Versão 1.0 - publicada em 20/05/2016

1. Apresentação

A Política de Segurança da Informação da MSTECH EDUCAÇÃO E TECNOLOGIA LTDA tem por finalidade estabelecer as diretrizes de segurança da informação para desenvolvimento de sistemas e dos serviços prestados aos seus clientes, reduzindo os riscos e garantindo a integridade, confidencialidade, sigilo e disponibilidade das informações dos sistemas de informação e recursos. Este documento possui caráter oficial e tange como modelo de referência aplicável para toda a empresa.

2. Escopo

A MSTECH, uma empresa de desenvolvimento de sistemas computacionais comprometida com os seus ativos de informação hospedados em sua própria infraestrutura de TI para acesso de seus clientes e usuários, necessita planejar as ações de segurança da informação nos níveis em que ela possa ser manipulada ou acessada, como os recursos computacionais que armazenam e manipulam a informação, passando pelo tratamento dos dados, pelo código produzido pela área de desenvolvimento de software da empresa até aos requisitos que serão exigidos dos usuários destes sistemas.

Para facilitar a compreensão, a disseminação e a busca das informações contidas neste documento pelas áreas e colaboradores diretamente envolvidos decidiu-se por segmentá-lo nos níveis de segurança da informação com abrangência na segurança das aplicações e do banco de dados como o conjunto de ações para garantir o tratamento e armazenamento correto dos dados dentro da aplicação e prevenir vulnerabilidades que permitam o ataque e roubo de informações por pessoas mal-intencionadas.

3. Segurança das aplicações e do banco de dados

A segurança das aplicações corresponde aos sistemas websites desenvolvidos pela MSTECH e hospedados na infraestrutura de TI, estes sistemas devem acessar o banco de dados com usuário configurado somente com permissão de leitura e escrita dos dados, não sendo permitido conceder quaisquer permissões de alterações dos objetos de banco de dados para os usuários utilizados pelos sistemas.

3.1 Validação dos dados

Para evitar possíveis falhas de segurança comuns em aplicações web, os sistemas devem realizar a validação da entrada de dados provenientes do cliente ou a partir do ambiente, antes de qualquer uso dessa informação. Esta deficiência abrange quase todas as principais vulnerabilidades tais como: scripting, cross site, injeção de SQL, injeção intérprete, ataques local e Unicode, arquivos de ataques do sistema e estouros de buffer.

Todos os dados de entrada recebidos pelo sistema devem ser tratados antes mesmo de serem processados, a rotina de validação deve ser realizada sempre no lado do servidor (podendo ser aplicado também no lado cliente mas, mesmo nesse caso, não se exclui a validação do lado servidor) e centralizada na aplicação com base em um conjunto de caracteres permitidos para cada campo.

Além disso, são considerados a identificação de todas as fontes de dados e sua classificação como sendo confiáveis ou não e, quando necessário o uso de caracteres especiais em algum campo, sempre realizar a codificação destes caracteres em UTF-8 para evitar que sejam tratados como código executável. Os dados de uma entidade externa ou cliente nunca devem ser considerados automaticamente como confiáveis sendo tratados em conformidade com as práticas citadas. Todas as requisições e respostas devem utilizar o padrão de codificação UTF-8.