O Sabesim em toda sua história nunca sofreu nenhum tipo de vazamento de dados por erro de nossa parte ou algum tipo de invasão que comprometesse nossos clientes.
Um dos motivos disso são nossas medidas de segurança, que descrevemos a seguir.
Medidas de Seguranças
Aqui citaremos algumas medidas que tomamos para tornar Sabesim mais seguro.
Segurança dos dados da Empresa
Os dados da sua empresa são seus e privados. Tomaremos todas as ações necessárias para que apenas seus colaboradores autorizados possam ter acesso a estas informações.
Ações Pró-Ativas Técnicas
Estas são as ações que fazemos pró-ativamente para aumentar a segurança:
Conexão SSL/HTTPS
O Sabesim usa encriptação SSL por padrão no sistema.
Acesso restrito a recursos sensitivos
O Acesso ao banco de dados, bem como a serviços específicos só pode ser feito por servidores que estejam dentro do escopo de servidores do Sabesim. Isto significa que ninguém externo conseguirá sequer tentar ver o seviço.
Bloqueio de Portas
Apenas portas essenciais ao acesso do usuário são abertas (HTTP e HTTPS).
As demais portas são todas fechadas.
Backup Constante
O Sabesim faz Backups constantes de diários dos dados mais sensitivos.
Servidores Robustos
Utilizamos o serviço de Cloud da Amazon, o que proporciona extrema robustez no sistema.
Ataques / Prevenção
Abaixo listamos as principais formas de ataque existentes.
Em seguida vou explicando como o Sabesim se previne a estes ataques.
SQL Injection, 18,87%
É quando alguém com acesso ao sistema, de alguma forma injeta códigos SQL na requisição ao servidor. Caso este não trate este código, o cara pode por exemplo deletar ou alterar tabelas do banco.
O Sabesim é 100% seguro quanto a isso, pois usamos JPA do Java, que de cara impede que um código malicioso chegue ao sistema.
Cross Site Scripting (XSS), 12,58%
É quando alguém manda um código malicioso (Geralmente via Javascript) a outra pessoa geralmente por mensagem. O Orkut era famoso por ter muito destas falhas.
O Sabesim é 100% seguro quanto a isso, pois toda as mensagens, antes de serem gravadas no banco de dados, passam por um processo chamado “Satinizing”.
Neste processo apenas TAGS Html seguras passam pelo pente fino, e o que não estiver seguro é descartado.
Denial os Service 8,06%
É quando o sistema recebe requisições demais ao mesmo tempo. Geralmente de um mesmo IP, ou servidor.
O Sabesim por estar hospedado na Amazon consegue aguentar tráfego pesado, além de poder redirecionar tráfego malicioso para um servidor fake.
Predictable Resource Location 4,35%
É quando por exemplo existe uma página “secreta” que só o dono do site sabe onde fica, e que serve para fazer algo importante no sistema.
O Sabesim não tem nenhuma página assim
Unintententional Information Disclosure 4,35%
Exibição acidental de informação. É quando o cara por exemplo mantem num papel junto com o cartão do banco, a senha dele.
Não existe meio eficiente de contornar isso via sistema, apenas educando as pessoas.
Brute Force 4,03%
É quando o cara tenta milhões de vezes acessar uma conta ou algo assim tentando senhas variadas.
No Sabesim, se o cara errar a senha 03 vezes, o sistema bloqueia a conta por 02 minutos tornando o ataque inviável.
Credential and Session Prediction 2,9%
O Sabesim para identificar você gera um Cookie com um valor nele do tipo s=drt567zwer_8
Existem sites que usam o mesmo numero, ou chave sempre, e se alguém descobrir isso, pode acessar a conta como sendo a pessoa.
O Sabesim gera esta chave de forma randômica, e ela muda toda vez que é feito login, tornando este ataque impossível.