Blog

Segurança da Informação na Plataforma mobileX

Por Gustavo Perez, Founder e CEO da mobileX – MTM Tecnologia

Olá pessoal!

A Lei Geral de Proteção de Dados (LGPD) e o aumento dos ataques de ransomware, combinados com a demanda por transformação digital gerada pela pandemia do COVID-19, causaram uma intensa busca por inovação nos departamentos de TI. Essa expansão veio acompanhada de uma forte necessidade de gerenciar prazos e riscos de segurança da informação, associada a uma redução do custo total de propriedade das soluções. Nesse contexto, alguns questionamentos vêm sendo levantados por clientes e leads quanto às medidas que estamos adotando para aumentar ainda mais a segurança da plataforma mobileX e demais aplicações. Assim, o nosso objetivo aqui é dar um pouco mais de visibilidade a todo cuidado e atenção que estamos reservando ao assunto segurança da informação na plataforma mobileX.

Segurança da informação em uma plataforma low code não é uma tarefa simples. Todos os dias, os apps desenvolvidos via mobileX são utilizados por milhões de usuários ao redor do mundo, nos mais diferentes contextos. São pacientes que acessam suas informações de saúde, agendam consultas e enviam informações sensíveis; médicos que acessam informações e tomam decisões sobre a saúde de seus pacientes; clientes de empresas de utilities e seguradoras que acessam suas agências virtuais; cidadãos que consomem serviços disponibilizados pelas prefeituras e muito mais. Adotamos um sistema de classificação de sensibilidade e risco dos dados. E determinamos que toda informação trafegada ou armazenada pela mobileX é altamente sensível.

Relacionamos a seguir uma série de iniciativas que estamos tomando para garantir segurança máxima nas aplicações desenvolvidas via mobileX. Essas ações foram mapeadas a partir de um trabalho conjunto realizado por nossa equipe técnica e empresas da área de Segurança da Informação, além das próprias equipes de Segurança da Informação de clientes e parceiros de desenvolvimento. Segurança da Informação é um assunto que exige atenção e vigilância constante e estará sempre na pauta de nossa equipe. Estimulamos nossos clientes a realizar seus próprios testes, com o objetivo de sanar eventuais problemas identificados em qualquer um de nossos componentes. Sendo assim, essa não se propõe a ser uma lista definitiva de ações. Ela compreende uma série de evoluções nas funcionalidades da plataforma mobileX, melhoria nos processos de desenvolvimento e operação das implantações e melhoramentos de processo em geral.

 

 

Gestão de Risco Cibernético

Implementamos uma série de medidas que visam reduzir a exposição de nossos apps a crimes cibernéticos:

 

