A Rock Robotic aplica as melhores práticas da indústria para garantir sua segurança. Este documento descreve as medidas que tomamos para evitar que seus dados caiam em mãos erradas.
Plataforma & Segurança de dados
Segurança de rede
Assim como nossa segurança de rede física, a maior parte da segurança de nossa rede virtual é gerenciada pela AWS. A Amazon fornece ambientes completamente isolados onde implantamos nossos aplicativos, e eles o fazem para mais de um milhão de empresas e organizações governamentais em todo o mundo. Alguns clientes conhecidos que usam a Amazon para proteger seus dados incluem NASA, Shell, Autodesk, British Gas, GE, Hitachi, Lafarge, Trimble e o Departamento de Estado dos EUA. Para obter mais informações sobre as práticas de segurança de rede virtual da AWS, confira seu whitepaper de segurança.
Além da segurança descrita acima, a Rock Robotic implementa várias outras medidas de melhores práticas no local e na AWS para garantir ainda mais a segurança de seus dados:
Autenticação & Autorização
Rock Robotic usa Auth0 para lidar com nosso esquema de autenticação e autorização. Auth0 é certificado ISO27001, ISO27018, SOC 2 Tipo II, PCI DSS, EU-US Privacy Shield e Gold CSA Star. Para saber mais sobre a plataforma de segurança do Auth0, veja o papel branco.
Controle de mudança
Mantemos toda a configuração no código para manter a transparência quando se trata de mudanças subjacentes de rede e infraestrutura. Ele é verificado no controle de versão e todas as alterações são revisadas quanto à segurança, escalabilidade e durabilidade antes da implantação. Também testamos todas as alterações minuciosamente em um ambiente de preparação dedicado antes da implantação no ambiente de produção.
Segurança do servidor
Aplicação de patches de segurança
Os servidores da Rock Robotic são automaticamente e continuamente corrigidos com as atualizações de segurança mais recentes. Isso garante que possamos minimizar nossa exposição a vulnerabilidades conhecidas.
Criptografia de disco
Os servidores da Rock Robotic empregam o uso de criptografia de disco completo para garantir que os dados armazenados neles não sejam acessíveis a outras pessoas. Isso protege os dados tanto no caso de acesso físico aos servidores quanto no descarte dos discos.
Segurança de aplicativos
Controle de mudança
Como um aplicativo da Web, as alterações de código são feitas e implantadas de maneira contínua. Nenhuma ação é necessária para atualizar para a versão mais recente além de atualizar o navegador. Para manter a segurança do aplicativo, a qualidade do código e minimizar a introdução de bugs, seguimos um rigoroso ciclo de vida de desenvolvimento de software (SDLC).
Projeto & Desenvolvimento
Novos recursos e alterações são cuidadosamente arquitetados e projetados. Uma vez aprovado, o desenvolvimento começa e todo o código é verificado no controle de origem.
Análise
Todas as alterações de código estão sujeitas a revisão por pares quanto à qualidade, desempenho e correção. O código também é revisado do ponto de vista de segurança, aderindo ao As 10 principais diretrizes da OWASP.
Liberação de teste
Após o período de revisão, as alterações são implantadas em um ambiente de preparação onde são exaustivamente testadas por desenvolvedores e nossa equipe de controle de qualidade. Realizamos testes de recursos e de regressão para garantir que as alterações se comportem conforme o pretendido e não introduzam erros em outros lugares.
Lançamento de produção
Quando esse teste é concluído e todas as correções necessárias são feitas, as alterações são implantadas para uso do cliente. Mudanças grandes ou experimentais podem ser implantadas como recursos beta por um tempo limitado. Os usuários terão a opção de ativar ou desativar esses recursos durante esse período.
Lançamento posterior
Comentários e relatórios de bugs são coletados dos clientes, e as alterações e correções são feitas conforme apropriado.
Emergências
Em raras situações em que as alterações devem ser aplicadas rapidamente para corrigir bugs ou recuperar-se de um incidente de segurança ou tempo de inatividade, algumas das etapas acima, como revisões de código, testes e lançamento de teste, podem ser ignoradas. Se for esse o caso, todas as alterações estarão sujeitas a revisão e teste assim que as coisas voltarem ao normal.
Autenticação & Autorização
senhas
O principal método de login da Rock Robotic é via endereço de e-mail e senha. Sua senha nunca é armazenada em texto simples. Todas as senhas são armazenadas com segurança líder do setor em Auth0.
