Com o grande aumento do trabalho remoto e do comércio eletrônico, as empresas notaram a necessidade de desenvolver um ambiente online protegido e seguro. Embora a segurança tenha se tornado um assunto muito falado no mercado, menos de um terço das empresas têm equipes dedicadas de segurança cibernética e a maioria das empresas só investe em cibersegurança após incidentes.
Na Wake, temos o compromisso de mudar este cenário.
Desenvolvemos e qualificamos a todo tempo uma equipe dedicada para garantir que forneçamos à todos tranquilidade, confiança e segurança quando o assunto é Segurança e Privacidade. Entendemos a importância e a necessidade de adotar práticas de segurança líderes do setor e tecnologias necessárias para proteger os dados dos clientes.
Nossas práticas de segurança estão incorporadas em nossos processos, pessoas e tecnologias. Nossos clientes confiam em nós para fornecer altos níveis de integridade, confidencialidade e disponibilidade de dados.
Nossos Valores e Compromissos
Aqui temos o compromisso de seguir as melhores práticas e medidas de segurança, garantindo que os acessos sejam controlados e os dados estejam seguros e protegidos.
Nossas Diretrizes
Para melhorar continuamente nossa postura de segurança, utilizamos as principais normas e Frameworks de mercado, como o ISO 27001 e CIS, para medir a maturidade e eficiência de nossos programas de segurança. Este conjunto de normas e Framework, são referência internacional para a gestão de Segurança da Informação.
Programa de Segurança da Informação
Na Wake, temos um programa de Segurança da Informação implementado e gerenciado por uma liderança comprometida em elevar o nível de maturidade de segurança para todo o nosso ecossistema.
Possuímos uma política de Segurança da Informação que é transmitida a toda a companhia através dos nossos canais internos de comunicação e aprendizado. A política é revisada anualmente ou conforme necessidade. A nossa política de Segurança da Informação é orientada à norma ISO IEC 27001, frameworks com as melhores e atuais práticas de segurança do mercado, leis de proteção de dados e outras obrigações aplicáveis ao contexto da Wake.
A Wake possui uma equipe especializada em Segurança da Informação, nossa equipe é estruturada e dedicada para suportar os principais processos de segurança.
Auditoria e Conformidade
Auditorias de Conformidade Internas
As auditorias internas de conformidade são conduzidas por nossa equipe de auditoria interna e ocorrem periodicamente, como preparação para auditorias externas e como um validador de nossos processos de segurança.
Auditorias de Conformidade Externas
As auditorias externas são realizadas por empresas independentes e são monitoradas por nossa equipe de segurança da informação. Seus resultados são utilizados para melhorar nossos processos internos e corrigir possíveis falhas.
Educação e conscientização sobre segurança
Consideramos nossos funcionários parte extremamente importante na defesa e proteção dos dados da nossa empresa e dos nossos clientes. Temos uma equipe e ferramentas adequadas para trabalhar a conscientização, o envolvimento e a educação de nossos funcionários sobre as práticas recomendadas de segurança e a adoção de recursos de segurança na Wake. Nossos programas abrangem a integração de novos funcionários, treinamento anual de segurança e entendimento sobre nossa política de segurança.
Anualmente estabelecemos um cronograma para o nosso programa de educação e revisamos sempre os nossos conteúdos, considerando os cenários.
Dispomos de canais para notificação de comportamentos inadequados. Além disso, possuímos um processo de sanções que será aplicado para os funcionários que não cumprem as políticas e padrões de segurança da informação estabelecidos.
151 Security
Gestão de Ativos
Nossos ativos são gerenciados de forma centralizada por meio de um sistema de gerenciamento de inventário que armazena o proprietário, status e informações descritivas dos ativos. Após a aquisição, os ativos são verificados e configurados dentro dos padrões necessários para ser entregue a um novo proprietário. Além disso, os ativos em manutenção são verificados e monitorados quanto à propriedade, status e resolução. Vale ainda ressaltar que a Wake opera 100% na nuvem e é grande parceira da AWS (Amazon Web Services) no Brasil. Assim, não há necessidade de inventário de ativos físicos para nossos recursos em nuvem. Para inventário de software, utilizamos o inventário do AWS System Manager, que fornece visibilidade em nosso ambiente de computação da AWS.
