Ir para o final dos metadados
Ir para o início dos metadados

Objetivo

Declarar os controles de segurança realizados dentro da plataforma fluig e sua execução em ambiente internos (on-premises) ou da nuvem.

Criptografia

Trafego de dados

Toda a comunicação do fluig e os clientes é feito por HTTPS/TLS, o protocolo mais utilizado e confiável no mercado.

Saiba mais sobre configuração HTTPS

É de responsabilidade do cliente fornecer um certificado válido para utilização do servidor fluig, exemplo: fluig.empresa.com.br.

Caso o cliente não tenha um certificado, sugerimos a utilização do seguinte endereço abaixo:

Certificado HTTPS por 3 meses

SenhasOs dados sensíveis de usuário são gravados de forma que não podem ser descobertos o conteúdo original.
AutenticaçãoO processo de Single Sign On (SSO) é feito através do protocolo SAML, com um certificado gerado internamente, onde não é feita a troca de informações de senha.

Disponibilidade e Continuidade

Serviços Identity

na Nuvem

Disponibilidade mínima do ambiente do fluig Identity é de 99,5% por mês sobre o ambiente de produção.

Serviço Analytics

na Nuvem

Disponibilidade mínima do ambiente do fluig Analytics é de 99,5% por mês sobre o ambiente de produção.
Serviço CLOUD

As políticas de disponibilidade e continuidade dependem de proposta comercial, onde nossos planos iniciam com disponibilidade de 97,5% por mês.

Confirme na proposta os valores específicos de uso e de disponibilidade.

Alta disponibilidade

On premises

É de responsabilidade do cliente on-premises criar um ambiente que atenda a necessidade de disponibilidade e desempenho que o negócio necessitará.

Possuímos recomendações sobre como um cliente deve configurar seu ambiente para garantir uma maior disponibilidade.

Saiba mais sobre como criar ambientes de alta disponibilidade fluig

Caso o cliente necessite de um apoio na administração de seu ambiente, possuímos pacotes de serviços para melhor atendê-lo.

Ambiente Físico

Dependendo do uso e contrato, o cliente pode estar no datacenter NIMBVS da TOTVS ou no datacenter Amazon. Cada um possui caracteristicas diferentes.

Ambiente NIMBVS

Certificações

  • ISAE 3402 Tipo II
  • ISO 9001:2008
  • Datacenter TIER III
  • Gestão de vulnerabilidades executada por consultoria especializada
  • Monitoramento e bloqueio contra ataques DDOS 24x7
  • SIEM
  • Firewall Next Generation
  • Política de backup conforme proposta comercial
  • Política de entrega de dados em caso de interrupção irrecuperável no datacenter TOTVS conforme proposta comercial
  • Garantia de integridade dos dados conforme contrato

Localidade

Data centers estão localizados em São Paulo, Brasil

Ambiente Amazon

Para serviços fluig Viewer e para cliente alocados na nuvem Amazon, os seguintes certificações estão incluídas:

  • ISO 27001
  • SOC 1 e SOC 2/SSAE 16/ISAE 3402 (antes SAS 70 Type II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

Mais detalhes sobre as certificações em ambiente Amazon

Localidade

Data centers alocados são da Zona São Paulo, Brasil

Ambiente Mobile

O fluig pode ser acessado via dispositivos móveis com o fluig Mobile, disponível para Android e iPhone/iPad.

Trafego de dados

A comunicação entre o fluig Mobile e o servidor do fluig é feita através de conexão de rede, onde todo o tráfego de informações ocorre via HTTP.

Para acesso via rede de dados celular (3G/4G) é necessário que o endereço do fluig esteja publicado na internet. Para uma maior segurança, é possível habilitar HTTPS, respeitando os certificados válidos para dispositivos móveis.

Caso não esteja publicado na internet, é necessário que o dispositivo móvel onde o fluig Mobile está instalado esteja conectado à uma rede onde seja possível acessar o servidor do fluig.

Ex.: Wi-Fi interna da empresa, conexão VPN, etc.

AutenticaçãoÉ realizada utilizando oAuth, um protocolo seguro de autorização que não armazena o usuário e senha no momento do login, apenas a chave de autenticação (token).

Segurança da rede e aplicação

Recomendação seguidaPara boa parte das ações de segurança, são levadas em consideração as recomendações da OWASP
Teste de vulnerabilidades

Empresas terceiras realizam Pentests de forma regular e de forma independente.

Descobertas de vulnerabilidades são avaliadas conforme impacto e probabilidade da falha, nisso são criadas tarefas de correção para o time responsável.

Último pentest realizado: março/2017

Incidentes de segurança

No evento de um vazamento de informações ou de uma descoberta de uma vulnerabilidade, nossos profissionais técnicos são alocados.

Para garantir o processo, clientes são orientados a abrir um ticket relatando a situação.

  • Sem rótulos