TOTVS Fluig

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 19

changes.mady.by.user Samara Buettgen

Gravado em

comparado com

Nova versão 20

changes.mady.by.user Julia Larissa Schultz

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Declarar os controles de segurança realizados dentro da plataforma fluig e sua execução em ambiente internos (on-premisespremise) ou da nuvem cloud.

Criptografia

Trafego Tráfego de dados

Toda a comunicação do fluig e os clientes é feito por HTTPS/TLS, o protocolo mais utilizado e confiável no mercado.

Saiba mais sobre configuração HTTPS

É de responsabilidade do cliente fornecer um certificado válido para utilização do servidor fluig, exemplo: fluig.empresa.com.br.

Caso o cliente não tenha um certificado, sugerimos a utilização do seguinte endereço

abaixo

:

Certificado HTTPS por 2 meses

Informações

Também é recomendável a configuração de uma rede DMZ para o fluig.

SenhasOs dados sensíveis de usuário são gravados de forma que não podem ser descobertos o conteúdo original.
AutenticaçãoO processo de Single Sign On (SSO) é feito através do protocolo SAML, com um certificado gerado internamente, onde não é feita a troca de informações de senha.

...

Sistemas legados

Com a plataforma fluig uma das características que é muito utilizada nos projetos criados é a integração com sistemas que a empresa já tem, seja para consulta seja para efetivação.

Tipos de integração suportados:

  • SOAP (HTTP e HTTPS)
  • REST (HTTP e HTTPS)
  • JDBC (criptografia depende do fornecedor do Banco de Dados)

Autenticações suportadas em REST:

  • Basic
  • OAuth 1
  • OAuth 2
  • Custom (escrito em JavaScript)
  • Nenhuma

Componentes obrigatórioobrigatórios

On-Premises Premise - License Server

Para verificar o contrato do cliente, será necessário instalar o License Server. Ele se conecta a nuvem para verificar o contrato do cliente ao qual ele tem acesso. Leia mais sobre o license server.

On-Premises Premise - Banco de Dados

Conforme matriz de portabilidade, o fluig requer a utilização de um banco de dados. Para obter mais detalhes sobre características de segurança desse componente verifique a documentação do seu fornecedor.

Componentes opcionais

Microsoft Active Directory

Para autenticação de usuários é possível utilizar o Microsoft Active Directory. Tanto a plataforma como fluig Identity possuem conexões, sendo que para o fluig Identity possuímos o SmartSync que é utilizado para aumentar a segurança nessa comunicação.

SMTP - Envio de e-mail

Para realizar o envio de e-mail de notificações, utilizamos o protocolo SMTP tanto com SSL como TLS. Leia mais sobre a configuração de e-mail.

Notificações PUSH

Para notificar os usuários de aplicativos móvel é utilizado tanto a infra-estrutura do Google® como da Apple®, em que pequenas mensagens sem dados críticos de negócio são repassadas usando o parceiro de tecnologia UrbanAirship que centraliza todas as mensagens enviadas para clientes fluig.

...

Recomendação seguidaPara boa parte das ações de segurança, são levadas em consideração as recomendações da OWASP
Teste de vulnerabilidades

Empresas terceiras realizam Pentests de forma regular e de forma independente.

Descobertas de vulnerabilidades são avaliadas conforme impacto e probabilidade da falha, nisso são criadas tarefas de correção para o time responsável.

Último pentest realizado: marçojaneiro/20172019

Incidentes de segurança

No evento de um vazamento de informações ou de uma descoberta de uma vulnerabilidade, nossos profissionais técnicos são alocados.

Para garantir o processo, clientes são orientados a abrir um ticket relatando a situação.