Desenvolvimento seguro (SDLC) -
Além dos controles e testes executados durante o processo de implementação, desenvolvemos internamente a habilidade em desenvolvimento seguro. Para isso, promovemos treinamentos que incluem os 10 principais riscos de segurança da OWASP, vetores de ataque comuns e controles de segurança
.
Segregação de ambientes -
Existe a separação dos ambientes de desenvolvimento, homologação e produção, considerando para cada um suas respectivas permissões de acesso. O ambiente produtivo segue o conceito do mínimo privilégio e nenhum dado de produção é usado em nossos ambientes de desenvolvimento ou teste
.
Execução de pentest -
Realizamos, a cada ano, a contratação de empresa terceira independente para execução de pentest do tipo gray box
.
Análise de código estático - SAST -
Todo pipeline de compilação é examinado através de uma ferramenta de análise estática de código. Com esta ferramenta são avaliadas categorias de defeitos de software, entre eles: code smells, vulnerabilidades e security hotspots
.
Análise SCA - Software Composition Analysis -
É realizada a verificação de software componente, bibliotecas, e busca de vulnerabilidades
.
Guarda de código fonte -
Os códigos fontes são armazenados em repositório Git privado, com acesso autorizado utilizando autenticação integrada
.
Gestão de segredos -
Informações sensíveis de aplicativos como chaves de API e senhas de bancos de dados são armazenadas em cofre de senha com log de atividade e acesso restrito de rede
.
Equipe de segurança dedicada -
Nossa equipe de segurança está disponível para responder a alertas e eventos de segurança
.