Pergunta: Possui estrutura de manutenção? Auditoria, Rastreamento e Logs? Resposta: Sim, possuímos estrutura de manutenção, incluindo auditoria, rastreamento e logs.
Pergunta: Possui gestão de resposta a prevenção, Reação e Mitigação de Falhas de Segurança? Resposta: Sim, possuímos gestão de resposta para prevenção, reação e mitigação de falhas de segurança.
Pergunta: Em qual tipo de ambiente a solução ou serviços estão hospedados? (por exemplo: Cloud, SAAS, On-Premises) Resposta: A solução está hospedada na nuvem (Cloud) como um produto do tipo SAAS. Todos os serviços utilizados estão na Google Cloud.
Pergunta: Há controles de segurança e recursos de rede e firewall para a operação do sistema ou serviço? Resposta: Sim, há controles de segurança e recursos de rede e firewall para a operação do sistema ou serviço. O gerenciamento é feito pela Google Cloud.
Pergunta: Existe um controle de refrigeração dos equipamentos alocados no data center? Resposta: Não se aplica, pois o gerenciamento dos equipamentos é feito pela Google Cloud.
Pergunta: É realizado controle de acesso físico aos equipamentos? Resposta: Não se aplica, pois o gerenciamento dos equipamentos é feito pela Google Cloud.
Pergunta: Existe controle de manutenção dos equipamentos utilizados no data center? Resposta: Não se aplica, pois o gerenciamento dos equipamentos é feito pela Google Cloud.
Pergunta: Quantos Data Centers a companhia possui e onde estão localizados? Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: Quantos links de dados o data center possui? São redundantes? Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: Possui a certificação Tier ou certificações similares? (ANSI/TIA 942) Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: O data center possui gerador de energia? Se sim, qual a capacidade de alimentação do gerador? Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: Existem componentes redundantes no data center? (Equipamentos com duas fontes de alimentação, equipamentos interligados a mais de um switch, mais de uma rota para saída de internet, etc.) Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: Possui ambiente de DRS (Disaster Recovery)? Se sim, descreva quantos testes são realizados anualmente. Resposta: Não se aplica, pois o gerenciamento dos data centers é feito pela Google Cloud.
Pergunta: É realizado monitoramento do ambiente? Se sim, descreva os SLAs contratados. Resposta: Não fazemos monitoramento ativo de rede. O monitoramento é reativo.
Pergunta: Possui ferramentas de segurança de rede (Firewall, Firewall Virtual, Serviços de IPS, anti-DDoS, Nexus, VSG, etc.)? Se sim, descreva quais serviços possui. Res
posta: Sim, possuímos firewall virtual e anti-DDoS ativos como serviços de segurança de rede.
Pergunta: Como é concedido e controlado o acesso aos equipamentos de rede? Resposta: O acesso aos recursos na nuvem é limitado e gerenciado através de usuários IAM (Identity and Access Management).
Pergunta: Com qual frequência ou em quais tipos de eventos são trocadas as senhas dos usuários privilegiados? Por favor, elencar o procedimento de troca para cada sistema, como Sistema Operacional, Banco de dados, Equipamentos de rede e correlatos. Resposta: A rotatividade de senhas no sistema é feita periodicamente a cada 90 dias e quando há a saída de colaboradores.
Pergunta: Possui algum contrato para realização de PENTEST, SCAN de Vulnerabilidade? Caso sim, poderia disponibilizar o último relatório ou documento que ateste a execução deste controle e ações corretivas efetuadas? Resposta: Não há contratos específicos, mas são realizados testes eventualmente. O acesso ao resultado/relatório da análise é confidencial.
Pergunta: O desenvolvimento e manutenção de aplicações consideram a análise de segurança no código-fonte periodicamente? Resposta: Sim, consideramos a análise de segurança no código-fonte periodicamente durante o desenvolvimento e manutenção de aplicações.
Pergunta: É possível aplicar controle de acesso ao Sistema/Console provido pela empresa contratada para Brinks? Resposta: Não se aplica. A Brinks utilizará o sistema web e aplicativos móveis.
