A NÍVEL EXTERNO:
INFRAESTRUTURA
- Plataforma: Google Compute Platform
- Segurança interna
- Permissões por função de usuário
Consulte mais em:
ARQUITETURA
CLOUD 66
- Isolamento de aplicação e banco de dados:
- O banco de dados possui um firewall que bloqueia todas as conexões web, e permite apenas conexões em sua porta PostgreSQL e SSH a partir de uma APN configurada. - Uso exclusivo de HTTPS
- Segurança interna:
-Permissões por função de usuário
-Trilhas de auditoria (Audit trail)
-Autenticação em dois fatores (2FA)
- Proteção contra ataques DDoS e de força bruta (ActiveProtect)
- Boas práticas:
-Implantação de servidores no GCP
-Configuração do NGINX
-Atualização de dependências
Consulte mais em:
A NÍVEL INTERNO:
APLICAÇÃO
Dados Sensíveis:
- Senhas criptografadas
- Tokens de pagamento criptografados
- Proteção de acesso a dados entre academias
- Terceirização de dados de pagamento:
- Stripe
- Mercado Pago
Autenticação:
-
Dispositivo (boas práticas)
-
Tokens de sessão seguros
Autorização:
- API restrita por tipo de usuário
Boas práticas:
-
Atualização de dependências
-
Uso padronizado de bibliotecas confiáveis
-
Uso padronizado dos frameworks Rails e Vue
Vetores de ataque:
-
XSS (Cross-site scripting)
-
CSRF (Cross-site request forgery)
-
Injeção de SQL (SQL Injection)
-
Webhooks assinados (Signed webhooks)
PERDA DE DADOS:
-
Backup do banco de dados
-
Backup de conteúdo (TODO)
-
Histórico de conteúdo (TODO)
-
Registro de auditoria
