Política de Segurança da Informação para hospedagem de sites

De MSTECH wiki
Revisão de 19h17min de 27 de julho de 2017 por Juan.falguera (Discussão | contribs)

Ir para: navegação, pesquisa

Versão 1.5 - publicada em 27/07/2017

1. Apresentação

O serviço de hospedagem de sites é construído sobre uma plataforma tecnológica que envolve principalmente quatro níveis ou quatro diferentes áreas de conhecimento: Datacenter, Infraestrutura Lógica de TI, Aplicação e Banco de Dados, dispostos de maneira representativa na figura 1:

Camadas seguranca.JPG

Figura 1: Representação dos níveis que compõem a plataforma do serviço de hospedagem de sites

A segurança da informação gerada e armazenada por um website depende que processos de segurança sejam implementados e mantidos em cada um dos níveis individualmente e em conjunto.

Este documento tem o objetivo de fornecer uma visão geral destes processos e apresentar as garantias necessárias aos clientes deste serviço de que as informações de seus websites, hospedados pela MSTECH, estarão seguras contra perdas causadas por possíveis falhas de diversas origens e também contra acessos não autorizados.

Por se tratar de um documento público, este documento não fornece detalhes sobre os processos que poderiam comprometer a segurança do ambiente e das aplicações.


2. Visão Geral do Serviço de Hospedagem de Websites da MSTECH

A seguir são apresentados em linhas gerais os componentes dos quatro níveis da plataforma tecnológica que compõe o serviço de hospedagem de sites, bem como a relação entre cada um deles:

2.1 Datacenter

Entende-se por Datacenter toda a infraestrutura tecnológica necessária para suportar os demais níveis da plataforma. Composta por:

  • Infraestrutura predial: Instalações físicas, fornecimento de energia e refrigeração adequadas. Controle de acesso de pessoal autorizado.
  • Rede de Dados: Dispositivos de hardware que suportam a comunicação de dados entre os demais elementos, como switches, roteadores e cabeamento necessário para interligação.
  • Servidores: Computadores com função específica, dedicados à hospedagem propriamente dita das aplicações.
  • Storages: Dispositivo com a função específica de armazenamento de dados, com recursos nativos de replicação de dados e proteção contra falhas de seus componentes internos.
  • Firewall: Dispositivo de hardware que gerencia as conexões entre os segmentos da rede lógica (mais especificamente entre a Internet e a rede interna onde estão conectados os demais elementos já descritos), permitindo apenas as conexões explicitamente registradas em seu conjunto de regras. Também responsável por identificar e mitigar possíveis ataques e acesso não autorizado aos servidores e storages.

A MSTECH terceiriza este nível da plataforma, uma vez que entende que sua expertise reside nos demais níveis, e ganhos maiores em confiabilidade podem ser alcançados para todos os envolvidos ao contratar os serviços de Datacenter de uma empresa altamente especializada.

A empresa que atualmente presta os referidos serviços sob contrato é a Inet Services (www.inetservices.com).

A Inet Services é uma empresa americana especializada em prover recursos (servidores, storages, banda de Internet etc.) e serviços (monitoramento, assistência técnica etc.) para a hospedagem de sistemas sendo, em sua maioria, websites e webservices. O datacenter da Inet Services está em conformidade com os mais rigorosos padrões de segurança e confiabilidade do mercado, sendo certificada PCI (DSS 3.0) e HIPAA. Estes dois padrões internacionais de segurança exigem um conjunto complexo de requisitos que garantem a segurança e privacidade dos dados hospedados. Entre os principais requisitos estão:

  • Sistema de restrição de acesso físico
  • Monitoramento de segurança
  • Firewall
  • Encriptação de dados
  • Proteção antivírus
  • Sistema de Detecção de Intrusão
  • Sistema de checagem de integridade de arquivos
  • Manutenção e retenção de LOGs
  • Acesso restrito a dados sensíveis
  • Autenticação em duas fases
  • Política de senhas com expiração forçada
  • Escaneamento automático de rede
  • Certificados SSL

O contrato entre a Inet Services e a MSTECH não exige tempo mínimo de cancelamento e é renovado mês a mês mediante pagamento da mensalidade.

A MSTECH contrata e utiliza o serviço “Dedicated Servers” (servidores dedicados) da Inet Services, que utiliza como hosts para máquinas virtuais. Esta categoria de serviço permite que os profissionais da MSTECH tenham acesso remoto total aos servidores e possam criar a infraestrutura lógica de TI conforme a necessidade e sem a interferência da Inet.

Além dos servidores utilizados para a hospedagem das VMs, a MSTECH contrata também um storage dedicado interligado à mesma rede para armazenar os arquivos e bancos de dados dos websites.

Todos os serviços contratados junto à Inet Services possuem Acordos de Nível de Serviço (SLAs) compatíveis com o mercado. As políticas de SLA e de privacidade e segurança de dados da Inet Services estão publicadas em seu site: [www.inetservices.com].

Disponível em "http://wiki.mstech.com.br/index.php?title=Política_de_Segurança_da_Informação_para_hospedagem_de_sites&oldid=5384"