Segurança e Confiança

Plataforma

‍

SEGURANÇA DE APLICAÇÕES E CENTROS DE DADOS

21 de Maio de 2020

Toda a infra-estrutura aplicacional da Remix é atualmente gerenciada pela Amazon Web Services (AWS) e Heroku, uma subsidiária da Salesforce. Todos os dados são armazenados em centros de dados gerenciados pela Amazon. Estes centros de dados receberam as certificações ISO 27001 e SOC, Federal Information Security Management Act (FISMA) Moderate Authorization e acreditação da Administração de Serviços Gerais dos Estados Unidos.

Mais sobre conformidade e segurança dos Web Services da Amazon

Mais sobre a política de segurança de Heroku

‍

ISOLAMENTO DE DADOS

Os dados sensíveis são ingeridos, processados e armazenados em um ambiente isolado e seguro no AWS, referido como uma conta de dados de parceiro. A agregação é feita dentro da conta de dados do parceiro, e apenas os dados agregados a deixam. A conta isolada requer passos adicionais para que os desenvolvedores da Remix tenham acesso, incluindo um processo de aprovação por escrito e treinamento especializado.

‍

MONITORIZAÇÃO DE SEGURANÇA DE REDE

Nossos provedores de nuvem e sistema centralizado de registro e alerta fornecem recursos de detecção de intrusão que nos alertam sobre comportamentos suspeitos e maliciosos. Os feeds incluem informações de eventos da rede, eventos do sistema interno e feeds de inteligência de vulnerabilidade/ameaça.

‍

TRANSFERÊNCIA SEGURA DE DADOS

Nossas APIs e front-ends web estão todos configurados para utilizar a última versão do TLS (uma vez amplamente suportada pelos navegadores e nossos provedores de cloud hosting), verificar um certificado válido, assinado, específico do domínio e utilizar um forte conjunto de protocolos criptográficos. A nossa filosofia encriptada por defeito também significa que não suportamos comunicações não encriptadas (por exemplo, https -> http).

‍

CLASSIFICAÇÃO DE DADOS

Nós classificamos os dados de acordo com o tipo e sensibilidade e usamos essa classificação para definir quais sistemas estão autorizados a acessar e armazenar diferentes tipos de dados. A classificação da sensibilidade dos dados é utilizada no processo de avaliação de risco para determinar o nível apropriado de controles de segurança.

‍

CONTROLES DE ACESSO À BASE DE DADOS

A Remix tem uma política para limitar o acesso direto a bancos de dados e backups para os engenheiros da Remix. O acesso aos dados sensíveis é limitado estritamente às pessoas que precisam deles para fazer o seu trabalho. Revisamos o acesso periodicamente e  desautorizamos às pessoas que já não precisam de acesso. Cada desenvolvedor tem credenciais únicas e a autenticação de 2 fatores é aplicada.

‍

SEGURANÇA DE ARMAZENAMENTO

Remix usa AWS e Heroku para armazenar dados e documentos de clientes. Estas bases de dados têm isolamento ao nível da rede através de Virtual Private Clouds (VPCs) e o acesso é controlado através de Access Control Lists (ACLs). Nossa política é negar automaticamente qualquer tráfego que não seja explicitamente permitido para ou a partir de uma base de dados. Além do isolamento da rede, todos os dados são criptografados em repouso e em trânsito.

Mais sobre os VPCs da Amazon

Mais sobre os Espaços Privados Heroku

‍

Pessoas

‍

CONTROLO DE ACESSO BASEADO EM USUÁRIOS

A Remix emprega controles de acesso baseados em funções para gerenciar o acesso a servidores que contêm dados de aplicações. Esses controles são projetados para exigir que funcionários autorizados usem credenciais de conta e autenticação individual para obter acesso. Remix controla o acesso a servidores e armazéns de dados através de autenticação tratada com sessões SSH baseadas em chaves. Operamos com base no Princípio do Menor Privilégio, que foi concebido para que o acesso a um sistema só seja concedido se for absolutamente necessário para atender a uma necessidade comercial legítima. Nossa política é que os funcionários só tenham acesso aos dados e sistemas de que precisam para fazer seu trabalho. 