Os dispositivos de armazenamento de mídia usados para armazenar dados do cliente são classificados como críticos e tratados adequadamente, como de alto impacto, ao longo de seus ciclos de vida.
A AWS utiliza padrões rigorosos sobre como instalar, fazer manutenção e, eventualmente, destruir os dispositivos quando eles não forem mais úteis. Quando um dispositivo de armazenamento chega ao fim de sua vida útil, ele é desativado usando técnicas detalhadas no NIST 800-88. A mídia utilizada para armazenar os dados do cliente não é removida do controle até que seja desativada com segurança.
Acesso, Identificação e Autenticação
A Wake controla e monitora rigorosamente o acesso aos nossos ambientes de produção. Somente os funcionários cujas funções de trabalho exigem acesso podem se qualificar com a permissão para acessar nossos sistemas. Essa diretriz está alinhada com a nossa prática do Princípio do Mínimo Privilégio e Segregação de Funções, onde o acesso é concedido com base em necessidade legítima. Funcionários privilegiados da Wake, como engenheiros de confiabilidade da plataforma, precisam usar várias camadas de autenticação de dois fatores para acessar um ambiente segregado e gerenciar. Os administradores com acesso lógico aos sistemas não têm acesso físico aos datacenters. O acesso lógico aos sistemas que fornecem nossos serviços é restrito à equipe de Site Reliability Engineering (SRE) da Wake. Os repositórios com os códigos da plataforma são privados, adicionar e remover usuários da organização faz parte dos processos de contratação e demissão. Apenas os Engenheiros de Desenvolvimento da Wake têm acesso aos repositórios de código.
Adotamos configurações seguras e política de senha robusta para o acesso aos nossos sistemas, tais como, quantidade mínima de caracteres e caracteres especiais, periodicidade de troca de senhas, não utilização das últimas senhas, controle e inatividade de sessão e muito mais.
Quando um funcionário é desligado, imediatamente seus acessos são inativados, protegendo o acesso a sistemas de produção.
Desta forma, contas privilegiadas são bloqueadas, as conexões ativas são encerradas e os tokens de autenticação de dois fatores são removidos. Nossa equipe de controle de acessos revisam o acesso lógico periodicamente e verificam se os usuários encerrados foram removidos dos respectivos sistemas por meio de um sistema de ticket interno.
Também revisamos as transferências de funcionários entre setores para garantirmos que os acessos à rede, servidor, bancos de dados e sistemas em geral ainda sejam apropriados para sua nova função de trabalho.
Segurança dos Dados
Classificação e Proteção dos Dados
Para nós, os dados devem ser classificados considerando os impactos de confidencialidade, integridade e disponibilidade em alto, moderado e baixo. Essa estrutura resultará em uma das três classificações, respectivamente: restrita, confidencial ou pública. Por exemplo, o seguinte tipo de dado é considerado como confidencial e crítico dentro da nossa escala de classificação da informação:
Informações de Identificação Pessoal (PII)
Lembre-se, estamos comprometidos em manter seus dados seguros e protegidos. Nossas informações críticas devem sempre ser criptografadas não apenas em trânsito, mas também em repouso. Portanto, todos os dados confidenciais são criptografados.
Retenção dos Dados
Os dados do cliente final são excluídos mediante solicitação, em conformidade com a LGDP. Os dados da loja são excluídos 30 dias após o encerramento do contrato, conforme política acordada na assinatura contratual.
Transferência Segura dos Dados
Os dados dos nossos clientes são extremamente valiosos e preservamos sua integridade e confidencialidade durante todo o seu ciclo de vida. Sendo assim, a Wake não transfere nem divulga dados do cliente, exceto para fornecer os serviços e prevenir ou resolver problemas técnicos ou de serviço, a pedido do cliente em relação a questões de suporte ou conforme exigido por lei. Cumprimos as obrigações de governança sob as regulamentações regionais de privacidade e proteção de dados como a Lei Geral de Proteção de Dados (LGPD).
A Wake está totalmente comprometida em cumprir os Regulamentos de Proteção de Dados; é por isso que estamos constantemente atualizando nossos procedimentos de segurança e privacidade de dados pessoais em conformidade com todas as leis de proteção de dados aplicáveis.