Pergunta: Qual o plano de backup que a empresa possui? Resposta: Realizamos backups diários do tipo "disaster recovery".
Pergunta: Para o procedimento de Backup, qual o período de retenção de dados? Resposta: O período de retenção de dados é de 30 dias.
Pergunta: Os backups são armazenados no mesmo prédio onde estão os servidores de produção? Resposta: Não, os backups são armazenados em localidades diferentes, mas o serviço é gerenciado pela Google Cloud.
Pergunta: É realizado o teste das informações copiadas durante o backup? Se sim, poderia compartilhar o último teste e os parâmetros de validação. Resposta: Não é realizado, uma vez que o tipo de backup é do tipo clone do tipo disaster recovery.
Pergunta: Por favor, informar a versão dos sistemas operacionais utilizados? (Microsoft Windows, Linux ou outros) Resposta: Não se aplica. O sistema é baseado na web e não está alocado em um sistema operacional específico. É acessado por meio de navegadores e aplicativos iOS e Android.
P: Por favor informar as soluções de segurança e proteção de ambiente utilizados? Cite por exemplo antivírus, DLP, Sistemas de Criptografia e correlatos. Resposta: Não se aplica, serviço cloud. Pergunta: Por favor informar se é utilizada alguma solução open source? Por favor citar todas e o propósito do uso. Resposta: Não se aplica.
Pergunta: Quais certificações a empresa que hospeda aplicação possui? (por exemplo ISO 20.000, SSAE16, ISO 27000, PCI, SOX , ISAE 3402 (SAS70), etc.) Caso positivo, por favor fornecer os relatórios. Resposta: Catálogo de controles de conformidade de computação em nuvem (C5) | CSA | Esquema Nacional de Seguridad (ENS) da Espanha | Código de Conduta na Nuvem da UE | FedRAMP | Validação FIPS 140-2 | HDS | HITRUST CSF | Higher Education Cloud Vendor Assessment Tool (HECVAT) | Auditoria da Independent Security Evaluators (ISE) | Programa de Gerenciamento e Avaliação de Segurança de Sistemas de Informação (ISMAP) | IRAP (Information Security Registered Assessors Program) | Relatório ISAE 3000 Tipo 2 (FINMA) | ISO 9001:2015 | ISO 22301:2019 | ISO 50001:2018 | ISO/IEC 27001 | ISO/IEC 27017 | ISO/IEC 27018 | ISO/IEC 27701 | K-ISMS (Coreia do Sul) | MTCS (Singapura) Nível 3 | NCSC - Cyber Essentials (Reino Unido) | OSPAR | Padrão de segurança principal do PCI 3DS | PCI DSS | SNI 27001 | SOC 1 | SOC 2 | SOC 3 | Código de Conduta de Portabilidade de Dados da SWIPO | ETDA (Tailândia) | TISAX | TruSight | Autorização Provisória da Agência de Sistemas de Informações de Defesa dos EUA | VPAT (WCAG, Seção 508 dos EUA, EN 301 549) Pergunta: É realizado monitoramento do ambiente? Se sim, descreva os SLAs contratados? Resposta: https://cloud.google.com/kubernetes-engine/sla ; https://cloud.google.com/bigquery/sla ; https://cloud.google.com/sql/sla ; https://cloud.google.com/storage/sla Pergunta: A ferramenta possui log? Caso sim, descreva quais logs estão disponíveis na ferramenta. Resposta: Sim. Para determinados eventos no sistema existe um registro de modificações. Pergunta: O sistema permite gerenciar diversos usuários e perfis de acesso? Resposta: Sim. Existem niveis de usuarios pre-definidos com restrições distintas. Pergunta: A aplicação é capaz de gerenciar politicas de senha? Caso Positivo, por favor descreva a politica utilizada, adicionalmente citar também caso a aplicação não contemple algumas destas funcionalidades: Possibilidade de se definir um tamanho mínimo de caracteres, troca periódica obrigatória de senha em até 30 dias, impossibilidade de repetição das últimas 10 senhas já utilizadas, bloqueio da conta após 5 tentativas invalidas de inserção da senha, uso de complexidade para composição da senha (letras maiúsculas, minúsculas, números e caracteres especiais, impossibilidade de utilizar caracteres consecutivos ou sequenciais, Desconexão por inatividade após 15 minutos, controle de bloqueio automático de usuários quando não acessar o sistema por 45 dias. A senha deverá ser armazenada utilizando criptografia irreversível. Resposta: Não há politicas de senha. A unica restrição do sistema é o minimo de caracteres. Sim, as senhas são armazenadas com criptografia