O Safe da SafeSpace
A SafeSpace é uma plataforma SaaS que opera exclusivamente na web. Através do nosso canal, as pessoas colaboradas nas empresas parceiras podem relatar problemas de comportamento (como assédio, discriminação, fraude, suborno e outros) de forma segura e intuitiva. Esses relatos serão recebidos e tratados pela equipe responsável da empresa através de nosso painel de gerenciamento.
Privacidade e segurança são prioridades na SafeSpace. Sabemos que isso é essencial para que as pessoas colaboradoras e administradoras se sintam seguras para manter conversas delicadas e confidenciais por meio da plataforma.
Ciclo de desenvolvimento seguro
Aqui na SafeSpace nós seguimos as práticas de desenvolvimento mais seguras do mercado. Trabalhamos com os princípios do Security by Design, o que significa que levantamos e analisamos os potenciais riscos de segurança desde a concepção e desenho até a implantação de novas funcionalidades com o objetivo de tornar as aplicações o mais livre possível de vulnerabilidades ao trabalhar alguns requisitos desde as primeiras etapas do projeto.
Além disso, realizamos testes contínuos de segurança da solução. Adotamos medidas de segurança, as melhores práticas de programação e recomendações de segurança seguindo frameworks como OWASP e NIST para minimizar brechas e falhas durante todo o desenvolvimento.
Criptografia
Todos os dados no serviço da SafeSpace são criptografados durante o trânsito (TLS) e em repouso usando a criptografia AES-256.
Somado a isso, os dados sensíveis do relato são criptografados no banco de dados antes do armazenamento e não é possível acessá-lo fora da aplicação, garantindo a confidencialidade das informações mesmo para nós na SafeSpace. Aliás, todas as pessoas colaboradoras da SafeSpace assinam um termo de sigilo (NDA) e apenas o time de tecnologia possui acesso ao código fonte.
Testes de Segurança
Para garantir que nossa plataforma seja construída e opere com segurança, contratamos uma empresa de segurança terceirizada para executar testes de penetração regularmente. Os resultados desses testes são analisados cuidadosamente e quaisquer correções ou melhorias necessárias são priorizadas em nosso roadmap.
Além do teste de penetração regular, também executamos a varredura de vulnerabilidades em tempo real em nossa infraestrutura utilizando a ferramenta da Unxpose.
A base de código das nossas aplicações é verificada em cada alteração enviada ao repositório para análise de vulnerabilidades, incluindo das dependências dos projetos. Com o auxílio de ferramentas como o SonaQube e o Snyx entre outras descobrimos e agimos sobre quaisquer configurações incorretas ou dependências vulneráveis de forma extremamente rápida.
A SafeSpace promove uma cultura de testes, realizando testes unitários e de integração na base de código e realizando testes de qualidade.
Seus dados são seus dados
Isolamos os dados das empresas parceiras da SafeSpace criando uma arquitetura segura que separa estes dados a nível de banco de dados em diferentes schemas. Na arquitetura de dados multi-tenancy (múltiplos inquilinos), aplicamos mais uma camada de segurança aos dados dos nossos parceiros.
Além disso, quando um relato é enviado identificado por uma pessoa colaboradora, os dados desta pessoa ficam separados dos dados dos relatos de forma a não facilitar a associação direta fora da aplicação. Quando um relato é enviado no modo anônimo, nenhuma informação do usuário é mantida.
A nível de aplicação, não mantemos nenhuma informação da pessoa relatora quando a mesma envia um relato anônimo.
Autenticação e Autorização
Exigimos que todos os administradores com acesso ao painel da empresa na SafeSpace usem a autenticação de dois fatores para garantir que terceiros externos não tenham acesso aos dados confidenciais de sua empresa.
Pessoas administradoras possuem diferentes níveis de acesso e os relatos são restritos para aqueles administradores que não foram citados como pessoas envolvidas no relato.
Armazenamento de Dados
Para minimizar as chances de suas informações serem hackeadas ou roubadas, nós apenas armazenamos dados quando absolutamente necessário.
A SafeSpace utiliza a infraestrutura escalável da AWS (Amazon Web Services) e da GCP (Google Cloud Platform), o que nos permite atingir alto tempo de atividade e confiabilidade e garantir que seus dados estejam seguros.
Nossos servidores estão localizados nos Estados Unidos. A infraestrutura fornecida pela AWS tem certificação ISO 27001, SOC 1 e SOC 2.
Os dados de registro são armazenados por 90 dias, mas não contêm dados pessoais.
Os backups estão localizados onde nossos servidores estão hospedados: local EU-West 1 da AWS (Irlanda, Londres, Paris).
Monitoramento
Mantemos um sistema de monitoramento com ferramentas como o NewRelic, Sentry e CloudWatch que levanta alertas sobre picos inesperados nas taxas de erro, violações de políticas e outros comportamentos instáveis ou inexplicáveis e acionam a equipe de desenvolvedores e segurança. Verificamos cuidadosamente cada alerta antes de descartar uma anomalia.
Aplicações, rede e ferramentas internas também são protegidos pelo Cloudflare.
Mantendo a SafeSpace seu lugar seguro.
A SafeSpace segue as melhores práticas da indústria e trabalha para manter uma política de divulgação responsável. Agradecemos a ajuda da comunidade na divulgação de quaisquer problemas para nós de maneira responsável e ética. Trabalharemos com indivíduos ou organizações para resolver quaisquer preocupações ou problemas que você possa identificar.
Pedimos a qualquer pessoa que divulgue um problema que aja de boa fé em relação à privacidade e aos dados de nossos usuários durante sua divulgação. Não tomamos medidas legais contra aqueles que revelam preocupações de segurança e agimos de acordo: Pesquisadores de "white hat" são sempre apreciados. Obviamente, certos padrões de ataque, como (D) DoS, não são considerados técnicas de white hat..
Para relatar quaisquer preocupações sobre a segurança ou privacidade do SafeSpace, ou para fazer sugestões de melhorias, envie um e-mail para [email protected].