Controles Criptográficos
Na Wake, nós lidamos com dados críticos dos clientes, sendo assim, é imprescindível a criptografia dessas informações. O TLS e seu predecessor, o SSL, são protocolos de criptografia para segurança da comunicação sobre redes de computadores.
Segurança do data center e escritórios
Os nossos dados e dos nossos clientes estão hospedados na Amazon (Amazon Web Services) um provedor de serviços de infraestrutura em nuvem pública. Antes de escolher um local, a AWS faz avaliações ambientais e geográficas iniciais. A seleção dos locais dos datacenters é feita com muito cuidado para reduzir riscos ambientais, como enchentes, condições meteorológicas extremas e atividades sísmicas. Nossas zonas de disponibilidade são criadas para ser independentes e estar fisicamente separadas umas das outras.
A AWS permite que apenas funcionários aprovados tenham acesso físico ao datacenter. Todos os funcionários que precisam acessar o datacenter primeiro devem solicitar o acesso e fornecer uma justificativa válida. Vale ainda ressaltar que a AWS opera seus datacenters em conformidade com as diretrizes do Tier III+ (UpTime Institute).
A Wake possui escritórios em Curitiba/PR e São Paulo/SP, possuindo controle de segurança física, tais como monitoramento e controle de acessos em todos os escritórios. O acesso físico é controlado nos pontos de entrada do edifício pela equipe de segurança profissional que utiliza sistema de vigilância, como catracas e outros meios eletrônicos. Esses equipamentos registram as entradas e saídas das pessoas autorizadas através dos registros.
Os escritórios possuem Câmera de Televisão de Circuito Fechado (CFTV). As imagens são mantidas de acordo com os requisitos legais e de conformidade. Também possuímos controles de energia e supressão de incêndio que estão alinhados com as medidas líderes do setor para ajudar a evitar falhas e surtos elétricos.
Segurança do Host
Os serviços da Wake são alimentados por sistemas operacionais configurados e reforçados de acordo com as práticas de segurança recomendadas do setor. Criamos ambientes usando a AMI mais recente fornecida pela AWS para cada serviço de implantação. Ao fazer isso, aproveitamos nossa segurança na proteção que a AWS já oferece para instâncias implantadas por seus serviços.
- Complementamos essa prática de segurança com as seguintes medidas:
- Aplicação de patches de segurança críticos nos sistemas operacionais;
- Monitoramento de eventos de logs com ferramenta específica;
- Monitoramento das alterações no arquivos críticos de configuração para nos notificar sobre as alterações desses arquivos;
- Ativação dos firewalls locais configurados apenas com portas seguras, por exemplo, HTTPS e TLS 1.2 ou superior;
- Remoção de processos, contas e protocolos desnecessários e padrão para redução da superfície de ataque;
- Instalação de software antimalware.
Essas configurações são mantidas durante a implantação de um novo ambiente.
Gerenciamento de mudanças
O Gerenciamento de Mudanças na Wake segue um processo documentado, conforme exigido. A finalidade deste documento é definir como as mudanças feitas nos sistemas de informação são controladas. Queremos que a organização gerencie essas mudanças, para que elas não funcionem como improvisos. Por mais urgente que seja e mesmo aparecendo de última hora, a Gestão de Mudanças quer que a organização avalie a mudança e suas consequências. Nem sempre essas consequências são tão claras, e podem esconder sérios prejuízos. Ao fazer essa análise a organização aumenta as chances de escolher a melhor ideia e não a primeira e, além disso, de não ser surpreendida negativamente depois.
Por isso, a Wake estabeleceu um procedimento para controlar as mudanças. Esse procedimento inclui um estudo das alternativas para realizar a mudança e suas consequências. Além disso, toda mudança deve ser autorizada por alguém que se responsabilize por ela. Para comprovar as conclusões sobre cada avaliação e quem é o responsável por autorizar a mudança.
Registro e Monitoramento de Segurança
O sistema de monitoramento de segurança da informação consiste em uma série de recursos, softwares ligados à Tecnologia da Informação, empregados para prevenir que dados importantes de um negócio ou dos seus clientes sejam acessados e explorados por terceiros. Por isso na Wake monitoramos continuamente os nossos recursos em nosso ambiente em uma escala de 24/7.
