Segurança e Confiança

Plataforma

‍

APLICAÇÃO E SEGURANÇA DO CENTRO DE DADOS

21 de Maio de 2020

Toda a infra-estrutura de aplicação para a Remix é actualmente gerida pela Amazon Web Services (AWS) e Heroku, uma subsidiária da Salesforce. Todos os dados são armazenados em centros de dados geridos pela Amazon. Estes centros de dados receberam certificações ISO 27001 e SOC, Federal Information Security Management Act (FISMA) Moderate Authorization, e acreditação da U.S. General Services Administration.

Mais sobre conformidade e segurança dos serviços Web da Amazon

Mais sobre a política de segurança de Heroku

‍

ISOLAMENTO DE DADOS

Os dados sensíveis são ingeridos, processados, e armazenados num ambiente isolado e seguro no AWS, referido como uma conta de dados de parceiro. A agregação é feita dentro da conta de dados do parceiro, e apenas os dados agregados a deixam. A conta isolada requer passos adicionais para o acesso dos criadores do Remix, incluindo um processo de aprovação por escrito e formação especializada.

‍

MONITORIZAÇÃO DA SEGURANÇA DAS REDES

Os nossos fornecedores de nuvens e sistema centralizado de registo e alerta fornecem capacidades de detecção de intrusão que nos alertam de comportamentos suspeitos e maliciosos. Os feeds incluem informação de eventos de rede, eventos do sistema interno, e feeds de vulnerabilidade/ameaça de inteligência.

‍

TRANSFERÊNCIA SEGURA DE DADOS

As nossas APIs e front-ends web estão todas configuradas para utilizar a última versão TLS (uma vez amplamente suportada pelos browsers e pelos nossos fornecedores de cloud hosting), verificar um certificado válido, assinado, específico do domínio e utilizar um forte conjunto de protocolos criptográficos. A nossa filosofia de encriptação por defeito também significa que não suportamos comunicações não encriptadas (por exemplo, https -> http).

‍

CLASSIFICAÇÃO DE DADOS

Classificamos os dados de acordo com o tipo e sensibilidade e utilizamos essa classificação para definir que sistemas estão autorizados a aceder e armazenar diferentes tipos de dados. A classificação da sensibilidade dos dados é utilizada no processo de avaliação de risco para determinar o nível adequado de controlos de segurança...

‍

CONTROLOS DE ACESSO À BASE DE DADOS

A Remix tem uma política para limitar o acesso directo a bases de dados e cópias de segurança aos engenheiros da Remix. O acesso a dados sensíveis é limitado estritamente às pessoas que deles necessitam para fazer o seu trabalho. Revemos o acesso periodicamente e fora de bordo às pessoas que já não precisam de acesso. Cada desenvolvedor tem credenciais únicas e a autenticação de 2 factores é aplicada.

‍

SEGURANÇA DE ARMAZENAMENTO

A Remix utiliza AWS e Heroku para armazenar dados e documentos de clientes. Estas bases de dados têm isolamento ao nível da rede via Virtual Private Clouds (VPCs) e o acesso é controlado via Listas de Controlo de Acesso (ACLs). A nossa política é de negar automaticamente qualquer tráfego que não seja explicitamente permitido de ou para uma base de dados. Para além do isolamento da rede, todos os dados são encriptados em repouso e em trânsito.

Mais sobre os VPCs da Amazónia

Mais sobre os Espaços Privados de Heroku

‍

Pessoas

‍

CONTROLO DE ACESSO BASEADO NO PAPEL

A Remix emprega controlos de acesso baseados em funções para gerir o acesso a servidores que contêm dados de aplicação. Estes controlos são concebidos para exigir aos funcionários autorizados a utilização de contas individuais e credenciais de autenticação para obter acesso. A Remix controla o acesso a servidores e armazéns de dados através de autenticação tratada com sessões SSH baseadas em chaves. Operamos com base no Princípio do Menos Privilégio, que foi concebido para que o acesso a um sistema só seja concedido se for absolutamente necessário para servir uma necessidade comercial legítima. A nossa política é que os empregados só têm acesso aos dados e sistemas de que necessitam para fazer o seu trabalho. 

