Escolar Documentos
Profissional Documentos
Cultura Documentos
Florianópolis
2024
Título Código
Infraestrutura e Segurança da Aplicação POL_005
Sumário
1. OBJETIVO..........................................................................................................................................3
2. DIVULGAÇÃO....................................................................................................................................3
3. CARACTERÍSTICAS ............................................................................................................................3
4. ACESSO DE USUÁRIOS......................................................................................................................4
5. SUPORTE E MONITORAMENTO .......................................................................................................4
6. ACORDO DE NÍVEL DE SERVIÇO .......................................................................................................5
7. TOPOLOGIA E INFRAESTRUTURA .....................................................................................................5
8. LIBERAÇÕES NECESSÁRIAS ...............................................................................................................5
9. REQUISITOS DE SEGURANÇA ...........................................................................................................6
10. PROCESSAMENTO E COLETA DE DADOS..........................................................................................7
11. AUDITORIA DE SEGURANÇA ............................................................................................................8
12. API E INTEGRAÇÕES .........................................................................................................................8
13. RECUPERAÇÃO DE FALHAS ..............................................................................................................8
14. REQUISITOS LEGAIS DE CONFORMIDADE ........................................................................................8
15. CONTROLE DE VERSÃO ....................................................................................................................9
1. OBJETIVO
1.1. Estabelecer e apresentar premissas técnicas de infraestrutura e
segurança da aplicação Checklist Fácil.
2. DIVULGAÇÃO
2.1. Este documento está classificado como “interno” e seu
compartilhamento poderá ser realizado após notificação ao responsável de SI
ou Infraestrutura.
3. CARACTERÍSTICAS
3.1. Características da aplicação
3.1.1. A Checklist Fácil é uma plataforma de checklist eletrônico que
ajuda empresas de todos os segmentos a alcançar a padronização em
suas operações por meio da gestão de não conformidades. A aplicação
de checklists pelo Checklist Fácil dispensa o uso de planilhas e papéis.
O aplicativo pode ser utilizado em tablets e smartphones e não
depende do uso de wi-fi ou de dados móveis para o seu funcionamento.
3.1.2. As últimas 3 versões dos navegadores Safari, Microsoft Edge,
Google Chrome e Mozilla Firefox são compatíveis com a versão mais
atual da aplicação.
3.1.3. A aplicação mobile está disponível nas 3 últimas versões de IOS
e Android através das lojas Apple Store e Google Play
respectivamente.
3.2. Características técnicas
3.2.1. A aplicação Web utiliza PHP, Javascript e Python, já a aplicação
mobile utiliza Swift para IOS, e Java e Kotlin para Android. Toda a
infraestrutura está hospedada na nuvem da AWS (Amazon Web
Services), onde são utilizados serviços fornecidos pela própria AWS
4. ACESSO DE USUÁRIOS
4.1. O cliente designará um responsável pelo sistema, o qual terá a
capacidade de criar, renomear e desabilitar usuários, checklist, unidades e
outras configurações do sistema. Os usuários são nominais, não genéricos e
únicos no sistema. Além disso, será necessário estabelecer os níveis de
permissões para cada usuário dentro do sistema, ou seja, se poderá cadastrar
checklists, acessar relatórios etc.
5. SUPORTE E MONITORAMENTO
5.1. O suporte técnico está disponível de segunda a sexta-feira, das 8h às
20h, através do e-mail help@checklistfacil.com. O usuário pode acessar a
nossa base de conhecimento ou abrir um ticket para a nossa equipe de suporte
através da Central de Ajuda, disponível na aplicação após o login.
5.2. A proatividade na gestão do monitoramento da infraestrutura e
aplicações é fortalecida pela integração de várias ferramentas avançadas,
incluindo Zabbix, Sentry, UptimeRobot, CloudWatch (AWS), Grafana e
7. TOPOLOGIA E INFRAESTRUTURA
8. LIBERAÇÕES NECESSÁRIAS
Recurso DNS Porta
*.checklistfacil.com.br
Acesso WEB e APIs 443
*.checklistfacil.com
fonts.googleapis.com
fonts.gstatic.com
https://www.checklistfacil.com
Site https://blog-pt.checklistfacil.com 443
https://blog-es.checklistfacil.com
ADFS https://samlpsso.rz2.com.br 443
API Mobile https://api-checklist.rz2.com.br 443
S3 https://checklist-data.s3.amazonaws.com 443
9. REQUISITOS DE SEGURANÇA
9.1. A preocupação constante em manter a qualidade e a disponibilidade na
aplicação Checklist Fácil, também se dá pelo uso de procedimentos e
ferramentas para aumentar a segurança. Tais como:
9.1.1. A infraestrutura da Checklist Fácil é hospedada na infraestrutura
da AWS na região Norte da Virgínia e está em conformidade com os
mais rigorosos padrões de controle de Data Centers.
9.1.2. O Security Group da Amazon é usado para controlar o fluxo de
comunicação entre os recursos internos e externos. Utilizamos para
restringir acessos via IPs (OSI - camada 3), protocolos de rede (OSI -
camada 4), protocolos de aplicação (OSI - camada 7) e/ou Security
Group para Security Group.
9.1.3. Utiliza-se o WAF1 (Web Application Firewall) para proteger a
aplicação e APIs contra possíveis ataques comuns na web que podem
afetar a disponibilidade, comprometer a segurança ou consumir
recursos em excesso.
9.1.4. Utilizamos também a ferramenta GuardDuty2, que é um serviço
de detecção de ameaças que monitora constantemente atividades mal-
intencionadas e comportamentos não autorizados para proteger suas
contas e cargas de trabalho da AWS.
9.1.5. A AWS possui a ferramenta AWS Shield3, que realiza a
detecção e mitigação em linha automática e constantemente ativa, o
que reduz o tempo de inatividade e a latência dos aplicativos,
fornecendo proteção contra um dos ataques mais comuns, o DDoS
(Ataque de Negação de Serviço Distribuída) de forma automatizada.
9.1.6. A nossa política de atualização de sistemas operacionais,
bancos de dados e aplicações é baseada em uma avaliação e
atualização conforme a necessidade, primeiramente em um ambiente
de testes para, posteriormente, entrar em produção.
9.1.7. O banco de dados é atualizado pelo RDS4 (Relational Database
Service) com as opções de aplicar patches de segurança diários a fim
de mitigar vulnerabilidades.
1 https://aws.amazon.com/pt/waf/
2 https://aws.amazon.com/pt/guardduty/?nc2=type_a
3 https://aws.amazon.com/pt/shield/?nc2=type_a
4 https://aws.amazon.com/pt/rds/?nc2=type_a
5 https://www.checklistfacil.com/politica-de-privacidade/
6 https://aws.amazon.com/pt/compliance/resources/
Faz parte da
família de
Luis Simon Infraestrutu Revisão Políticas de
1.0 Infraestrutura
ra 26/02/2024 anual das
informações Segurança da
Informação
7 https://aws.amazon.com/pt/compliance/brazil-data-privacy/
8 https://aws.amazon.com/pt/compliance/programs/