiras:

Todos os dados são armazenados no banco de dados que é totalmente criptografado. Isto significa que os dados no banco de dados só podem ser recuperados de maneiras específicas.
Os dados pessoais que pedimos são armazenados no banco de dados usando uma camada extra de criptografia. Isto significa que mesmo que o banco de dados esteja comprometido, um atacante não seria capaz de ler os dados sem a chave para descriptografá-los.
As senhas são armazenadas usando um algoritmo de hashing altamente seguro. Ao contrário de outros dados, é impossível recuperar a senha original a partir de seu hash.
As senhas nunca são enviadas a ninguém de forma alguma.
Toda a comunicação entre o cliente (você) e o servidor passa por uma conexão criptografada.

Quem tem acesso aos meus dados?

Você faz, em todos os momentos. Nós podemos acessar alguns de seus dados, por exemplo, para fins de suporte e faturas. Nós nunca compartilhamos seus dados sem o seu consentimento.

Quem tem acesso ao banco de dados?

Nosso banco de dados é acessível apenas por usuários autorizados. Esta autorização é tratada por um sistema separado, portanto nenhuma conta Easy LMS tem acesso direto ao banco de dados. Este sistema é alcançável somente a partir de nossa própria rede interna.

Você processa e armazena dados pessoais?

Nós só pedimos os dados que precisamos, por exemplo, para o faturamento. Nós armazenamos esses dados criptografados em nosso banco de dados.

Você tem um procedimento no caso de um vazamento de dados?

Sim. Se um vazamento de dados for detectado, tomaremos medidas imediatamente para primeiro reparar o vazamento e desativar o acesso externo. Nós informaremos as partes interessadas dentro de 48 horas da detecção de um vazamento de dados.

Que tipo de criptografia você usa?

A comunicação passa por HTTPS (TLS 1.2).
Todos os dados são criptografados usando AES-256.
As senhas são armazenadas usando o bcrypt-hashing.
Os dados pessoais são armazenados usando criptografia CBC ou ECB (dependendo do tipo e uso).

Como usamos a criptografia para dados sensíveis?

As senhas são transmitidas apressadamente via bcrypt
Os dados pessoais, além dos endereços de e-mail, são criptografados via AES-128-CBC

Você suporta Single sign-on?

Sim. Você pode ler sobre quais métodos de SSO nós apoiamos nisto artigo.

Você tem backups?

Sim, nós fazemos. Nós fazemos fotos diárias do nosso banco de dados com um período de retenção de 35 dias.

Que plataformas de software você usa?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Você faz revisões de código?

Sim, todas as alterações do código requerem uma revisão do código. Uma mudança não pode entrar em produção sem o approval de pelo menos dois desenvolvedores.

Que tipo de suporte você tem?

Você pode nos contatar através do nosso website. Nosso departamento de suporte está disponível das 08:30 às 23:00 horas (CET), de segunda à sexta-feira. Nossos consultores de suporte falam holandês, inglês, alemão, francês, português e espanhol. Nós fornecemos suporte a todos os outros idiomas com a ajuda de tradução automática.

Quanto tempo leva para responder a uma solicitação?

Isto depende do tipo de pedido, mas normalmente dentro de 48 horas. Em média, nós lhe respondemos dentro de 67 minutos.

Você faz testes de penetração?

Nós estamos investigando isso. Alguns de nossos clientes realizam seus próprios testes com caneta em nosso sistema e compartilham seus resultados. Escusado será dizer que qualquer problema que surja recebe nossa atenção imediata.

Posso fazer um teste de penetração?

Nós convidamos você a fazer isso, muitos de nossos outros clientes também têm. Nós pedimos que você nos informe com antecedência para que saibamos que pode haver alguma pressão extra em nossos servidores.

Com que freqüência você atualiza o software?

De forma contínua. Nós trabalhamos constantemente em melhorias para a segurança do software e novas funcionalidades. Sempre que há uma correção para um bug ou um problema de segurança, nós implementamos isto imediatamente.

Como você testa seu software?

Nós testamos nosso software tanto manualmente quanto automaticamente. Antes de cada implantação, nosso sistema passa por vários estágios. Uma das quais é a fase de testes. Durante esta fase, um sistema automatizado executa milhares de testes automatizados, como testes unitários, testes funcionais e testes de integração. Isto assegura que quaisquer mudanças que fizermos em nosso software não quebram outras funcionalidades ou medidas de segurança. Mesmo que apenas um teste falhe, a construção é rejeitada e enviada de volta para o desenvolvimento para consertar.

Todos os funcionários comissionados com o processamento de dados foram comprometidos com o sigilo dos dados?

Sim, cada um de nossos funcionários assina uma declaração de que ele ou ela nunca irá compartilhar qualquer informação com partes que não estejam envolvidas.

Você tem algum processo de endurecimento em andamento?

Sim, nós fazemos:

Todos os patches de segurança de nossos sistemas operacionais estão instalados.
Nós temos anti-vírus e anti-spyware instalados em todos os nossos sistemas.
Nós temos proteção endpoint em vigor.
Todas as credenciais de login, tanto em nossas estações de trabalho quanto na plataforma, são necessárias para serem fortes. Nós usamos autenticação de dois fatores quando apropriado.
Nós bloqueamos todos os PCs automaticamente quando alguém sai de sua estação de trabalho.
Nós temos um firewall em vigor.

Como é feita a separação entre a rede corporativa com suas credenciais e o ambiente de produção?

As credenciais da rede corporativa são diferentes daquelas do ambiente de produção. Nós não permitimos o acesso ao ambiente de produção usando uma forma de SSO da nossa rede corporativa. Portanto, o acesso ao ambiente de produção funciona com diferentes credenciais, que só estão disponíveis para devops e sysadmins. Os logs de acesso são mantidos.

Como está organizado o seu acesso e gerenciamento de chaves?

O CTO é responsável pelo gerenciamento de acesso e chaves e pela atribuição de autorizações. Nós só atribuímos acesso se necessário para o trabalho do funcionário.

Você é compatível com o GDPR?

O GDPR entrou em vigor em 25 de maio de 2018. . Temos o prazer de confirmar que o Easy LMS é totalmente compatível com o GDPR. Nós atualizamos nosso Política de Privacidade, Termos e Condições e operações de acordo com o GDPR. Se você precisar de um Contrato de Processamento de Dados conosco, informe-nos e nós lhe enviaremos um documento digital para assinar. Mais informações sobre a GDPR e o que ela implica podem ser encontradas aqui.

Este artigo foi útil?
Cancelar
Obrigado!