A Remix oferece formação de sensibilização para a segurança a todos os empregados. A Remix assegurará que apenas o pessoal autorizado inicie a sessão e que o acesso seja removido em tempo útil.

‍

CÓDIGO ACESSO

A base de códigos Remix está actualmente armazenada no GitHub e requer autenticação multi-factor e autorização baseada em equipa para visualizar ou editar. Todas as alterações à base de códigos são registadas com o nome da pessoa que faz a alteração, a hora, e exactamente que linhas de código foram alteradas. Todas as alterações ao código em execução nos servidores de produção são revistas por pares com atenção específica à segurança antes de serem implementadas. É mantida uma pista de auditoria para todas as alterações ao código em execução na produção.

‍

COMPUTADORES INDIVIDUAIS

Todos os computadores emitidos pela empresa são utilizados com protecção por senha e discos rígidos encriptados.

‍

AUTENTICAÇÃO DO UTILIZADOR

Os utilizadores do Remix devem autenticar-se com um e-mail e uma palavra-passe. As palavras-passe são armazenadas apenas como hashes criptográficos unidireccionais com sal, e nunca em texto simples.

‍

SEGURANÇA DO PESSOAL

A Remix formalizou políticas e procedimentos de contratação, gestão de desempenho, e práticas de rescisão. O acesso aos sistemas da empresa é retirado logo que possível, uma vez que já não é necessário. A Remix efectua verificações exaustivas dos antecedentes pré-contratação, na medida do permitido por lei.

Processo

‍

SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES

Os nossos criadores analisam normas de codificação seguras aplicáveis aos ambientes, línguas e plataformas em que estão a trabalhar. Estas normas podem incluir a garantia de controlo de acesso aos dados, a higienização dos valores de entrada / saída, e as violações de registo que possam indicar um ataque ou vulnerabilidade.

‍

DEVOLUÇÃO DE DADOS

A Remix pretende ser um guardião responsável dos dados do cliente, e apagará todos os dados do cliente mediante pedido ou cessação da relação da Remix com o cliente. 

‍

GESTÃO DE CREDENCIAIS

Utilizamos actualmente o AWS Secrets Manager e AWS Parameter Store para armazenar e gerir todos os segredos na conta de dados do parceiro. Os segredos são automaticamente rodados num horário regular. Todos os segredos são encriptados em repouso, utilizando chaves de assinatura geridas através do AWS Key Management Service, e encriptados em trânsito através de ligações seguras TLS. O acesso a segredos específicos é restrito aos serviços que necessitam de acesso, e aos engenheiros Remix que mantêm esses serviços.

‍

AVALIAÇÕES DE VULNERABILIDADE

A Remix traz periodicamente uma equipa externa para testar a nossa segurança, incluindo auditorias de conformidade com o SOC-2 e testes de penetração. As avaliações baseiam-se nas actuais tendências de ataque e verificação das melhores práticas (por exemplo, OWASP Top 10). As conclusões são revistas e remediadas pelas nossas equipas técnicas.

‍

AUDITORIA

É nossa política registar todas as acções tomadas por um utilizador ou um serviço (utilizando uma função) e reportar esses registos automaticamente à AWS CloudTrail.

Privacidade

UTILIZAÇÃO DE DADOS

A nossa missão é ajudar a construir cidades mais habitáveis. Fabricamos ferramentas de software que as cidades utilizam para compreender os sistemas de transporte urbano multimodal e melhorar a segurança, o acesso à mobilidade e a sustentabilidade nas suas comunidades. Onde essas ferramentas incorporam dados sobre mobilidade, os nossos contratos com as cidades e empresas de mobilidade regem o nosso acesso aos dados e limitam o que podemos e não podemos fazer com eles.

Recebemos as nossas receitas da construção de grandes tecnologias e serviços. A publicidade não faz parte do nosso modelo de negócio e não vendemos informações pessoais.

PARTILHA DE DADOS

A Remix tem obrigações contratuais para com os clientes da cidade que regem a nossa capacidade de recolher, utilizar, partilhar, proteger e apagar vários dados que nos são fornecidos.