segurança

Latenode e RGPD

Compreensivelmente, o GDPR é um tópico quente. Apesar da legislação ter entrado em vigor há um ano, muitas empresas ainda estão lutando para se tornarem compatíveis com o GDPR. Não passa um dia sem que os jornais mencionem empresas que não atendem aos padrões do GDPR ou testam os limites da conformidade com o GDPR.

Na Latenode, sempre fomos conscientes da maneira como lidamos com dados, pois eles são a base da nossa plataforma. Investimos tempo e esforço substanciais para garantir que estamos em conformidade com o GDPR e até escrevemos um guia introdutório para outros.

Padrões de segurança verificados pelo Google com avaliação CASA

A Latenode atende aos mais altos padrões de segurança, implementando protocolos líderes do setor para garantir que seus dados estejam protegidos em cada etapa. Nosso compromisso com a segurança fornece a você a confiança para automatizar fluxos de trabalho de forma segura e eficiente.

Proteção e criptografia de dados do cliente

Contas de usuário, autenticação e autorização

Nuvem Latenode

Ao se inscrever para uma conta de nuvem Latenode, você cria uma conta diretamente com a Latenode. Quando você cria uma conta no Latenode.cloud com um nome de usuário e senha, a Latenode implementa as melhores práticas para gerenciamento de contas. Por exemplo, a Latenode faz salt e hash da sua senha e, em seguida, armazena a senha com hash em um banco de dados criptografado em repouso.

Contas de terceiros

Uma parte essencial da funcionalidade do Latenode é vincular serviços de terceiros. Quando você vincula uma conta de um aplicativo de terceiros, pode ser necessário autorizar o acesso do aplicativo Latenode OAuth à sua conta ou fornecer uma chave de API ou outras credenciais.

Latenode recomenda usar OAuth para aplicativos de terceiros que o suportam. O protocolo OAuth permite que o Latenode solicite acesso com escopo a recursos específicos em sua conta de terceiros sem que você tenha que fornecer credenciais de longo prazo diretamente. O Latenode deve solicitar tokens de acesso de curto prazo em intervalos regulares, e a maioria dos aplicativos fornece uma maneira de revogar o acesso do Latenode à sua conta a qualquer momento.

Alguns aplicativos de terceiros não fornecem uma interface OAuth. Para acessar esses serviços, você deve fornecer o mecanismo de autorização necessário (geralmente uma chave de API). Como prática recomendada, se seu aplicativo fornece tal funcionalidade, a Latenode recomenda limitar o acesso dessa chave de API somente aos recursos que você precisa acessar dentro da Latenode.

Quando você usa credenciais em um fluxo de trabalho, o Latenode as carrega no ambiente de execução da sua instância do Latenode. Para o Latenode Cloud, as instâncias do cliente são logicamente isoladas umas das outras. O Latenode não registra nem exporta credenciais por padrão. Se você registrar os valores delas, sempre poderá excluir os dados dessa execução. A plataforma exclui os dados de execução automaticamente com base nas configurações de retenção da sua conta.

Você pode excluir suas concessões OAuth ou credenciais baseadas em chaves a qualquer momento. Excluir concessões OAuth dentro do Latenode não revoga o acesso do Latenode à sua conta. Você deve revogar esse acesso sempre que gerenciar concessões OAuth no seu aplicativo de terceiros.

Autenticação de usuário

Um nome de usuário e uma senha são necessários para autenticar no aplicativo.

Hospedagem e armazenamento em nuvem

O Latenode Cloud usa o Microsoft Azure para hospedagem.

O Latenode protege ainda mais o acesso aos recursos do Azure por meio de uma série de controles, incluindo:

  • Usando autenticação multifator para acessar o Azure
  • Hospedagem de serviços em uma rede privada inacessível à internet pública.

O Latenode armazena todos os tokens OAuth, credenciais baseadas em chaves e o restante do banco de dados da sua instância do Cloud em um disco que é criptografado em repouso usando a criptografia do lado do servidor do Azure (no momento da escrita, usando AES256 e uma implementação compatível com FIPS-140-2). Para a nuvem Latenode, esse banco de dados também reside em uma rede privada. Os backups desse banco de dados também são criptografados.