Os nossos serviços críticos são monitorados visando identificar possíveis anomalias e ameaças cibernéticas. Os logs dos eventos da infraestrutura interna e dos provedores de infraestrutura da Wake são coletados e centralizados pelo nosso sistema de detecção e resposta, através das regras pré definidas. E utilizando lógica de detecção correlacionada, alertas são gerados. Quando isso ocorre, a nossa equipe de resposta a incidentes investiga as causas desses alertas usando processos e procedimentos padrão.
Além disso, avaliamos periodicamente a eficácia na identificação e resolução das ameaças e riscos, desencadeando a melhoria dos nossos processos automatizados tornando-os cada vez mais eficazes.
Inteligência de ameaças e Resposta a Incidentes
A nossa prioridade é proteger os dados dos nossos clientes e para isso, temos procedimentos complexos que garantem o devido monitoramento dos nossos recursos, com o principal objetivo de identificar potenciais ameaças e para atuar na resposta dessas ameaças de forma rápida e eficaz. Nossa equipe de detecção e resposta é dedicada a desenvolver inteligência contra as ameaças por meio de pesquisas e análises relacionadas a incidentes de segurança. Nosso plano de resposta a incidente foi estruturado de acordo com as quatro principais etapas do processo de resposta:
Preparação
Antes de qualquer plano de resposta, devem-se concentrar esforços na prevenção de incidentes. Para isso é requerida uma avaliação de riscos dos ambientes, aplicação de baselines de segurança, atualização de patches, garantia de mínimo acesso, garantias de segurança de perímetro, prevenção contra malwares e campanhas de educação em segurança.
Identificação do Incidente
O comportamento anômalo é confirmado como incidente caso impacte diretamente a Disponibilidade, Integridade e Confidencialidade das informações, sistemas e serviços, ou quando for proveniente de um Acesso Indevido ou Ataque Explícito.
Contenção, Erradicação e Recuperação
Antes de iniciar qualquer ação de tratamento é indispensável coletar, preservar, proteger e documentar evidências. Nenhuma evidência pode ser excluída. Nenhum ativo envolvido no incidente pode ser alterado ou excluído sem a devida aprovação. Caso as evidências contenham informações confidenciais, devem ser criptografadas. Após um incidente ser contido, deve-se avaliar se outros ambientes estão expostos ou já sofreram o mesmo tipo de ataque para resolver o problema na causa raiz. A equipe responsável deverá restaurar salvaguardas não comprometidas.
Atividade pós incidente
Etapa importante do processo onde serão colhidos os aprendizados e melhorias para os controles de segurança a serem aplicados na etapa de Preparação e gerenciamento de futuros incidentes. O objetivo é analisar o que ocorreu, o que foi feito para intervir e se a intervenção funcionou adequadamente.
Gestão de Vulnerabilidades
A Wake, avalia rigorosamente os recursos testando e identificando as vulnerabilidades realizando scans e testes de penetração em nossos ambientes. Possuímos um cronograma para as verificações de vulnerabilidades, essas verificações ocorrem periodicamente. As vulnerabilidades identificadas são tratadas e endereçadas no nosso processo de gestão de vulnerabilidades e serão devidamente gerenciadas durante todo o seu ciclo de vida.
Além disso, os nossos clientes possuem liberdade para realizar testes nas suas lojas de maneira aberta e transparente. Nossos clientes devem reportar qualquer vulnerabilidade que identifiquem na plataforma da Wake.
Possuímos um processo para receber e avaliar os relatórios dos clientes, e caso seja confirmada pelo time de segurança da Wake, a mesma é endereçada internamente para correção observando sempre o seu nível de criticidade e risco para a plataforma.
Segurança do Perímetro
A Wake usa uma abordagem de várias camadas para proteção dos recursos, adotando processos como segregação de rede, firewall e soluções de Edge Computing para a proteção do perímetro e rede.
Possuímos uma solução de IDS (Intrusion Detection System) e IPS (Instrusion Prevention System) como proteção da camada de rede e monitoramos continuamente o tráfego de rede em busca de anomalias, tanto em nossa rede interna quanto na internet. Nossa solução de Edge Computing atua na mitigação de ataque DDOS, e quando ocorre a identificação de um evento associado a um ataque DDOS, o tráfego será redirecionado para garantir que ele esteja limpo e os clientes possam continuar suas operações normalmente.
