Fale ConoscoCentral de SuporteStatus dos Serviços
Conceitos

Segurança do produto

Você está seguro com a DRIC!

Compromisso

Aqui na DRIC, temos um forte compromisso com a privacidade e segurança dos dados. Trabalhamos incansavelmente para garantirmos que, além de sermos a melhor solução para armazenamento, transmissão e privacidade de dados, também sejamos a mais segura.

Veja nas próximas sessões as avaliações e testes de segurança, pontos fracos e vulnerabilidades que nossos produtos foram testados e aprovados.

Testes de penetração e Verificação de segurança

APIs são os principais alvos dos invasores e nós sabemos disso! Assim como qualquer sistema, as APIs podem ter vulnerabilidades e, sem verificação, essas fraquezas permanecem ocultas. A verificação de segurança da API atua como um escudo proativo, identificando essas vulnerabilidades antes que os invasores as explorem. Isso evita violações de dados, acesso não autorizado e possíveis problemas regulatórios, protegendo, em última análise, suas informações valiosas e construindo a confiança dos usuários.

As APIs são os principais alvos dos invasores e nós sabemos disso! Sendo assim, selecionamos criteriosamente ferramentas e as mais reconhecidas metodologias de mercado que nos ajudasseque nos Fomos aprovados por rigoroso patch de verificação e critérios de segurança recomendados e implementados pela OWASP, PCI Security Standards CouncilTM e a CWE and SANS Institute. Todas as metodologias tem por objetivo principal identificar e mitigar vulnerabilidades bem conhecidas e pontos fracos complexos em APIs que podem ser exploradas por invasores. Isso ajuda a manter a privacidade e proteger dados confidenciais de nossos clientes, mantendo a integridade e a disponibilidade de aplicativos que dependem de nosso conjunto de APIs.

Criptografia de dados

Todos os dados trafegados são transmitidos de forma encriptografada e toda informação sensível é armazenada em servidores seguros.

Firewalls e Detecções

Cada componente do sistema é isolado em sua própria sub-rede, e cada uma destas redes estão isoladas das outras por meio de firewalls. Periodicamente executamos software de prevenção e varredura em nossa infraestrutura, em busca de vulnerabilidades ocultas.

Cobertura de vulnerabilidades

Durante as avaliações de segurança, nossos produtos são testados quanto aos seguintes pontos fracos e vulnerabilidades listados a seguir.

Dentre tantas outras vulnerabilidades ocultas testadas e aprovadas, disponibilizamos apenas lista pública da avaliação de segurança.

OWASP Top 10

  • Broken Access Control

  • Cryptographic Failures

  • Injection

  • Insecure Design

  • Security Misconfiguration

  • Vulnerable and Outdated Components

  • Identification and Authentication Failures

  • Software and Data Integrity Failures

  • Security Logging and Monitoring Failures

  • Server-Side Request Forgery

OWASP API Top 10

  • API1: Broken Object Level Authorization

  • API2: Broken Authentication

  • API3: Broken Object Property Level Authorization

  • API4: Unrestricted Resource Consumption

  • API5: Broken Function Level Authorization

  • API6: Unrestricted Access to Sensitive Business Flows

  • API7: Server Side Request Forgery

  • API8: Security Misconfiguration

  • API9: Improper Inventory Management

  • API10: Unsafe Consumption of APIs

PCI DSS

  • Injection Flaws

  • Cross-Site Scripting (XSS)

  • Cross-Site Request Forgery (CSRF)

  • Improper Access Control

  • Broken Authentication and Session Management

  • Buffer Overflows

  • Improper Error Handling

  • Insecure Communications

  • Insecure Cryptographic Storage

  • Any other "High" Risk Vulnerabilities

CWE/SANS Top 25

  • CWE-787: Out-of-bounds Write

  • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

  • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

  • CWE-416: Use After Free

  • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

  • CWE-20: Improper Input Validation

  • CWE-125: Out-of-bounds Read

  • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

  • CWE-352: Cross-Site Request Forgery (CSRF)

  • CWE-434: Unrestricted Upload of File with Dangerous Type

  • CWE-862: Missing Authorization

  • CWE-476: NULL Pointer Dereference

  • CWE-287: Improper Authentication

  • CWE-190: Integer Overflow or Wraparound

  • CWE-502: Deserialization of Untrusted Data

  • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

  • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

  • CWE-798: Use of Hard-coded Credentials

  • CWE-918: Server-Side Request Forgery (SSRF)

  • CWE-306: Missing Authentication for Critical Function

  • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

  • CWE-269: Improper Privilege Management

  • CWE-94: Improper Control of Generation of Code ('Code Injection')

  • CWE-863: Incorrect Authorization

  • CWE-276: Incorrect Default Permissions

Updated about 2 months ago