Encriptação de dados

Nuvem Latenode

Quando você usa o aplicativo da web Latenode, ele criptografa o tráfego entre seu cliente e os serviços Latenode em trânsito. O mesmo se aplica ao tráfego relacionado à API pública ou aos nós de gatilho do webhook. O Latenode usa o Cloudflare para gerenciar e renovar certificados SSL.

Proteção de rede

Um sistema de auditoria operacional monitora constantemente a infraestrutura de nuvem da Latenode e envia alertas para o pessoal apropriado quando necessário. Usamos apenas configurações que implementam portas e protocolos de rede aprovados, incluindo firewalls. Por exemplo, mantemos um Web Application Firewall para proteger o aplicativo da web da Latenode de tráfego malicioso e ameaças externas. E um Intrusion Detection System para detectar intrusões em potencial.

Registro de auditoria

O Latenode coleta e armazena todos os logs do seu servidor em um local central. Usuários autorizados podem consultar as informações do log conforme necessário para rastrear ações para usuários individuais. Mantemos o histórico do log de auditoria e os registros históricos de atividade por pelo menos 3 meses, com pelo menos o último mês imediatamente disponível para análise.

Práticas de desenvolvimento seguras

Sistema de controle de versão

O Latenode usa um sistema de controle de versão para gerenciar código-fonte, documentação, rotulagem de lançamento e outras tarefas de gerenciamento de mudanças. Qualquer funcionário deve ter seu acesso aprovado por um administrador de sistema para fazer mudanças no código.

Processo de revisão de código

Quando o código do aplicativo Latenode muda, alguém diferente da pessoa que fez a alteração revisa e testa o novo código.

Ambientes de teste e produção separados

O Latenode usa ambientes separados para testes e produção para nosso aplicativo.

Alterações no código de produção restrita

Somente pessoal autorizado da Latenode pode enviar ou fazer alterações no código de produção.

Teste de segurança de aplicativos estáticos (SAST)

O Latenode usa testes de segurança de aplicativo estático (SAST) ou uma ferramenta equivalente como parte do pipeline de CI/CD para detectar vulnerabilidades em sua base de código. Quando vulnerabilidades são identificadas, correções são implementadas antes do lançamento, conforme apropriado, com base na natureza da vulnerabilidade.

Monitoramento de Sistemas

A Latenode monitora seu código, infraestrutura e aplicativos principais em busca de vulnerabilidades conhecidas e aborda vulnerabilidades críticas prontamente.

Controles de acesso

Acesso estritamente 'necessário saber' aos dados

A Latenode concede aos funcionários acesso a sistemas que contêm dados sensíveis com base no menor privilégio. Isso significa que os funcionários só têm acesso aos dados de que precisam para executar seu trabalho. A empresa revisa o acesso ao sistema trimestralmente, em qualquer mudança de função e após a rescisão.

Acesso restrito ao código de produção

O Latenode usa o GitLab para armazenar e versionar todo o código de produção. Os funcionários usam autenticação multifator para acessar a organização do GitLab. E somente o pessoal autorizado do Latenode pode implantar ou fazer alterações no código de produção.

Autenticação multifator necessária

Precisamos de MFA sempre que estiver disponível.

Acesso criptografado baseado na web

O Latenode usa criptografia para proteger a autenticação do usuário e as sessões de administração da ferramenta de administração interna transmitidas pela Internet. Todas as conexões acontecem por SSL/TLS com um certificado válido de uma Autoridade de Certificação confiável.

Segurança corporativa

Processo de contratação rigoroso

Os candidatos a emprego devem passar por vários estágios de verificações de antecedentes abrangentes e entrevistas para garantir que cumpram as leis, regulamentações e éticas relevantes. Todos os novos funcionários devem assinar nossa política de proteção de dados na contratação.

Processo de desligamento rigoroso

Quando um funcionário sai da Latenode, usamos uma lista de verificação de rescisão para garantir que o acesso do funcionário ao sistema, incluindo o acesso físico, seja removido dentro de um dia útil e todos os ativos da organização (físicos ou eletrônicos) sejam devolvidos.

