Segurança e infraestrutura do Document360

Planos que suportam a segurança e a infraestrutura do Document360

A segurança é um dos aspectos mais importantes de qualquer aplicativo SaaS. Como uma empresa especializada em produtos SaaS, garantimos que nossas ofertas estejam alinhadas com os mais recentes padrões do mercado. O Document360 prioriza a proteção de dados, garantindo que suas informações estejam sempre seguras.

Colaboramos com parceiros líderes do setor, como Algolia e MongoDB Atlas, que são certificados para criptografia padrão TLS para dados em trânsito. O Armazenamento de Blobs do Microsoft Azure também protege os backups do projeto com protocolos de segurança robustos.

Resumo rápido - Segurança e infraestrutura

• Seus dados são armazenados com segurança em um banco de dados remoto hospedado pelo MongoDB Atlas, utilizando um cluster de três servidores para garantir tempo de inatividade zero.

• O tráfego de rede é criptografado usando TLS e os dados em repouso residem em volumes de armazenamento criptografados.

• Backups diários, semanais e mensais são mantidos por até um mês, permitindo uma restauração rápida.

• Os backups de projeto são armazenados no Armazenamento de Blobs do Microsoft Azure em várias localizações geográficas para manter a integridade dos dados.

• Nosso API seguro permite o acesso aos dados por meio de tokens de API autenticados, garantindo controle total sobre as permissões de acesso.

• O Document360 está hospedado no Microsoft Azure Cloud, aproveitando seus protocolos de segurança avançados e padrões de conformidade.

• O Microsoft Azure Cloud oferece proteção contra ataques de negação de serviço distribuído (DDoS), defendendo-se contra ataques comuns na camada de rede por meio de monitoramento de tráfego sempre ativo e mitigação em tempo real.

• A equipe principal é altamente técnica e entende a importância da segurança e de se manter atualizado com as novas tecnologias. Eles coordenam com uma equipe offshore para fornecer os melhores serviços para os clientes.

Para obter mais detalhes sobre como usar as APIs do Document360, consulte o Document360 API documentation.

Práticas recomendadas

Aqui na Kovai.co, acreditamos que as melhores práticas criam aplicativos seguros e robustos. Recomendamos que os usuários do Document360 sigam nossa lista de práticas recomendadas para evitar perda inesperada de dados ou acesso não autorizado.

Lista de práticas recomendadas:

1. Não recomendamos compartilhar publicamente a chave de API por meio de redes menos seguras, pois isso pode resultar em acesso não autorizado a dados. A chave pode ser usada para visualizar ou explorar seus dados. Nesse caso, recomendamos excluir a chave imediatamente e criar uma nova chave de API para seu uso.

Para mais informações, clique aqui.

2. Recomendamos dar a uma chave de API apenas as permissões necessárias, pois isso ajuda a manter os dados em boas mãos e impede que usuários não autorizados os modifiquem. Por exemplo, para visualizar um conjunto de dados de "exemplo", a chave de API só precisa do método GET. Isso não permite que os usuários modifiquem os dados usando a chave de API.

Para mais informações, clique aqui.

3. Sugerimos que o gerente da equipe dê a cada usuário os direitos de acesso corretos, pois a maioria de nossos clientes tem uma equipe que tem direitos de acesso à documentação. Simplificamos isso tendo funções correspondentes a um determinado nível de direitos de acesso.

Para mais informações, clique aqui.

4. Recomendamos que os usuários aproveitem as funcionalidades de backup. O backup do projeto será feito automaticamente todos os dias às 00:00 UTC. Você também pode fazer backup manualmente do seu projeto a qualquer momento para manter as alterações feitas seguras.  Ambos farão backup das configurações, da página inicial, da documentação e do conteúdo de todo o projeto e podem ser restaurados a qualquer momento para retornar a uma versão anterior. Esse processo é disponibilizado para manter os usuários no controle e evitar a perda de dados.

Para mais informações, clique aqui.

5. Recomendamos que você use a opção de tornar o documento privado, se necessário. Vários clientes têm diferentes casos de uso para o nosso produto. Talvez você queira que a documentação fique visível para o público ou para os membros da equipe interna. Os proprietários do projeto podem tornar a documentação privada neste último caso e torná-la não visível ao público.

Para mais informações, clique aqui.

Informações de segurança de integrações e parceiros

Algolia - Parceiro de pesquisa

• Compatível com SOC2 e SOC3 - A Algolia segue todas as práticas recomendadas do SOC 2 para garantir a excelência nos cinco princípios de serviço de confiança da AICPA. Resultando na proteção de seus dados contra ameaças do mundo moderno.

• Os servidores de API usam HTTPS e TLS (1.0, 1.1 e 1.2), que têm uma classificação A dos laboratórios SSL da Qualys.

