Passar para o conteúdo principal

Segurança e privacidade: perguntas e respostas

🦉 Segurança ✓ Privacidade ✓ Perguntas e respostas ✓ Arquitetura de software ✓ RGPD

Este artigo descreve algumas das técnicas e procedimentos que temos em vigor.

Na Easy LMS, a segurança dos seus dados é a nossa principal prioridade. Estamos constantemente a tentar quebrar os nossos próprios sistemas de segurança para identificar pontos fracos.

Arquitetura do software

O Easy LMS é construído em cima do nosso próprio Sistema de Gestão de Conteúdos (CMS). Este sistema é desenvolvido com base na estrutura PHP Yii de código aberto. O Yii utiliza uma arquitetura baseada em modelo-visão-controlador (MVC) que permite um código estruturado, limpo e de fácil manutenção. O Yii é considerado sólido, rápido e seguro.

Estrutura Yii

Utilizamos muitas das funcionalidades de segurança incorporadas no Yii, como a encriptação de dados, a prevenção de XSS e a higienização de dados. Os dados de entrada do utilizador são sempre validados no servidor, mesmo que a validação do lado do cliente também seja utilizada.

Autenticação

Autorização de função

Temos vários tipos de utilizadores que podem aceder ao sistema, como pode ver no diagrama abaixo. Por nível de segurança, cada função tem acesso a partes extra do sistema e aos dados. A partir do nível de suporte, utilizamos um tipo de início de sessão que difere de um início de sessão de cliente como camada de segurança adicional.

Perguntas frequentes

Segue-se uma lista de perguntas de segurança que recebemos frequentemente.

Onde estão localizados os vossos servidores?

O Easy LMS funciona numa nuvem da Amazon Web Services, ou AWS para abreviar. Os servidores e bases de dados estão fisicamente localizados em Frankfurt, Alemanha.

Como é que protegem os meus dados?

Protegemos os seus dados de várias formas:

  • Todos os dados são armazenados numa base de dados totalmente encriptada. Isto significa que os dados na base de dados só podem ser recuperados de formas específicas.

  • Os dados pessoais que solicitamos são armazenados na base de dados utilizando uma camada extra de encriptação. Isto significa que, mesmo que a base de dados seja comprometida, um atacante não conseguirá ler os dados sem a chave para os desencriptar.

  • As palavras-passe são armazenadas utilizando um algoritmo de hashing altamente seguro. Ao contrário do que acontece com outros dados, é impossível recuperar a palavra-passe original a partir do seu hash.

  • As palavras-passe nunca são enviadas a ninguém, seja de que forma for.

  • Toda a comunicação entre o cliente (você) e o servidor é feita através de uma ligação encriptada.

Quem tem acesso aos meus dados?

Você, em qualquer altura. Nós podemos aceder a alguns dos seus dados, por exemplo, para fins de apoio e facturas. Nunca partilhamos os seus dados sem o seu consentimento.

Quem tem acesso à base de dados?

A nossa base de dados é acessível apenas a utilizadores autorizados. Esta autorização é gerida por um sistema separado, pelo que nenhuma conta Easy LMS tem acesso direto à base de dados. Este sistema só pode ser acedido a partir da nossa própria rede interna.

Processam e armazenam dados pessoais?

Apenas solicitamos os dados de que necessitamos, por exemplo, para faturação. Guardamos estes dados encriptados na nossa base de dados.

Existe algum procedimento em caso de fuga de dados?

Sim. Se for detectada uma fuga de dados, tomaremos imediatamente medidas para, em primeiro lugar, reparar a fuga e desativar o acesso externo. Informaremos as partes interessadas no prazo de 48 horas após a deteção de uma fuga de dados.

Que tipo de encriptação utilizam?

  • A comunicação é efectuada através de HTTPS (TLS 1.2).

  • Todos os dados são encriptados com AES-256.

  • As palavras-passe são armazenadas utilizando bcrypt-hashing.

  • Os dados pessoais são armazenados utilizando a encriptação CBC ou ECB (dependendo do tipo e da utilização).

Suportam o início de sessão único (SSO)?

Sim. Pode ler sobre os métodos SSO que suportamos.

Têm cópias de segurança?

Sim, temos. Tiramos instantâneos diários da base de dados com um período de retenção de 35 dias.

Que tipo de suporte têm?