A Remix oferece treinamento de conscientização de segurança para todos os funcionários. A Remix assegurará que apenas o pessoal autorizado faça login e que o acesso seja removido em tempo.

‍

ACESSO AOS CÓDIGOS

O codebase da Remix é atualmente armazenado no GitHub e requer autenticação multi-fator e autorização baseada em equipe para visualizar ou editar. Todas as mudanças na base de código são registradas com o nome da pessoa que fez a mudança, a hora e exatamente quais linhas de código mudaram. Todas as alterações no código em execução nos servidores de produção são revistas por pares com atenção específica à segurança antes de serem implementadas. Uma pista de auditoria é mantida para todas as alterações de código em execução na produção.

‍

COMPUTADORES INDIVIDUAIS

Todos os computadores emitidos pela empresa são implantados com proteção por senha e discos rígidos criptografados.

‍

AUTENTICAÇÃO DO USUÁRIO

Os usuários da Remix devem se autenticar com um e-mail e senha. As senhas são armazenadas apenas como hashes criptográficos unidirecionais, e nunca em texto puro.

‍

SEGURANÇA DO PESSOAL

A Remix formalizou as políticas e procedimentos de contratação, gestão de desempenho e práticas de rescisão. O acesso aos sistemas da empresa é removido o mais rápido possível, uma vez que não é mais necessário. A Remix realiza verificações completas de antecedentes pré-contratação, na medida do permitido por lei.

Processo

‍

SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES

Nossos desenvolvedores revisam padrões de codificação seguros aplicáveis aos ambientes, idiomas e plataformas em que estão trabalhando. Esses padrões podem incluir a garantia de controle de acesso aos dados, a higienização dos valores de entrada/saída e as violações de registro que podem indicar um ataque ou vulnerabilidade.

‍

DEVOLUÇÃO DE DADOS

A Remix pretende ser um guardião responsável dos dados do cliente, e apagará todos os dados do cliente a pedido ou no final da relação da Remix com o cliente. 

‍

GESTÃO DE CREDENCIAIS

Atualmente utilizamos o AWS Secrets Manager e AWS Parameter Store para armazenar e gerir todos os segredos na conta de dados do parceiro. Os segredos são automaticamente rodados em um horário regular. Todos os segredos são encriptados no descanso, utilizando chaves de assinatura geridas através do AWS Key Management Service, e encriptados em trânsito através de ligações seguras TLS. O acesso a segredos específicos é restrito aos serviços que necessitam de acesso, e aos engenheiros Remix que mantêm esses serviços.

‍

AVALIAÇÕES DE VULNERABILIDADE

A Remix traz periodicamente uma equipa externa para testar a nossa segurança, incluindo auditorias de conformidade e testes de penetração SOC-2. As avaliações são baseadas nas tendências atuais de ataque e verificação das melhores práticas (por exemplo, OWASP Top 10). As conclusões são revistas e corrigidas pelas nossas equipas técnicas.

‍

AUDITORIA

É nossa política registrar todas as ações tomadas por um usuário ou serviço (usando uma função) e reportar esses registros automaticamente ao AWS CloudTrail.

Privacidade

USO DE DADOS

A nossa missão é ajudar a construir cidades mais habitáveis. Fazemos ferramentas de software que as cidades utilizam para entender os sistemas de transporte urbano multimodal e melhorar a segurança, o acesso à mobilidade e a sustentabilidade nas comunidades. Onde essas ferramentas incorporam dados de mobilidade, nossos contratos com cidades e empresas de mobilidade regem nosso acesso aos dados e limitam o que podemos e não podemos fazer com eles.

Recebemos as nossas receitas da construção de grandes tecnologias e serviços. A publicidade não faz parte do nosso modelo de negócio e não vendemos informações pessoais.

COMPARTILHAMENTO DE DADOS

A Remix tem obrigações contratuais para com os clientes da cidade que regem a nossa capacidade de recolher, utilizar, partilhar, proteger e apagar vários dados que nos são fornecidos.