Desenvolvimento seguro

Todos os novos desenvolvedores de software da EcoStruxure IT participam de um treinamento em segurança obrigatório oferecido na contratação e todos os anos depois disso. Além disso, podem optar por participar de um treinamento White Hat Hacker para receber a certificação Ethical Hacker.

Qualquer mudança na plataforma EcoStruxure IT está sujeita a revisão por pares obrigatória na qual as mudanças nos códigos e infraestrutura são revisadas por pelo menos um outro engenheiro a fim de validar a qualidade, segurança e desempenho do código.

Todas as mudanças são rastreadas usando um sistema de controle de versão (GIT) para assegurar o histórico, rastreabilidade e controle de auditoria.

Os ambientes de teste da EcoStruxure IT são fisicamente isolados do ambiente de produção.

Vulnerabilidades da aplicação

A Schneider Electric usa várias ferramentas de segurança terceirizadas para verificar de forma dinâmica e contínua a plataforma EcoStruxure IT quanto a vulnerabilidades. A Schneider Electric mantém uma equipe de segurança comprometida em abordar os resultados e trabalhar com as equipes de engenharia para solucionar problemas.

Todas as mudanças no código-fonte são continuamente verificadas quanto a bugs, segurança e problemas com licenças por meio de ferramentas de análises estatísticas. Qualquer mudança no código-fonte que não atenda aos padrões da EcoStruxure IT será devolvida à equipe de desenvolvimento para melhoria.

A Schneider Electric utiliza continuamente um número rotativo de hackers certificados terceirizados para a realização de testes de penetração detalhados de toda a plataforma EcoStruxure IT (gateway, aplicativo móvel e web). Quando novos recursos são lançados, declarações de missão são enviadas para especialistas de segurança para verificar a segurança do recurso. Saiba mais sobre nossa política de compartilhamento de relatório de teste de segurança.

A equipe de resposta a emergências cibernéticas de produtos corporativos da Schneider Electric (CPCERT) definiu os processos de gerenciamento de vulnerabilidades para garantir uma eficiente resposta a incidentes.

Para reportar um incidente, entre em contato com a Central de Atendimento ao Cliente local.

Se você for um investigador, reporte uma vulnerabilidade de cibersegurança aqui.

Todas as divulgações de vulnerabilidades são relatadas no Portal de Suporte de Cibersegurança da Schneider Electric.

De acordo com as melhores práticas do setor, usamos procedimentos rígidos para a limpeza de saída de todas as entradas do usuário. Isso é aplicado em parte pela análise de código estático e também usando estruturas terceirizadas bem conhecidas, testadas e comprovadas.

SEGURANÇA DA AUTENTICAÇÃO

A política de senhas da EcoStruxure IT requer:

• Ao menos 8 caracteres de comprimento
• Ao menos 3 dos seguintes 4 tipos de caracteres:
• Letras minúsculas (a-z),
• Letras maiúsculas (A-Z),
• Números (ex. 0-9),
• Caracteres especiais (ex. !@#$%^&* )
• Não mais que 2 caracteres idênticos em sequência (ex. “aaa” não é permitido)

A EcoStruxure IT validará sua senha, desde que não seja uma das 10.000 senhas mais comuns e que não seja a primeira parte de seu endereço de e-mail.

Observe que sua senha não expirará de acordo com as políticas de senha recomendadas pelo NIST & National Cyber Security Centre no Reino Unido.

A autenticação multifator oferece outra camada de segurança para sua conta EcoStruxure IT, dificultando para outra pessoa acessá-la como se fosse você. A autenticação multifator é habilitada para todos os logins na EcoStruxure IT, seja você um cliente, parceiro ou funcionário da Schneider Electric. A Schneider Electric recomenda que você use o aplicativo EcoStruxure IT para o segundo fator de autenticação ou um aplicativo autenticador terceirizado. Embora seja possível usar tokens SMS únicos de curta duração como um último recurso, isso não é recomendado.

A Schneider Electric segue as melhores práticas de armazenamento seguro de credenciais ao nunca armazenar as senhas EcoStruxure IT em formato de texto claro, e somente como resultado de uma hash protegida por bcrypt e sal. As senhas são separadas da plataforma interna e salvas usando Auth0, uma solução recomendada por especialistas em gerenciamento de autenticações.

A Schneider Electric aplica proteção de força bruta à EcoStruxure IT. Você será impedido de se conectar à sua conta se tiver inserido uma senha errada por mais de 10 vezes a partir do mesmo endereço de IP. Você então receberá instruções sobre como desbloquear seu endereço de IP da EcoStruxure IT por e-mail.

A Schneider Electric aplica limites de taxa também. Se você tentar entrar 20 vezes por minuto como o mesmo usuário do mesmo local, mesmo que tenha as credenciais corretas, o limite de taxa será aplicado. Você poderá então fazer 10 tentativas por minuto.

SEGURANÇA DO GATEWAY

A Schneider Electric se compromete em manter seus dados seguros e privados, mesmo antes de saírem do seu local. Todas as conexões do gateway da EcoStruxure IT com nossa nuvem são validados usando um certificado RSA de 2048 bits e os dados são criptografados em trânsito usando uma criptografia AES de 256 bits. Para evitar o comprometimento da segurança de seu local, o gateway da EcoStruxure IT usa uma conexão de saída pela Porta 443, e se comunica à nuvem da EcoStruxure IT usando apenas 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233, e 52.154.163.222.