irreversivel. Pergunta: Qual criptografia é utilizada? São utilizados encriptação de dados sensíveis ou confidencias? São utilizados certificados digitais? Resposta: Os dados sensiveis são armazenados com criptografias. Para senhas é utilizado o bycript; para dados em disco/armazenamento de objetos AES256; para acesso a interface web https Pergunta: Possui a documentação do ambiente? Caso sim, por favor disponibilizar documentação técnica e diagramas que demostrem a infraestrutura do ambiente, aplicação e rede. Resposta: Sim, existe. O acesso a ela é confidencial. Pergunta: Como são gerenciadas as vulnerabilidades do ambiente contratado? Resposta: Os ambientes possuem isolamento de rede e há controle nos pontos de acesso. Pergunta: Possui algum contrato para realização de PENTEST, SCAN de Vulnerabilidade? Caso sim, poderia disponibilizar o último relatório ou documento que ateste a execução deste controle e ações corretivas efetuadas Resposta: Nao há contratos, porem são feitos testes eventualmente. O acesso ao resultado/relatório da analise é confidencial. Pergunta: É possível aplicar controle de acesso ao Sistema/Console provido pela empresa contratada para Brinks? Resposta: Existe controle de acesso ao sistema e Apps da Contele onde é gerenciado pela Brinks em nossa plataforma app.contelege.com.br Saiba mais em > https://help.contele.io/pt-br/hierarquias-de-acesso-ao-sistema Pergunta: Existe alguma politica que realiza o controle de acessos externos, garantido que só pessoas/redes aprovadas pelo BSO consegue conectar no ambiente? Resposta: Sim. Ambientes são acessvéis apenas dentro da rede (IP) Contele. Pergunta: É possível aplicar controle de acesso ao Sistema/Console provido pela empresa contratada para Brinks? Resposta: O controle de acesso é feito por usuario e senha. Pergunta: Existe algum procedimento para gestão das mudanças, registro, aprovação, planejamento de testes, homologação e transferência para produção? Resposta: Desenvolvimento é realizado em ambiente de testes (staging), sistema possui versionamento e atualizações são publicadas em produçao para todos os clientes após fluxo interno de validações dos QAs. Pergunta: Qual o SLA contratado para recuperação de dados? Caso tenha um contrato com mais de um SLA, poderia disponibilizar por favor? Resposta: https://cloud.google.com/bigquery/sla ; https://cloud.google.com/sql/sla ; https://cloud.google.com/storage/sla Pergunta: Qual o plano de backup contratado para o ambiente? Poderia compartilhar o contrato de backup? Resposta: Focando na recuperação em casos de desastre, nossos buckets são multi regionais e possuem versionamento de objetos; os nossos bancos de dados possuem backups PIT até D-4, backups diarios até D-7 e backups semanais. Pergunta: Há um processo formalizado de Plano de continuidade da aplicação ou Serviço prestado? Resposta: Sim. A Contele é um SaaS é um software disponibilizado para os mais de 1500 clientes da Contele e nos comprometemos de acordo com nossos termos de uso. Pergunta: "Qual são o RTO e RPO definidos para recuperação da aplicação ou Serviço prestados? Recovery Point Objetive ou RPO: diz respeito à quantidade de informação que é tolerável perder, no caso de uma parada nas operações. Recovery Time Objective ou RTO: diz respeito à quantidade de tempo que as operações levam para voltar ao normal, após uma parada." Resposta: Não se aplica. Nossos backups são do tipo Disater Recovery. Logo, a a sua empresa é responsável pelo gerenciamento de seus dados a partir das hierarquias de acessos: https://help.contele.io/pt-br/hierarquias-de-acesso-ao-sistema Pergunta: Caso a aplicação esteja hospedada em cloud, é possível aplicar algum tipo de restrição de acesso ao Console da Ferramenta apenas para nossa empresa e aliada ao controle de usuário, onde fique restrito e disponível apenas aos colaboradores da nossa que acessarem o recurso apenas de dentro da nossa rede. Normalmente é aplicada uma restrição de acesso apenas dos endereços IPs da nossa empresa, ou seja, de outras fontes o endereço não é acessado. Resposta: Há possibilidade de restriação apenas aos dominios Contele.
