Segurança e Infraestrutura da Aplicação

Florianópolis
2024
 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

Sumário

1. OBJETIVO..........................................................................................................................................3
2. DIVULGAÇÃO....................................................................................................................................3
3. CARACTERÍSTICAS ............................................................................................................................3
4. ACESSO DE USUÁRIOS......................................................................................................................4
5. SUPORTE E MONITORAMENTO .......................................................................................................4
6. ACORDO DE NÍVEL DE SERVIÇO .......................................................................................................5
7. TOPOLOGIA E INFRAESTRUTURA .....................................................................................................5
8. LIBERAÇÕES NECESSÁRIAS ...............................................................................................................5
9. REQUISITOS DE SEGURANÇA ...........................................................................................................6
10. PROCESSAMENTO E COLETA DE DADOS..........................................................................................7
11. AUDITORIA DE SEGURANÇA ............................................................................................................8
12. API E INTEGRAÇÕES .........................................................................................................................8
13. RECUPERAÇÃO DE FALHAS ..............................................................................................................8
14. REQUISITOS LEGAIS DE CONFORMIDADE ........................................................................................8
15. CONTROLE DE VERSÃO ....................................................................................................................9

Infraestrutura e Segurança da Aplicação | Checklist Fácil 2

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

1. OBJETIVO
1.1. Estabelecer e apresentar premissas técnicas de infraestrutura e
segurança da aplicação Checklist Fácil.

2. DIVULGAÇÃO
2.1. Este documento está classificado como “interno” e seu
compartilhamento poderá ser realizado após notificação ao responsável de SI
ou Infraestrutura.

3. CARACTERÍSTICAS
3.1. Características da aplicação
3.1.1. A Checklist Fácil é uma plataforma de checklist eletrônico que
ajuda empresas de todos os segmentos a alcançar a padronização em
suas operações por meio da gestão de não conformidades. A aplicação
de checklists pelo Checklist Fácil dispensa o uso de planilhas e papéis.
O aplicativo pode ser utilizado em tablets e smartphones e não
depende do uso de wi-fi ou de dados móveis para o seu funcionamento.
3.1.2. As últimas 3 versões dos navegadores Safari, Microsoft Edge,
Google Chrome e Mozilla Firefox são compatíveis com a versão mais
atual da aplicação.
3.1.3. A aplicação mobile está disponível nas 3 últimas versões de IOS
e Android através das lojas Apple Store e Google Play
respectivamente.
3.2. Características técnicas
3.2.1. A aplicação Web utiliza PHP, Javascript e Python, já a aplicação
mobile utiliza Swift para IOS, e Java e Kotlin para Android. Toda a
infraestrutura está hospedada na nuvem da AWS (Amazon Web
Services), onde são utilizados serviços fornecidos pela própria AWS

Infraestrutura e Segurança da Aplicação | Checklist Fácil 3

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

para gerenciamento e orquestração da aplicação e infraestrutura, tais

como:
3.2.1.1. Load Balancer: usado para manter o equilíbrio e a
estabilidade da aplicação em caso de grandes volumes de
requisições;
3.2.1.2. EKS (Elastic Kubernetes Service): como uma
plataforma para orquestrar os containers na nuvem da AWS;
3.2.1.3. S3: serviço de armazenamento de objetos que armazena
dados como objetos (arquivos e quaisquer metadados que
descrevam o arquivo) em containers de objetos;
3.2.1.4. RDS (Relational Database Service): sendo um serviço
de banco de dados relacional gerenciado e fornecido pela AWS;
3.2.1.5. Entre outros: Alguns serviços já foram mencionados
anteriormente, mas existem diversas outras ferramentas para
gerir a aplicação Checklist Fácil.

4. ACESSO DE USUÁRIOS
4.1. O cliente designará um responsável pelo sistema, o qual terá a
capacidade de criar, renomear e desabilitar usuários, checklist, unidades e
outras configurações do sistema. Os usuários são nominais, não genéricos e
únicos no sistema. Além disso, será necessário estabelecer os níveis de
permissões para cada usuário dentro do sistema, ou seja, se poderá cadastrar
checklists, acessar relatórios etc.

5. SUPORTE E MONITORAMENTO
5.1. O suporte técnico está disponível de segunda a sexta-feira, das 8h às
20h, através do e-mail help@checklistfacil.com. O usuário pode acessar a
nossa base de conhecimento ou abrir um ticket para a nossa equipe de suporte
através da Central de Ajuda, disponível na aplicação após o login.
5.2. A proatividade na gestão do monitoramento da infraestrutura e
aplicações é fortalecida pela integração de várias ferramentas avançadas,
incluindo Zabbix, Sentry, UptimeRobot, CloudWatch (AWS), Grafana e

Infraestrutura e Segurança da Aplicação | Checklist Fácil 4

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

Prometheus. A equipe de infraestrutura recebe alertas em tempo real. Para

aprimorar a eficiência e a agilidade nas comunicações entre os profissionais,
estas ferramentas também foram integradas ao ambiente de colaboração do
Microsoft Teams.

