Versão 1.5 - publicada em 27/07/2017

Apresentação

O serviço de hospedagem de sites é construído sobre uma plataforma tecnológica que envolve principalmente quatro níveis ou quatro diferentes áreas de conhecimento: Datacenter, Infraestrutura Lógica de TI, Aplicação e Banco de Dados, dispostos de maneira representativa na figura 1:

Figura 1: Representação dos níveis que compõem a plataforma do serviço de hospedagem de sites

A segurança da informação gerada e armazenada por um website depende que processos de segurança sejam implementados e mantidos em cada um dos níveis individualmente e em conjunto.

Este documento tem o objetivo de fornecer uma visão geral destes processos e apresentar as garantias necessárias aos clientes deste serviço de que as informações de seus websites, hospedados pela MSTECH, estarão seguras contra perdas causadas por possíveis falhas de diversas origens e também contra acessos não autorizados.

Por se tratar de um documento público, este documento não fornece detalhes sobre os processos que poderiam comprometer a segurança do ambiente e das aplicações.

Visão Geral do Serviço de Hospedagem de Websites da MSTECH

A seguir são apresentados em linhas gerais os componentes dos quatro níveis da plataforma tecnológica que compõe o serviço de hospedagem de sites, bem como a relação entre cada um deles:

Datacenter

Entende-se por Datacenter toda a infraestrutura tecnológica necessária para suportar os demais níveis da plataforma. Composta por:

• Infraestrutura predial: Instalações físicas, fornecimento de energia e refrigeração adequadas. Controle de acesso de pessoal autorizado.
• Rede de Dados: Dispositivos de hardware que suportam a comunicação de dados entre os demais elementos, como switches, roteadores e cabeamento necessário para interligação.
• Servidores: Computadores com função específica, dedicados à hospedagem propriamente dita das aplicações.
• Storages: Dispositivo com a função específica de armazenamento de dados, com recursos nativos de replicação de dados e proteção contra falhas de seus componentes internos.
• Firewall: Dispositivo de hardware que gerencia as conexões entre os segmentos da rede lógica (mais especificamente entre a Internet e a rede interna onde estão conectados os demais elementos já descritos), permitindo apenas as conexões explicitamente registradas em seu conjunto de regras. Também responsável por identificar e mitigar possíveis ataques e acesso não autorizado aos servidores e storages.

A MSTECH terceiriza este nível da plataforma, uma vez que entende que sua expertise reside nos demais níveis, e ganhos maiores em confiabilidade podem ser alcançados para todos os envolvidos ao contratar os serviços de Datacenter de uma empresa altamente especializada.

A empresa que atualmente presta os referidos serviços sob contrato é a Inet Services (www.inetservices.com).

A Inet Services é uma empresa americana especializada em prover recursos (servidores, storages, banda de Internet etc.) e serviços (monitoramento, assistência técnica etc.) para a hospedagem de sistemas sendo, em sua maioria, websites e webservices. O datacenter da Inet Services está em conformidade com os mais rigorosos padrões de segurança e confiabilidade do mercado, sendo certificada PCI (DSS 3.0) e HIPAA. Estes dois padrões internacionais de segurança exigem um conjunto complexo de requisitos que garantem a segurança e privacidade dos dados hospedados. Entre os principais requisitos estão:

• Sistema de restrição de acesso físico
• Monitoramento de segurança
• Firewall
• Encriptação de dados
• Proteção antivírus
• Sistema de Detecção de Intrusão
• Sistema de checagem de integridade de arquivos
• Manutenção e retenção de LOGs
• Acesso restrito a dados sensíveis
• Autenticação em duas fases
• Política de senhas com expiração forçada
• Escaneamento automático de rede
• Certificados SSL

O contrato entre a Inet Services e a MSTECH não exige tempo mínimo de cancelamento e é renovado mês a mês mediante pagamento da mensalidade.

A MSTECH contrata e utiliza o serviço “Dedicated Servers” (servidores dedicados) da Inet Services, que utiliza como hosts para máquinas virtuais. Esta categoria de serviço permite que os profissionais da MSTECH tenham acesso remoto total aos servidores e possam criar a infraestrutura lógica de TI conforme a necessidade e sem a interferência da Inet.

Além dos servidores utilizados para a hospedagem das VMs, a MSTECH contrata também um storage dedicado interligado à mesma rede para armazenar os arquivos e bancos de dados dos websites.

Todos os serviços contratados junto à Inet Services possuem Acordos de Nível de Serviço (SLAs) compatíveis com o mercado. As políticas de SLA e de privacidade e segurança de dados da Inet Services estão publicadas em seu site: [www.inetservices.com].