Pergunta: Realize uma breve descrição de cada sistema contratado. Resposta: Sistema para gestão de equipes externas através do App para Android e iOS com acesso web para planejamento, agendamento, monitoramento e análise dos dados. Pergunta: Existe alguma documentação técnica do sistema, procedimentos e estrutura de dados? Caso sim, compartilhe os documentos utilizados. Resposta: Sistema possui artigos de ajuda para usuários de todos os níveis com vídeos treinamentos e certificação dos usuários. Pergunta: Existe um mapeamento dos Jobs, Scripts e rotinas que aplicação utiliza? Resposta: Existe, porém esses jobs são privados e não transparentes aos usuários. Pergunta: A aplicação é capaz de gerenciar politicas de senha? Caso Positivo, por favor descreva a politica utilizada, adicionalmente citar também caso a aplicação não contemple algumas destas funcionalidades: Possibilidade de se definir um tamanho mínimo de caracteres, troca periódica obrigatória de senha em até 30 dias, impossibilidade de repetição das últimas 10 senhas já utilizadas, bloqueio da conta após 5 tentativas invalidas de inserção da senha, uso de complexidade para composição da senha (letras maiúsculas, minúsculas, números e caracteres especiais, impossibilidade de utilizar caracteres consecutivos ou sequenciais, Desconexão por inatividade após 15 minutos, controle de bloqueio automático de usuários quando não acessar o sistema por 45 dias. A senha deverá ser armazenada utilizando criptografia irreversível. Resposta: É possível o cliente definir essa politica. A sua empresa através da hierarquia do tipo gestor pode definir as senhas de cada usuário seguindo o padrão definido pela sua empresa, então cabe a sua empresa esse gerenciamento. Pergunta: A aplicação suporta dois fatores de autenticação? Resposta: Não. Pergunta: Quais RFC foram utilizadas para o desenvolvimento dos fatores de autenticação? (RFC6749, RFC6750, OWASP, etc.) Resposta: Não se aplica pois aplicação não utiliza 2 fatores. Pergunta: A aplicação suporta autenticação via LDAP? Resposta: Não. Pergunta: As informações de autenticação, são criptografadas para armazenamento em banco de dados? Resposta: SIm. Pergunta: O banco de dados é criptografado? Resposta: O acesso é restrito e informações sensiveis são criptografadas. Pergunta: Os módulos de gerenciamento dos usuários/perfis, são modulares? É possível configurar apenas uma tela para um perfil? Resposta: Uma tela não porém usuários do App não ter permissão de edição e leitura de todoas as telas. Segue detalhamento de todas as permissões: https://help.contele.io/pt-br/hierarquias-de-acesso-ao-sistema Pergunta: A aplicação possui usuários genéricos? Resposta: Sim.