As senhas também devem atender a dois requisitos de complexidade: (1) ter pelo menos oito caracteres, (2) conter letras minúsculas (a-z), maiúsculas (A-Z) e números (0-9), (3) conter um dos seguintes caracteres especiais (!@#$%^&*), (4) não ser uma das cinco senhas anteriores definidas, (4) não deve conter nenhuma parte de seus dados pessoais e (5) não deve existir neste lista das 10.000 senhas mais comuns.
Caso você esqueça sua senha, ela pode ser redefinida fornecendo o e-mail vinculado à sua conta. Um link com um token criptográfico é enviado para o endereço fornecido, permitindo que você redefina sua senha.
Logon único (SSO)
Usuários com contas do Google, Facebook ou GitHub podem usar os respectivos botões “Entrar com” para fazer login no Rock Robotic para uma experiência de login único sem nenhuma configuração adicional.
Autenticação multifator (MFA)
MFA é necessário ao fazer login. Além disso, todos os funcionários da Rock Robotic são obrigados a fazer login com o MFA para garantir ainda mais a segurança dos dados.
Biscoitos
Depois que um usuário faz login, a Rock Robotic armazena tokens de sessão como cookies seguros somente HTTP no navegador do usuário para identificá-los como tendo acesso. Isso é ainda mais protegido por meio do uso de tokens de falsificação de solicitação entre sites (CSRF) e políticas CORS estritas para evitar solicitações entre domínios e uso não autorizado do cookie. Os cookies expiram após duas semanas, o que significa que os usuários são desconectados automaticamente.
Mitigação de Vulnerabilidade
Além das revisões de código mencionadas acima, usamos várias outras medidas para garantir que as vulnerabilidades não estejam presentes no aplicativo.
Sanitização de Dados
Os dados inseridos pelo usuário podem ser armazenados em um banco de dados e renderizados novamente no navegador. Isso pode abrir a oportunidade para ataques de injeção SQL e cross site scripting (XSS). Todos os dados inseridos em bancos de dados ou renderizados em HTML são higienizados adequadamente.
Registro e monitoramento
A fim de fornecer uma trilha de auditoria e permitir uma investigação rápida de possíveis ameaças ou problemas, todas as solicitações aos serviços da Rock Robotic são registradas com segurança com informações suficientes para recriar eventos.
Algumas informações que podem ser registradas incluem endereços IP, cabeçalhos de solicitação, payloads de solicitação, informações do dispositivo, códigos de status, tempos de resposta e tentativas de login com falha. Nunca registramos dados confidenciais ou sensíveis. Todos os logs são retidos e armazenados em backup durante sua utilidade. Além disso, as taxas de erro e as métricas de desempenho são monitoradas constantemente para garantir que você tenha a melhor experiência possível para o usuário final.
Disponibilidade
A AWS é bem conhecida por sua estabilidade e confiabilidade. Isso é respaldado por acordos de nível de serviço que garantem o tempo de atividade e mantêm a AWS responsável pelo tempo de inatividade. No entanto, interrupções podem ocorrer em circunstâncias excepcionais.
Como tal, projetamos todos os nossos serviços para serem altamente disponíveis e resistentes a falhas. Todos os hosts e aplicativos são constantemente monitorados quanto à disponibilidade. Caso ocorra uma falha, um fallback automatizado é iniciado. Essa estratégia atenua a falha no nível da instância e do data center.
Além disso, os serviços que compõem o aplicativo são monitorados por meio de uma ferramenta externa que monitora o uptime de diversas localidades do globo. Se ocorrer uma interrupção, um membro técnico de nossa equipe é alertado imediatamente e uma resolução é tomada o mais rápido possível com base na gravidade da interrupção. A Rock Robotic se esforça para manter um tempo de atividade anual de 99%.
Escalabilidade
Desde o início, projetamos a Rock Robotic Platform para atender aos grandes requisitos de dados que acompanham o processamento, hospedagem, análise e fornecimento de dados de mapeamento de nível de pesquisa em todo o mundo. Fazemos isso principalmente aproveitando a escalabilidade efetivamente infinita e a cobertura global da AWS. Isso, juntamente com o escalonamento automático baseado em demanda, no nível do aplicativo e da infraestrutura, significa que podemos escalar de maneira rápida e fácil nossos aplicativos e a infraestrutura subjacente para atender a qualquer nível de demanda.