6. ACORDO DE NÍVEL DE SERVIÇO

6.1. De acordo com o contrato estabelecido, a Checklist Fácil tem como
objetivo manter um percentual mínimo de 99% de disponibilidade de aplicação.
6.2. As atividades de manutenção são executadas em períodos fora do
horário comercial, de modo a minimizar os efeitos adversos de
indisponibilidade. A comunicação é realizada com antecedência de 48 horas,
mediante e-mail e por meio de pop-ups na aplicação.

7. TOPOLOGIA E INFRAESTRUTURA

8. LIBERAÇÕES NECESSÁRIAS
Recurso DNS Porta
*.checklistfacil.com.br
Acesso WEB e APIs 443
*.checklistfacil.com

Infraestrutura e Segurança da Aplicação | Checklist Fácil 5

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

fonts.googleapis.com
fonts.gstatic.com
https://www.checklistfacil.com
Site https://blog-pt.checklistfacil.com 443
https://blog-es.checklistfacil.com
ADFS https://samlpsso.rz2.com.br 443
API Mobile https://api-checklist.rz2.com.br 443
S3 https://checklist-data.s3.amazonaws.com 443

9. REQUISITOS DE SEGURANÇA
9.1. A preocupação constante em manter a qualidade e a disponibilidade na
aplicação Checklist Fácil, também se dá pelo uso de procedimentos e
ferramentas para aumentar a segurança. Tais como:
9.1.1. A infraestrutura da Checklist Fácil é hospedada na infraestrutura
da AWS na região Norte da Virgínia e está em conformidade com os
mais rigorosos padrões de controle de Data Centers.
9.1.2. O Security Group da Amazon é usado para controlar o fluxo de
comunicação entre os recursos internos e externos. Utilizamos para
restringir acessos via IPs (OSI - camada 3), protocolos de rede (OSI -
camada 4), protocolos de aplicação (OSI - camada 7) e/ou Security
Group para Security Group.
9.1.3. Utiliza-se o WAF1 (Web Application Firewall) para proteger a
aplicação e APIs contra possíveis ataques comuns na web que podem
afetar a disponibilidade, comprometer a segurança ou consumir
recursos em excesso.
9.1.4. Utilizamos também a ferramenta GuardDuty2, que é um serviço
de detecção de ameaças que monitora constantemente atividades mal-
intencionadas e comportamentos não autorizados para proteger suas
contas e cargas de trabalho da AWS.
9.1.5. A AWS possui a ferramenta AWS Shield3, que realiza a
detecção e mitigação em linha automática e constantemente ativa, o
que reduz o tempo de inatividade e a latência dos aplicativos,
fornecendo proteção contra um dos ataques mais comuns, o DDoS
(Ataque de Negação de Serviço Distribuída) de forma automatizada.
9.1.6. A nossa política de atualização de sistemas operacionais,
bancos de dados e aplicações é baseada em uma avaliação e
atualização conforme a necessidade, primeiramente em um ambiente
de testes para, posteriormente, entrar em produção.
9.1.7. O banco de dados é atualizado pelo RDS4 (Relational Database
Service) com as opções de aplicar patches de segurança diários a fim
de mitigar vulnerabilidades.

1 https://aws.amazon.com/pt/waf/
2 https://aws.amazon.com/pt/guardduty/?nc2=type_a
3 https://aws.amazon.com/pt/shield/?nc2=type_a
4 https://aws.amazon.com/pt/rds/?nc2=type_a

Infraestrutura e Segurança da Aplicação | Checklist Fácil 6

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

9.1.8. As demais aplicações possuem notificações de vulnerabilidades

onde as correções são feitas o mais rápido possível.
9.1.9. Anualmente, são feitos Pentests por empresas terceiras e
distintas com diferentes metodologias, que indicam necessidade de
atualizações ou falhas de segurança.