  • Realizamos testes anuais de segurança (pentest) nos componentes da plataforma mobileX. Os testes são realizados por uma empresa especializada independente e tem como objetivo identificar e corrigir potenciais falhas na plataforma. O certificado de execução dos testes pode ser baixado clicando aqui. O próximo ciclo de testes está agendado para outubro de 2021;
  • Revisamos nossa Política de Segurança da Informação e implementamos processos para que ela seja frequentemente revisada e nossa equipe devidamente treinada, pelo menos uma vez ao ano. A Política de segurança da informação da mobileX está baseada nas recomendações da norma ABNT NBR ISO/IEC 27002:2005, reconhecida como referência para a gestão da segurança da informação;
  • Revisamos nosso Plano de Resposta a Incidentes, que define os critérios para a gestão de incidentes de segurança da informação. Essa revisão permite uma resposta mais rápida e eficaz, além de garantir a devida notificação de episódios que possam resultar em perda, dano ou acesso não-autorizado às informações de seus apps;
  • Revisamos nossa Política de Acesso aos vários ambientes e componentes da plataforma mobileX. Todos os acessos são revisados cuidadosamente a cada 30 dias (ou mais cedo, em situações específicas como o desligamento de um membro de nossa equipe) e as permissões revogadas por padrão, caso uma extensão não tenha sido devidamente solicitada e justificada;
  • Implementamos políticas de acesso mais rigorosas a todas as plataformas de nuvem responsáveis por hospedar os vários componentes da mobileX, incluindo segundo fator de autenticação;
  • Implementamos processos de revisão e correção mensal das configurações de nossos ambientes de nuvem, conforme apontado pelas ferramentas de segurança desses ambientes;
  • Criptografamos os dados em trânsito e em repouso armazenados na plataforma, sempre utilizando tecnologias nativas dos bancos de dados;
  • Disponibilizamos novas ferramentas para nossa equipe, visando garantir maior segurança dos equipamentos da empresa. Um exemplo são antivírus com políticas de atualização definidas de forma centralizada;
  • Validamos cada fornecedor de computação em nuvem utilizado para hospedar os componentes da plataforma mobileX. Reforçamos a obrigatoriedade de nossos fornecedores de nuvem implementarem medidas para prevenir intrusão física, falha de redes e de energia. Passa a ser obrigatória a certificação ISO/IEC 27001:2005 e auditoria SAS 70 anual;
  • Revisamos e melhoramos a implementação do processo de autenticação das plataformas que utilizam os padrões OAuth 2.0. A partir de agora, é possível armazenar apenas um token e um refresh-token de maneira criptografada, deixando mais seguras as aplicações front-end que não armazenam credenciais de acesso como usuário e senha. Implementamos também o padrão OAuth 2.0 na interface de integração com sistemas de nossos clientes, possibilitando a gestão do tempo de vida dos tokens de acesso pelos sistemas integrados;
  • Implementamos métodos mais eficientes de identificação de dispositivos Android e iOS cuja segurança esteja comprometida;
  • Melhoramos nosso sistema de log da plataforma, mantendo log de acesso às apps por um período mínimo de 6 meses, conforme exigência do Marco Civil da Internet (Lei n° 12.965/2014) e em conformidade com a Lei Geral de Proteção de Dados (LGPD);
  • Revisamos o modelo de envio de informações dos portais web desenvolvidos via mobileX, tornando a comunicação ainda mais segura;
  • Passamos a realizar testes mensais de restauração do backup da aplicação e do banco de dados de nossas implantações, garantindo máxima disponibilidade dos serviços.

 

Privacidade e LGPD

Com a implantação da Lei Geral de Proteção de Dados, incorporamos uma série de medidas, processos e funcionalidades para garantir a privacidade dos dados dos usuários dos apps desenvolvidos utilizando a plataforma mobileX.

  • Agora é possível atualizar a Política de Privacidade dos apps mobileX a qualquer momento. A cada atualização, os usuários precisam aceitar a nova política antes de continuar utilizando o app. A atualização da Política deve ser solicitada via chamado de suporte e será realizada em até 8 horas a partir da solicitação;
  • Disponibilizamos uma Política de Privacidade padrão para os apps de nossos clientes, que podem ser utilizadas como ponto de partida. O documento pode ser baixado clicando aqui;
  • Mudamos o processo de cadastro de usuário nos apps desenvolvidos via mobileX, de forma que apenas dados realmente necessários serão solicitados;
  • Para facilitar a aderência à LGPD, os apps agora podem contar com a opção Excluir Conta do Usuário, lembrando que essa opção deve ser habilitada no momento de compilação;
  • Treinamos nossa equipe de Customer Success para orientar os clientes na implementação de vários aspectos da LGPD, definindo a real necessidade de solicitar informações pessoais dos usuários no momento do cadastro e no uso dos apps;
  • Dada a natureza dinâmica da plataforma, com a possibilidade de construir fluxos distintos de acesso e registro de informação, decidimos implementar processos de suporte que permitam ao usuário exercer o direito de titularidade e anonimização dos seus dados. As solicitações devem ser encaminhadas pela equipe do cliente através do suporte da plataforma mobileX e compreendem recursos para:
    • Extração ou geração de relatório de dados de um ou mais usuários;
    • Correção / edição de dados de um ou mais usuários;
    • Exclusão completa de dados de um ou mais usuários;
    • Exclusão parcial de dados de um ou mais usuários;
    • Portabilidade de dados de um ou mais usuários (transferência de uma base para outra / exportação .csv);
    • Suspensão de tratamento de dados de um ou mais usuários a partir do momento;
    • Anonimização dos dados pessoais, que permite ao sistema suprimir as informações relativas à pessoa natural identificada ou identificável, transformando os dados pessoais em dados anonimizados.

Assinatura