Pode contactar-nos através do nosso sítio Web. O nosso departamento de apoio está disponível das 08:30 às 16:30 (CET), de segunda a sexta-feira. Os nossos consultores de apoio falam holandês, inglês, alemão e polaco. Prestamos apoio em todas as outras línguas através de tradução automática.

Quanto tempo é necessário para responder a um pedido?

Depende do tipo de pedido, mas, normalmente, no prazo de 24 horas.

Efectuam testes de penetração?

Estamos a estudar esta questão. Alguns dos nossos clientes realizam os seus próprios testes de penetração no nosso sistema e partilham os seus resultados. Escusado será dizer que quaisquer problemas que surjam recebem a nossa atenção imediata.

Posso efetuar um teste de penetração?

Convidamo-lo a fazê-lo, tal como outros clientes já o fizeram. Pedimos-lhe que nos informe antecipadamente para que possamos antecipar qualquer pressão adicional sobre os nossos servidores.

Com que frequência actualizam o software?

Continuamente. Estamos constantemente a trabalhar para melhorar a segurança do software e adicionar novas funcionalidades. Sempre que há uma correção para um bug ou um problema de segurança, nós implementamo-la imediatamente.

Como é que testam o vosso software?

Testamos o nosso software manual e automaticamente. Antes de cada implementação, o nosso sistema passa por várias fases. Uma delas é a fase de teste. Durante esta fase, um sistema automatizado executa milhares de testes automatizados, como testes unitários, testes funcionais e testes de integração. Isto garante que quaisquer alterações que façamos ao nosso software não quebram outras funcionalidades ou medidas de segurança. Mesmo que apenas um teste falhe, a compilação é rejeitada e enviada de volta ao desenvolvimento para correção.

Todos os funcionários encarregados do processamento de dados estão comprometidos com o sigilo dos dados?

Sim, cada um dos nossos funcionários assina uma declaração em que se compromete a nunca partilhar qualquer informação com partes que não estejam envolvidas.

Têm algum processo de proteção em vigor?

Sim, temos:

  • Todos os patches de segurança dos nossos sistemas operativos são instalados.

  • Temos antivírus e anti-spyware instalados em todos os nossos sistemas.

  • Dispomos de proteção de terminais.

  • Todas as credenciais de início de sessão, tanto nas nossas estações de trabalho como na plataforma, têm de ser fortes. Utilizamos a autenticação de dois factores quando apropriado.

  • Bloqueamos todos os PCs automaticamente quando alguém sai do seu posto de trabalho.

  • Dispomos de uma firewall.

Como é feita a separação entre as credenciais da rede corporativa e o ambiente de produção?

As credenciais da rede corporativa são diferentes das credenciais do ambiente de produção, adicionando uma camada extra de segurança. As credenciais do ambiente de produção só estão disponíveis para DevOps e SysAdmins. Os registos de acesso são mantidos.

Como é organizado o acesso e a gestão de chaves?

Cada sistema tem um proprietário que é responsável pelo seu acesso e gestão de chaves. Só atribuímos acesso se for necessário para o trabalho do funcionário, e todos os pedidos de acesso são registados e monitorizados.

Estão em conformidade com o RGPD?

O RGPD entrou em vigor a 25 de maio de 2018. Temos o prazer de confirmar que o Easy LMS está totalmente em conformidade com o GDPR. Atualizamos nossa Política de Privacidade, Termos e Condições e operações de acordo com o GDPR. Nosso Contrato de Processamento de Dados está disponível em nosso site e faz parte de nossos Termos e Condições. Leia mais sobre o GDRP e o que ele implica.

Têm a certificação ISO 27001?

Sim! Temos a certificação ISO 27001. Isto significa que temos um sistema de gestão de segurança da informação (ISMS) que cumpre as normas internacionais para garantir que os seus dados estão seguros ao nosso cuidado. Também nos ajuda a melhorar continuamente a nossa segurança e a forma como lidamos com potenciais incidentes.

Fornecem autenticação de dois factores para os administradores?

Sim! Qualquer administrador pode configurar a autenticação de dois factores (2FA) no seu perfil. Cada administrador deve configurar a 2FA por si próprio. Esta funcionalidade não pode ser imposta por um administrador global ou pelo proprietário da conta. Leia mais sobre como configurar a 2FA.

Artigos relacionados
Enviar mensagens de correio eletrónico a partir do seu próprio endereço de correio eletrónico
Política de segurança da informação
Como partilhar o seu conteúdo com a academia
Medidas técnicas e organizacionais
Funcionalidades Beta
Respondeu à sua pergunta?