10. PROCESSAMENTO E COLETA DE DADOS

10.1. O cliente deverá estar de acordo com a política de privacidade 5, antes
de iniciar a utilização da aplicação. Esse termo tem como intuito, descrever os
motivos pelos quais solicitamos seus dados no site www.checklistfacil.com.
Uma vez que o cliente não está de acordo com nossa política de privacidade,
recomendamos ao mesmo que não cadastre as suas informações.
10.2. O acesso aos sistemas se dá através de criptografia TLS e toda
comunicação interna e externa é protegida via certificado TLS 1.2v ou superior
com cifras fortes. A criptografia de dados é realizada através de BCRYPT.
10.3. Atualmente, todos os dados são armazenados na AWS. A estratégia de
recuperação de desastres é baseada na atualização periódica das imagens de
backup dos servidores de aplicação e backup automático por 35 dias do RDS
(Relational Database Service), com isso é possível restaurar os dados em
qualquer momento durante este período.
10.4. Todo funcionário ao ingressar na Checklist Fácil, antes de qualquer
contato com sua rotina de trabalho futura, realiza a assinatura do acordo de
confidencialidade e da política de segurança da informação para
colaboradores, onde possui as melhores práticas de segurança e as
responsabilidades individuais. Depois que o candidato ingressa na empresa,
passará por onboardings (programa interno) e acompanhado de sua liderança
e terá contato com as suas atribuições.
10.5. Em caso de encerramento de contrato, o cliente pode solicitar através
do suporte da Checklist Fácil, a exportação completa de todos os checklists
aplicados em formato CSV, que também pode ser extraído a qualquer
momento diretamente pelo sistema. Após o término do contrato, os dados do
cliente permanecerão inativos por 6 meses. Após este período, os dados serão
excluídos. No entanto, o cliente pode solicitar a exclusão antecipada dos dados
antes do prazo final, onde os dados serão excluídos dentro de 48 horas após
a solicitação.
10.6. O DPO, responsável pela área de conformidade com a LGPD, é o
Rafael Peixoto. Os nossos clientes podem entrar em contato por meio do e-
mail lgpd@checklistfacil.com, para ver questões relacionadas a
processamento de dados.

5 https://www.checklistfacil.com/politica-de-privacidade/

Infraestrutura e Segurança da Aplicação | Checklist Fácil 7

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

11. AUDITORIA DE SEGURANÇA

11.1. A Checklist Fácil é auditada anualmente pela empresa terceira "It4us",
sendo crucial para assegurar a segurança do sistema da empresa e protegê-
la contra diversas ameaças cibernéticas. Além disso, a auditoria visa
assegurar que a organização esteja cumprindo as normas e regulamentações
aplicáveis, o que é crucial para manter a confiança dos clientes e dos parceiros
comerciais.
11.2. Se o cliente deseja agendar uma auditoria na aplicação Checklist Fácil,
é necessário solicitar a viabilidade à nossa equipe de suporte por meio do e-
mail help@checklistfacil.com.
11.3. Além de auditorias, também usamos soluções de teste estático de
segurança de aplicativos (SAST), que, de forma automatizada, testa o código-
fonte para que vulnerabilidades comuns sejam identificadas e corrigidas antes
de serem incluídas na aplicação. Para isso, é utilizado a ferramenta
SonarQube.
11.4. Além disso, há também a implementação do scanner denominado por
Trivy, para fazer a verificação de possíveis falhas e vulnerabilidades em
containers.

12. API E INTEGRAÇÕES

12.1. Para uma melhor integração da aplicação com os sistemas corporativos
do cliente, disponibilizamos a API Integration, que atenderá cenários onde há
a necessidade de automatizar o gerenciamento de cadastros no Checklist
Fácil. Para facilitar o entendimento deste recurso, o cliente pode consultar a
documentação através do endereço
https://app.checklistfacil.com.br/api/integration/documentation.

13. RECUPERAÇÃO DE FALHAS

13.1. A Checklist Fácil mantém seus sistemas totalmente focados na AWS,
uma estratégia de recuperação de desastre que depende da criação e
atualização de AMIs regulares, tais como o backup de servidores de
aplicativos, o backup automático de RDS nos bancos e o versionamento de
código com Git. Toda a estratégia de recuperação de desastres está
documentada internamente e pode levar, em média, 8 horas para a
recuperação total do ambiente.

14. REQUISITOS LEGAIS DE CONFORMIDADE

14.1. A Checklist Fácil armazena todos os dados em nuvem pública da
Amazon (AWS), onde todos os requisitos legais são atendidos normalmente
pelo provedor de nuvem6. A AWS tem em seus termos de serviços a cláusula

6 https://aws.amazon.com/pt/compliance/resources/

Infraestrutura e Segurança da Aplicação | Checklist Fácil 8

 Título Código
Infraestrutura e Segurança da Aplicação POL_005

Unidade de Área Classificação Aprovação Data 1ª Vigência Versão

Negócio Responsável divulgação
UC SI e Infra Interna Infraestrutura 8/11/2022 Indeterminada 1.0

de adequação a LGPD7 (Lei Geral de Proteção de Dados) e a GPDR (General

Data Protection Regulation).
14.2. A AWS também possui um programa de responsabilidade e
conformidade para outros locais do mundo8, bem como a adequação a ISO
27001. Atende a todos os requisitos para a certificação do PCI DSS desde
2010.

15. CONTROLE DE VERSÃO

Versão Elaboração Revisão Aprovação Data Modificação Motivo

Faz parte da
família de
Luis Simon Infraestrutu Revisão Políticas de
1.0 Infraestrutura
ra 26/02/2024 anual das
informações Segurança da
Informação

7 https://aws.amazon.com/pt/compliance/brazil-data-privacy/
8 https://aws.amazon.com/pt/compliance/programs/

Infraestrutura e Segurança da Aplicação | Checklist Fácil 9