Saiba mais sobre como a EcoStruxure IT aplica atualizações à sua infraestrutura por uma conexão somente de saída (comunicação de uma via) aqui.

Todas as solicitações vindo do gateway são assinadas usando uma chave privada única criada na instalação e armazenada no gateway, tornando-as impossíveis de serem imitadas.

O gateway da EcoStruxure IT apresenta uma funcionalidade de atualização automática, garantindo que a aplicação de patches de segurança do software ocorra automaticamente e que o gateway esteja sempre atualizado. Durante a atualização, o gateway continua comunicando dados e alarmes do sensor à nuvem, minimizando o tempo de inatividade.

Saiba mais sobre a privacidade na Schneider Electric.

O Regulamento Geral de Proteção de Dados (“GDPR”) aborda o processamento de dados pessoais e a livre circulação desses dados. Seu objetivo é reforçar a segurança e a proteção dos dados pessoais na UE e harmonizar a lei de proteção de dados da UE. Este regulamento estabelece uma série de princípios e requisitos de proteção de dados que devem ser seguidos no processamento de dados pessoais.

A Schneider Electric se compromete a cumprir com suas obrigações de acordo com o GDPR. A Schneider Electric compartilha informações pessoais com processadores de dados de terceiros com base na necessidade de conhecimento.

Saiba mais sobre quais dados pessoais são compartilhados com subprocessadores e subcontratados.

A Schneider Electric coleta dados de sensores e alarmes de dispositivos de infraestrutura críticos, que você decide compartilhar conosco. A Schneider Electric coleta apenas dados sobre o desempenho de seu equipamento, e metadados como, por exemplo, onde ele está localizado e quantos anos tem.

Antes de ser alocados para armazenamento, seus dados são marcados como seus. Eles são separados dos dados de outros clientes por um identificador único, que o sistema utiliza para garantir a correspondência adequada dos dados. Além disso, o mecanismo de nuvem mantém uma trilha de auditoria completa dos dados recebidos e do processamento de dados, para que possamos sempre voltar a rastrear nossos passos e ver onde seus dados estiveram e para que foram utilizados.

A EcoStruxure IT não acessa nenhum dado armazenado em seus servidores ou armazenamento, ou monitora qualquer tráfego passado através de sua rede. Os dados são armazenados no Microsoft Azure nos Estados Unidos.

Inicialmente, a Schneider Electric processa e armazena dados para você, de forma que estejam disponíveis para você em qualquer lugar do mundo através do aplicativo EcoStruxure IT. Porém, mais importante, compartilhar seus dados com a Schneider Electric nos permite otimizar os serviços e produtos que fornecemos, para ajudá-lo a otimizar seu centro de dados e para permitir que você se assemelhe aos seus pares do mundo inteiro.

Ao desativar sua conta da EcoStruxure IT, nosso sistema exclui seus dados pessoais automaticamente.

Segurança física

Os servidores EcoStruxure IT são hospedados nos Estados Unidos no Microsoft Azure Cloud, que tem certificação ISO 27001, HIPAA, FedRAMP, SOC 1, e SOC 2. Saiba mais sobre a segurança das instalações, dependências e segurança física do Microsoft Azure

Segurança de rede

O acesso à rede de produção da EcoStruxure IT é restrito por um critério explícito de necessidade de conhecimento, utiliza privilégios mínimos, é monitorado e controlado por nossa equipe de operações. Os funcionários com acesso à rede de produção EcoStruxure IT devem usar autenticação de múltiplos fatores.

Como a EcoStruxure IT está rodando no Microsoft Azure, a Schneider Electric aproveita esse monitoramento de tráfego e mitigação em tempo real de ataques comuns em rede sempre ligados, fornecendo as mesmas defesas utilizadas pelos serviços online da Microsoft.

A Schneider Electric utiliza continuamente um número rotativo de hackers certificados terceirizados para realizar testes de penetração detalhados em toda a plataforma EcoStruxure IT. Saiba mais sobre nossa política de compartilhamento de relatório de teste de segurança.

A EcoStruxure IT é mantida e operada por uma equipe central de DevOps com padrões extremamente elevados de segurança cibernética e privacidade de dados. Todas as partes do sistema da EcoStruxure IT são continuamente monitoradas e examinadas em busca de possíveis vulnerabilidades de segurança ou problemas de privacidade. A equipe de DevOps está de plantão 24 horas por dia, 7 dias por semana e é capaz de reagir prontamente a ameaças ou problemas assim que são descobertos.

Criptografia

Todas as conexões da nuvem EcoStruxure IT são validadas usando um certificado RSA de 2048 bits e os dados são criptografados em trânsito usando uma criptografia AES de 256 bits. Para versões do Android anterior à 7.0, a Schneider Electric somente pode garantir criptografia AES de 128 bits devido às limitações na plataforma do Android.

Os dados da EcoStruxure IT são criptografados usando criptografia AES de 256 bits.

Disponibilidade & continuidade

A EcoStruxure IT mantém uma página web de status de sistema disponível publicamente que inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de serviço e eventos de segurança relevantes.

Todos os componentes da plataforma EcoStruxure IT são implantados em uma configuração de alta disponibilidade para eliminar pontos únicos de falha. Todos os dados são armazenados separadamente para evitar perda de dados.