As informações do cliente estão contidas em uma conta de loja e são isoladas de diferentes contas pelo nosso modelo de arquitetura de software e pela implementação de armazenamento. As únicas formas de acesso aos dados requerem a indicação explícita de uma conta específica.
Ciclo de Desenvolvimento Seguro
Na Wake nos preocupamos em seguir as melhores diretrizes do mercado quando o assunto é Desenvolvimento Seguro, por isso os engenheiros da Wake desenvolvem seguindo os métodos OWASP Top 10, a fim de prevenir qualquer código malicioso.
Além disso, possuímos um sistema de escaneamento de código no repositório que age captando possíveis vulnerabilidades e erros dentro dos ciclos de desenvolvimento de software.
Após os testes de segurança, o software é implantado em um ambiente de produção seguro. O monitoramento contínuo é realizado para detectar e responder a possíveis ameaças e incidentes de segurança.
Durante toda a vida útil do software, são feitas atualizações e patches de segurança conforme necessário para mitigar novas ameaças e vulnerabilidades. Isso inclui o monitoramento de notificações de segurança, aplicação de correções de segurança e atualização de bibliotecas e dependências.
Gestão e Avaliação de Terceiros
A Wake Commerce garante que seus provedores subcontratados respeitem e sigam as mesmas políticas de segurança oferecidas pela Wake. Possuímos um processo estabelecido de análise de risco de segurança para fornecedores críticos, ou seja, aqueles que irão manusear dados sensíveis.
Avaliamos a postura de segurança e maturidade desses fornecedores com o objetivo de entender quais são os riscos e lacunas e direcionar essas questões para as devidas tomadas de decisões internas. Além disso, todos os nossos fornecedores passam pelo fluxo de avaliação de risco para aderência às leis de proteção de dados e análise de risco do negócio, somente após todas as avaliações necessárias e com um nível de maturidade adequado, seguimos com a contratação.
Gerenciamento de Riscos de Segurança
Nosso programa de gerenciamento de risco traz visibilidade das potenciais ameaças de segurança e nos ajudam a tomar decisões visando os objetivos corporativos.
Consideramos processos de mapeamento de risco para a avaliação da probabilidade e impacto das ameaças que podem afetar nossa capacidade estratégica.
Além disso, a identificação de riscos desencadeia o aprimoramento de nossos sistemas de monitoramento e notificação para lidar com sua eventual materialização, seja notificando as pessoas aptas a tratá-los, seja acionando ações automatizadas que possam mitigá-los ou eliminá-los.
Utilizamos um processo de gerenciamento que aborda todo o ciclo de vida do risco, garantindo que os riscos identificados sejam tratados, mitigados e comunicados, de acordo com a relevância, nosso processo abrange cinco principais etapas. São elas: Identificação, análise e avaliação, comunicações e relatórios, tratamento e monitoramento.
Continuidade de Negócios
Temos um compromisso com nossos clientes a fim de provarmos que somos uma plataforma segura e confiável. Por isso, implementamos um plano de continuidade de negócios que foi elaborado para estarmos preparados para lidar com os efeitos de uma emergência. Pretende-se que seguir as etapas do plano, forneça a base para um retorno relativamente rápido e indolor à rotina comum de funcionamento dos nossos negócios, independentemente da causa.
Nosso plano de Recuperação de Desastres é focado em garantir a continuidade das operações e a disponibilidade de recursos críticos em caso de um desastre, contendo instruções sobre quais ações e como responder a incidentes não planejados e caracterizado como uma crise, esses incidentes podem estar relacionados a desastres naturais, ataques cibernéticos e quaisquer outros eventos disruptivos.
Maturidade de Segurança
Para melhorar continuamente nossa postura de segurança, usamos como base a norma ISO/IEC 27001 e o CIS para medir a maturidade de nossos programas de segurança. A ISO/IEC 27001 e o CIS são referencia internacional para a gestão da Segurança da Informação. Nós os usamos para avaliar e identificar áreas de melhoria.
A ISO/IEC 27001 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. O CIS é um conjunto de práticas recomendadas de segurança cibernética e ações defensivas que ajudam a evitar os principais ataques da atualidade.
Comentários
0 comentário
Por favor, entre para comentar.