Pergunta: Qual o fluxo utilizado para concessão de acesso? Resposta: Definido pela sua empresa através do acesso app.contelege.com.br seguindo as hierarquias de acesso: https://help.contele.io/pt-br/hierarquias-de-acesso-ao-sistema Pergunta: A aplicação utiliza recursos da GITHUB, ou recursos de origem similares? Resposta: SIm Pergunta: Quais certificações aplicações possui, ou atende os pré-requisitos de desenvolvimento? Resposta: Sim, atende os pré-requisitos de desenvolvimento e Contele operacionamento segue norma ISO9001. Pergunta: A aplicação armazena logs de acesso, logs de alteração, logs de auditoria? Resposta: Sim. Para determinados eventos no sistema existe um registro de modificações. Pergunta: A aplicação possui Certificado SSL? Resposta: Sim. Pergunta: Existe algum procedimento para gestão das mudanças, registro, aprovação, planejamento de testes, homologação e transferência para produção? Resposta: Sim. Desenvolvimento é realizado em ambientes de testes (stagging) e publicados em produção sem indisponibilidade da aplicação apenas após validações internas de QAs. Pergunta: A aplicação e Compliance as normas PCI e Lei do Sigilo Bancário? Resposta: Não se aplica pois aplicação não lida com dados bancários. Pergunta: A empresa possui iniciativas para garantir o cumprimento com a resolução P: 4.658 do BACEN, a nova regulamentação Europeia de proteção de dados GDPR (General Data Protection Regulation) e para o Projeto de Lei 5.276/2016, que versa sobre a proteção de dados pessoais? Quais são? Resposta: Sim. Segue clausula de confidencialidade dos dados de nosso termo de uso: https://contelege.com.br/termos-uso/#confidencialidade. e LGPD, Termo de Uso e Política de Privacidade Adequação à Lei Geral de Proteção de Dados (Lei 13.709/2018) https://help.contele.io/pt-br/lgpd-termo-de-uso-e-politica-de-privacidade" Pergunta: Como são realizados os controles para evitar ataques de SQL Inject? Resposta: os inputs de requests são tratados em nivel de aplicação. Pergunta: Utiliza comunicação segura? Two-way SSL, Oauth? Resposta: Sim. É utilizado https e tokens de autenticação. Pergunta: Utiliza criptografia segura para armazenamento das informações disponibilizada pelo WebAPI? Resposta: SIm. Pergunta: Utiliza "og obfuscation e data obfuscation" para transferência de dados? Resposta: o protocolo https garante a criptografia ponta a ponta (cliente e servidor). Pergunta: Utiliza mecanismos de validação na importação de XML e XSL? Utiliza "White list input"? Resposta: as API's são json. E os inputs/outputs são validados. Pergunta: Utiliza API security gateway? Resposta: Sim. Pergunta: Utiliza API Management com autenticação Oauth 2.0? Resposta: Não utilizamos oauth. Pergunta: Quais prevenções são tomadas para evitar ataques "Cross-Site Scripting (XSS) Resposta: Os inputs nas api's são validados. Pergunta: Utiliza o processo de "Deserialization"? Utiliza lista de fontes confiáveis? Resposta: Não há necessidade. Pergunta: Utilize Interceptor de String Match conditions for valid URLs? Resposta: SIm. Os endpoints são predefinidos. Pergunta: Realiza monitoramento de tentativas de conexão? Resposta: Existe o acesslog do balanceador de carga. O monitoramento é feito quando necessario. Pergunta: Utiliza REST, GraphQL, JSON para monitorar os logs do WebAPI? Resposta: REST e JSON são utilizados. Pergunta: Realize uma breve descrição de como e recepcionado os vídeos gerados pelas câmeras. Resposta: Não se aplica Pergunta: Qual controle é realizado sobre as conexões originadas pelas câmeras? Resposta: Não se aplica Pergunta: Os clientes conseguem adicionar novas câmeras sem o acompanhamento técnico, ou uma validação do time de suporte? Resposta: Não se aplica Pergunta: Como é gerenciado as vulnerabilidades que podem ser recebidas através das conexões das câmeras? Resposta: Não se aplica Pergunta: Utiliza mecanismos de validação de origem da conexão da câmera? Resposta: Não se aplica
|