Segurança da informação
A Rock Robotic classifica todas as informações enviadas pelo usuário como confidenciais e essenciais. Utilizamos vários métodos para garantir que os dados dos clientes estejam sempre disponíveis e seguros:
Armazenamento e transmissão de dados
Todos os dados enviados de e para a Rock Robotic Platform são criptografados e transmitidos com segurança por HTTPS usando TLSv1 ou superior, com uma cifra de 128 bits ou superior, dependendo do cliente. Todas as transferências internas de dados entre os serviços da Rock Robotic são igualmente protegidas por criptografia.
Depois de enviados, todos os dados são armazenados com segurança na AWS com controles de acesso que impedem o acesso não autorizado. Os buckets do S3 são configurados para serem privados por padrão e chaves de acesso ou URLs pré-assinados são necessários para acessar os dados. Da mesma forma, os bancos de dados são protegidos por senha e podem ser acessados apenas de endereços IP da lista de permissões. O acesso e as permissões para alterar ou excluir dados são delegados apenas quando necessário e com base no princípio do menor privilégio.
Todos os dados para processamento ou exibição são carregados em um bucket S3 localizado na região US-East da AWS. A partir daqui, os dados são transferidos, com criptografia, para servidores AWS no Leste dos EUA para processamento. Esses servidores armazenam esses dados, com criptografia, até que não sejam mais necessários para processamento.
Todas as saídas resultantes do processamento são enviadas para um bucket S3 no Leste dos EUA. Metadados e outros dados inseridos na plataforma são armazenados em bancos de dados MySQL localizados na região US-East da AWS.
Sempre que possível, todos os dados são criptografados em repouso, inclusive em filas, bancos de dados, volumes de dados e S3 usando criptografia AES256. As chaves de criptografia são criadas, gerenciadas e protegidas usando o AWS Key Management Service (KMS). Nós revezamos automaticamente as chaves anualmente.
Controles de acesso
Além dos controles de acesso de nível de armazenamento mencionados acima, a Rock Robotic Platform fornece controles de acesso configuráveis pelo usuário em nível de aplicativo. Negamos o acesso aos dados em um portal ou site por padrão e exigimos que um administrador do portal ou outro usuário com a permissão Gerenciar acesso convide um usuário para visualizar os dados em um portal. É possível especificar permissões refinadas ao conceder acesso, permitindo que o princípio do menor privilégio seja aplicado. Para facilitar o gerenciamento de usuários e suas permissões, eles podem ser agrupados em funções às quais também podem ser atribuídas permissões.
Recuperação de desastres
No caso improvável de perda de dados do cliente, existem procedimentos e salvaguardas para garantir a recuperação. A maioria dos dados do cliente é armazenada no S3 da Amazon, que tem durabilidade de 99,999999999%. Além disso, o controle de versão do objeto é ativado por padrão em todos os depósitos, o que garante que, mesmo que um objeto seja excluído ou substituído, ele possa ser recuperado.
Os dados restantes do cliente são armazenados em bancos de dados com backup contínuo, fornecendo recuperação pontual ao minuto.
Da mesma forma, todos os serviços de aplicativos são implantados de maneira altamente disponível, com recuperação automática de falhas no nível da instância e do data center.
Privacidade
A Rock Robotic cumpre todas as leis de privacidade locais, incluindo o Regulamento Geral de Proteção de Dados (GDPR), e está empenhada em manter seus dados pessoais seguros e protegidos. Para obter mais informações, Veja nossa Política de Privacidade.
Violações de dados
No caso de acesso não autorizado aos seus dados, iremos notificá-lo o mais rápido possível após tomarmos conhecimento do problema.
Questões? Entre em contato, support@rockrobotic.com Para maiores informações.
Segurança de Servidores e Redes
A Rock Robotic hospeda a maior parte de seus aplicativos na plataforma Amazon Web Services (AWS). A AWS fornece segurança de centro de dados de última geração em conformidade com os padrões do setor, como SOC, PCI DSS e ISO 27001. Toda a rede física e responsabilidade de segurança do servidor para essas partes do aplicativo é delegada à AWS. Para obter mais informações sobre as práticas de segurança física da AWS, confira seu whitepaper de segurança.
Dispositivos de equipe
Todos os dispositivos usados por nossos funcionários devem ser protegidos por senha, com bloqueio automático após curtos períodos de inatividade, além de criptografia de disco completo. A equipe também precisa habilitar a autenticação multifator (MFA) em todos os serviços que a fornecem.
Segurança física