Skip to main content

Segurança

Arquitetura

O InHire é uma aplicação completamente serverless residente da AWS. Operamos com microserviços executando Lambda Functions com runtime de Node.js (Typescript) e com DynamoDB como banco de dados primário, isso nos garante uma altíssima capacidade de escala em número de operações.

Treinamento do time

O time do InHire é treinado em segurança da informação e práticas de desenvolvimento seguro. Todos os colaboradores passam por um treinamento de "Conscientização de Segurança Cibernética" da Solyd com duração de 180 minutos. Esse treinamento possui 9 módulos e conta com quizzes ao final de cada módulo, gerando uma certificação ao final.

Durante o treinamento, serão abordados tópicos fundamentais da segurança da informação, incluindo, mas não se limitando a, tipos de malware (como vírus, worms e trojans), técnicas de phishing e engenharia social, ataques de negação de serviço (DoS e DDoS), bem como vulnerabilidades de segurança em softwares e sistemas operacionais.

Onde ficam os dados

Os dados do InHire ficam armazenados na Amazon Web Services (AWS) na N. Virginia (EUA). A AWS tem uma vasta gama de certificações de segurança, como: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1, SOC 1, 2 e 3.

Criptografia

Dados em trânsito usam TLS v1.3 (TLS 1.2 é a versão mínima suportada) e os dados em repouso AES-256.

Monitoramento

Utilizamos o AWS GuardDuty e AWS WAF (com regras customizadas pela Cyber Security Cloud Inc).

Certificação

SOC II

O InHire está em processo de implementação do SOC II, que é um padrão de segurança para aumentar a confiança e transparência das organizações.

Utilizamos a Drata para nos ajudar a automatizar o processo de auditoria e garantir que estamos em conformidade com os padrões SOC II.

Testes de Penetração

Na InHire, seguimos as seguintes práticas em nossos testes de penetração:

  • Frequência dos Testes: Realizamos testes de penetração semestrais, garantindo uma análise contínua da segurança de nossa infraestrutura.

  • Modelo Adotado: Utilizamos o modelo gray box, que fornece uma avaliação balanceada das vulnerabilidades, permitindo que os testadores tenham um conhecimento limitado dos sistemas internos, simulando cenários realistas de ataque.

  • Tratamento de Vulnerabilidades:

    • Vulnerabilidades críticas ou de alta severidade são endereçadas imediatamente.
    • Vulnerabilidades de média e baixa severidade têm um prazo de resolução de até 60 dias.

  • Objetivo: Assegurar a robustez dos nossos sistemas, implementando ações corretivas e preventivas de forma proativa, garantindo a integridade e confidencialidade dos dados da empresa.

Política de Backup

Nossa política de backups prevê cópia:

  • Diária, com retenção de 2 semanas;
  • Semanal, com retenção de 1 ano.

Esse processo é gerido pelo AWS Backup. Os procedimentos de restore são providos pela mesma ferramenta.

Autenticação no InHire

Os clientes do InHire podem optar para que seus colaboradores usem uma das seguintes formas de autenticação:

  • SSO via SAML: essa forma de login permite MFA considerando que é uma liberalidade do cliente definir a política em seu IdP. O provisionamento do usuário ocorre através da atribuição de um “role” básico no primeiro acesso ou através de convites manuais através da plataforma.
  • Login com email e senha: as senhas têm critério mínimo de aceite de: ao menos 8 caracteres com presença de ao menos 1 caractere minúsculo, um maiúsculo, um número e um especial.