• A Algolia isola os dados de cada cliente em aplicativos separados, evitando que vazamentos e trocas de informações preservem a integridade de seus dados.

Para obter mais informações sobre a segurança do Algolia Search, visite os documentos de segurança do Algolia.

MongoDB Atlas - Parceiro de serviços de banco de dados

• Isolamento de rede - Os clusters dedicados do MongoDB Atlas são implantados em uma Virtual Private Cloud (VPC) exclusiva com firewalls dedicados. Isso significa que terceiros não podem acessar seus dados privados.

• O MongoDB Atlas passa por uma verificação independente dos controles de segurança, privacidade e conformidade da plataforma.

• Criptografia de ponta a ponta - Todo o tráfego de rede é criptografado usando TLS e a versão mínima do protocolo TLS pode ser configurada. A criptografia de dados em repouso é armazenada em volumes de armazenamento criptografados.

Para obter mais informações sobre a segurança do MongoDB Atlas, visite os documentos de segurança do MongoDB.

Armazenamento de Blobs do Azure

• Criptografia em trânsito - HTTPS garante que os dados sejam criptografados durante a transferência. Por outro lado, a criptografia do lado do cliente protege os dados em seu dispositivo antes de enviá-los ao servidor, onde são descriptografados na chegada.

• Criptografia em repouso – a criptografia do lado do armazenamento está sempre habilitada e criptografa automaticamente os dados do serviço de armazenamento ao gravá-los no Armazenamento do Azure. A criptografia do lado do cliente também está habilitada para tornar os dados armazenados o mais seguros possível.

• Proteção avançada contra ameaças – fornece uma camada adicional de segurança para detectar comportamento incomum e tentativas potencialmente prejudiciais de acessar e explorar sua conta de armazenamento.

Para obter mais informações sobre a segurança do armazenamento de Blobs do Microsoft Azure, visite os documentos de segurança do Azure.

Conformidade com o GDPR

O Document360 é totalmente compatível com GDPR. Coletamos e armazenamos apenas os dados necessários para fornecer nossos serviços, com o consentimento explícito do cliente.

Para obter mais informações sobre a conformidade com o GDPR, visite a página de conformidade com o GDPR do Document360.

Continuidade de negócios e recuperação de desastres

Temos alta disponibilidade configurada para nossos aplicativos Web e banco de dados para garantir a continuidade dos negócios. Vários nós são executados para serviços individuais, portanto, se um ficar inativo, você ainda terá uma experiência ininterrupta usando o Document360.

Para qualquer possível desastre, nosso banco de dados e armazenamento de dados são replicados em diferentes geolocalizações, para que seus dados estejam sempre seguros conosco.

Equipe de DevOps

O proprietário do produto define e revisa um roteiro de produto periodicamente. As correções de segurança são priorizadas e agrupadas no sprint mais cedo possível. Nossos sprints de DevOps são alimentados por membros da equipe multidisciplinar, incluindo o Product Owner, o Diretor de Engenharia, os Desenvolvedores e a Garantia de Qualidade.

• Revisão de código

A equipe de Garantia de Qualidade testa todas as alterações e estabelece critérios para realizar revisões de código, avaliações de vulnerabilidade da Web e testes avançados de segurança.

• Garantia da qualidade

As compilações passam por testes rigorosos de funcionalidade, desempenho, estabilidade e UX antes de serem certificadas como "Prontas para uso".

• Controle de versão

O código-fonte é gerenciado centralmente com controles de versão e o acesso é restrito com base em várias equipes atribuídas a sprints específicos. Os registros são mantidos para alterações de código e check-ins e check-outs de código.

• Segregação de Funções

O acesso aos recursos de produção é restrito a um conjunto limitado de usuários com base nas funções de trabalho.

Arquitetura altamente resiliente

A arquitetura é construída com resiliência para garantir a alta disponibilidade do produto e dos dados.

• Alta disponibilidade

Temos várias instâncias de nossos serviços em execução para garantir a alta disponibilidade de nossos serviços para nossos clientes.

• DNS altamente escalável

Encaminhe os usuários para o melhor endpoint com base na proximidade geográfica, latência, integridade e outras considerações.

• Backup de dados

Os instantâneos na nuvem são tirados diariamente e retidos, semanalmente e mensalmente, e os backups ficam disponíveis por um mês para restauração.

• Gerenciamento de incidentes e violações

Os procedimentos são estabelecidos para relatar e rastrear incidentes para comunicação, investigação e resolução oportunas.

• Azure CDN

Usamos a CDN do Azure para garantir que nosso aplicativo e a documentação do cliente sejam atendidos com rapidez e garantir que sejam feitos no nó mais próximo.

Ajuda

Para obter mais informações sobre a segurança e a infraestrutura do Document360, entre em contato conosco (ou) agende uma demonstração com nossos especialistas hoje mesmo.