Infraestrutura Lógica de TI

A Infraestrutura Lógica corresponde aos elementos lógicos que fazem uso dos meios físicos descritos anteriormente, para a realização das atividades de processamento e publicação dos dados a que se propõem os sistemas desenvolvidos pela MSTECH.

Resumidamente, os servidores físicos e storages são utilizados para hospedar máquinas virtuais (VMs) com funções específicas nas camadas comumente utilizadas em sistemas computacionais: apresentação dos dados, aplicação e manipulação e armazenamento dos dados.

Redundância

As funções de cada uma das camadas lógicas são executadas em modo ativo/ativo (paralelamente) sempre que possível ou em modo ativo/passivo em ao menos duas VMs, hospedadas em conjuntos de hardware distintos, de maneira que, em caso de falha de um dos componentes de hardware que afete as VMs dependentes (servidor, storage, rede), outra VM assumirá automaticamente as funções da primeira, reduzindo ao mínimo o tempo em que um sistema hospedado fique indisponível (downtime).

Por questões de segurança, a infraestrutura lógica e a disposição de cada VM não serão descritas neste documento.

Monitoramento

O monitoramento dos servidores e demais componentes providos pela Inet Services é realizado 24x7 e de responsabilidade da própria Inet Services, como pode ser verificado no Acordo de Nível de Serviço publicado no site da Inet Services.

O monitoramento das aplicações é feito pela equipe do GTI da MSTECH, todos os dias da semana das 7h00 à 0h00. Este monitoramento é realizado através da ferramenta Monitis (www.monitis.com.br) que testa o carregamento dos sites hospedados a cada 1 minuto e, em caso de falha, emite alertas via SMS e e-mail para 3 analistas de infraestrutura do GTI.

Além dos alertas de carregamento dos sites, os mesmos analistas recebem alertas via e-mail através da ferramenta Zabix, relativos a falhas ou ultrapassagem de limiares de segurança dos principais recursos dos servidores físicos e dos virtuais (processamento, memória, disco, rede etc.).

Os analistas estão orientados a agir prontamente no ato do recebimento dos alertas.

Serviço de Backup

A MSTECH utiliza um sistema de backup que realiza a cópia de segurança de todos os arquivos e bancos de dados dos sites a cada 60 minutos. Esse backup é armazenado em um servidor dedicado local e não tem a intenção de ser utilizado em caso de catástrofe, mas para ser utilizado de forma pontual caso haja uma corrupção dos dados, causada por intervenção direta indevida de um dos analistas do GTI ou do SQA da MSTECH ou por mal funcionamento de aplicações causado por bugs ou por outras razões.

Todos os dados armazenados no storage são transmitidos diariamente “off-site” do datacenter principal da Inet Services, localizado em Boston - MA, para outro datacenter localizado em Chicago - IL, de forma que os dados podem ser acessados e recuperados em caso de ocorrência de catástrofe no datacenter principal da Inet Services. No datacenter de Chicago a MSTECH contratou uma estrutura similar à utilizada em Boston, mas que permanece “off-line” e é utilizada apenas em caso de catástrofe.

A MSTECH mantém seus planos de Recuperação de Desastre sempre atualizados e a verificação do status dos planos de backup é realizada diariamente.

Acesso Local e Remoto ao Ambiente

O acesso local ao ambiente só é permitido à equipe da Inet Services com prévia autorização do coordenador do GTI da MSTECH, que irá configurar um login e senha temporários e irá acompanhar o acesso remotamente em tempo real. Normalmente estes acessos são feitos pela iniciativa da própria MSTECH para realizar algum tipo de manutenção que não é possível ser feita remotamente.

O acesso remoto só é permitido a alguns colaboradores da MSTECH, devidamente capacitados e registrados para tanto. Sendo que seu acesso é controlado através de conta individual do domínio. Em caso de desligamento do funcionário, há uma dupla segurança para evitar acessos indevidos. Primeiramente, a conta de domínio é desabilitada instantaneamente, no ato do desligamento do funcionário. Além disso, as regras de segurança configuradas no firewall da Inet Services só permitem conexões a partir dos IPs de saída do escritório da MSTECH de Bauru-SP. Desta forma, não é possível acessar remotamente os servidores físicos ou VMs hospedados na Inet de outro local, mesmo tendo posse de um login e senha válidos.

Acordo de Não Divulgação

Todos os funcionários da MSTECH que têm relação direta ou indireta com o desenvolvimento das aplicações ou com o gerenciamento do ambiente de hospedagem estão submetidos a um “Acordo de Não Divulgação” firmado entre as partes na data da contratação.

Camadas de Aplicação e Banco de dados

Os procedimentos de segurança da informação para as camadas de aplicação e banco de dados encontram-se na página: Política de Segurança da Informação para o Desenvolvimento MSTECH