Confiabilidade e segurança são importantes para tudo o que a Memed faz. Abaixo, segue uma lista crescente de ações, políticas e processos que adotamos.

Segurança de Aplicação

Senha e armazenamento de credenciais

Todas as credenciais são armazenadas utilizando criptografia forte AES-256-CBC.

Separação de contexto

Os dados produzidos por um usuário em um software integrado com a Memed são visíveis somente naquela integração.

Segurança de Infraestrutura

Hospedagem e Armazenamento de Dados

As aplicações e dados da Memed estão hospedados nos servidores da Amazon Web Services (AWS) , localizados na região sa-east-1 (São Paulo - Brasil).

A Amazon possui vários programas de conformidade relacionados a segurança, como a ISO 27001, PCI nível 1, HIPAA e SOC.

Rede Virtual Privada

Todos os nossos servidores estão em nossa própria rede virtual privada (VPC) com controles de acesso que impedem que solicitações não autorizadas cheguem à nossa rede interna. Utilizamos boas práticas como conexão via hosts bastion para a comunicação com nossos servidores de produção.

Backups e Monitoramento

Nossos dados possuem backups diários automatizados (RDS) e versionamento (S3). Monitoramos toda a infraestrutura de forma ativa para a detecção de anomalias, via CloudWatch e Grafana.

Autenticação e Autorização

Todos os nossos colaboradores com acesso a infraestrutura utilizam autenticação de dois fatores (2FA) em suas contas de acesso. Cada colaborador possui acesso a somente o que é necessário para a execução de suas tarefas.

Criptografia em trânsito

Nossos endpoints de aplicação e APIs usam as políticas de segurança TLS/SSL recomendadas pela AWS (ELBSecurityPolicy-2016-08).

Criptografia em repouso

Todas nossas instâncias de banco de dados de aplicação possuem criptografia em repouso (AES-256), assim como os arquivos armazenados no S3 (AES-256).

Inventário de Software

Mantemos um inventário, revisado a cada trimestre, com os softwares autorizados para uso pelos colaboradores da Memed. Verificamos se o software está sendo atualizado e mantido pelo fabricante, para manter nossos computadores sempre seguros.

Inventário de Hardware

Mantemos um inventário, alimentado automaticamente, com os atributos de todos os dispositivos usados na Memed, bem como o colaborador/área responsável.

Desenvolvimento Seguro

Code Review

Para que um código, escrito por um desenvolvedor, seja considerado apto para produção, ele necessita ser revisado por pelo menos duas pessoas do time.

GPG

Somente é possível enviar código assinado para os nossos repositórios de código, garantindo a autoria do mesmo.

Segregação de Ambientes

Nenhum dado de produção é usado no desenvolvimento, e os ambientes e contas na AWS são totalmente separados.

Conscientização em Cibersegurança

Programa de Gamificação

Temos um programa de gamificação chamado Hacker Rangers, que nos permite conscientizar, de forma fácil e didática, os colaboradores sobre a importância da cibersegurança e da privacidade das informações em todos os processos da Memed. Além disso, nossos colaboradores são treinados constantemente sobre como agir e o que fazer nestas duas vertentes da segurança da informação.

Recompensa por bugs

Programa de Bug Bounty

Implementamos um programa de recompensa por bugs (Bug Bounty) onde contactamos Hackers para testar a segurança de nossos sistemas, apontar as falhas, correções, etc.

Dúvidas sobre Segurança?

Se você acha que encontrou uma vulnerabilidade de segurança, entre em contato com nossa equipe de segurança em seguranca@memed.com.br.

Veja mais sobre a Memed lendo nossos Termos de Uso e Políticas de Privacidade.

Encontrou sua resposta?