Gerenciamento de ameaças e vulnerabilidades

Verificações de vulnerabilidade

A Latenode realiza varreduras de vulnerabilidades de terceiros em seu ambiente de produção pelo menos uma vez a cada 90 dias.

Testes de penetração

A Latenode realiza testes de penetração de terceiros em seu ambiente de produção pelo menos uma vez por ano.

Detecção de intrusão

A Latenode opera um sistema de detecção de intrusão (IDS) para detectar intrusões em potencial e alertar o pessoal quando uma intrusão em potencial é detectada. Incluindo uma solução antimalware continuamente atualizada que escaneia continuamente para detectar, remover ou bloquear todos os tipos de malware conhecidos.

Simulações de phishing

A Latenode realiza simulações periódicas de phishing como parte das iniciativas de conscientização de segurança da empresa.

Inteligência de ameaças

A Latenode implementou mecanismos para coletar informações sobre ameaças e produzir inteligência sobre ameaças (por exemplo, ferramentas comerciais de inteligência sobre ameaças cibernéticas, feeds de inteligência de produtos/fornecedores de segurança, feeds de código aberto, etc.) de acordo com objetivos definidos de inteligência sobre ameaças.

Backup, recuperação e continuidade de negócios

O Latenode armazena dados do cliente em uma conta de produção segura no Azure. O Latenode faz backup automático de todos os dados do cliente e do sistema diariamente para proteger contra perdas catastróficas devido a eventos imprevistos que impactam todo o sistema. Esse processo faz backup ou replica dados para uma região separada no mesmo país. E os backups são criptografados da mesma forma que os dados de produção ao vivo.

O serviço de backup da Latenode monitora todo o processo de backup e qualquer falha aciona automaticamente um alerta para a Equipe de Resposta a Incidentes.

A Latenode tem um Plano de Continuidade de Negócios definido e testado regularmente, descrevendo os procedimentos para responder, recuperar, retomar e restaurar as operações após um grande desastre natural ou falha catastrófica do sistema.

Plano de recuperação de desastres

A Latenode formulou um plano detalhado de recuperação de desastres descrevendo as funções, responsabilidades e procedimentos detalhados para recuperar sistemas em caso de falha.

Registros de segurança

O Latenode coleta e armazena logs do servidor em um local central. O sistema pode ser consultado de forma ad hoc por usuários autorizados.

Política de segurança da informação

A Latenode tem uma Política de Segurança da Informação para definir obrigações de segurança para funcionários e contratados, juntamente com seu processo disciplinar para violações da política.

Divulgação de vulnerabilidade

A Latenode tem um processo dedicado para que os funcionários relatem falhas, incidentes e preocupações de segurança, confidencialidade, integridade e disponibilidade.

Além disso, a Latenode mantém documentação de suporte acessível ao cliente, onde você pode encontrar informações de contato de suporte. Estamos comprometidos em garantir que a Latenode seja uma ferramenta segura e protegida para todos os nossos usuários. Portanto, caso você encontre alguma falha operacional ou de segurança, incidentes, problemas de sistema, preocupações ou outros problemas/reclamações, não hesite em entrar em contato com o pessoal relevante da Latenode.

Apoiado por

Podemos confiar na longevidade da sua plataforma?

As pessoas viram plataformas de automação surgirem e desaparecerem...

– Sim, sim e sim 😎

O motivo é que confiamos no Latenode assim como você. Um dos nossos projetos, Debexpert.com, está totalmente investido no Latenode com mais de 250 cenários automatizados dando suporte a quase todos os aspectos das operações comerciais. Isso significa que estamos totalmente alinhados com nossa própria solução.

O Latenode veio para ficar e continuará seu desenvolvimento, sendo totalmente autossuficiente do que já construímos com sucesso. Ao mesmo tempo, percebemos o Latenode como um projeto de paixão, pois somos verdadeiros fãs de automação, ansiosos para compartilhar nossa empolgação com o Latenode com o mundo.