Segurança de Aplicações

Dados: Kraken é uma aplicação de multi-inquilinos com os dados logicamente separados entre contas. Dados de uma conta não podem ser acessados por outra conta, nem podem ser compartilhados. O acesso aos dados está disponível apenas para usuários com um papel apropriado na conta. Criptografia: Todos os dados são criptografados em repouso usando o Sistema de Gerenciamento de Chaves da AWS (“AWS KMS”). Isso utiliza o padrão de criptografia AES-256. Autenticação: Todas as senhas são salgadas e criptografadas antes de serem armazenadas no banco de dados. Não conseguimos ver qual é uma senha, então, se uma senha for esquecida, precisará ser redefinida pelo usuário. Registro de Auditoria: A aplicação possui um registro de auditoria que pode ser usado tanto para segurança quanto para conformidade. Análise Estática: Todo o código passa por análise estática a cada check-in no repositório. Testes de Penetração: Testes de penetração (Pen tests) são realizados anualmente. Questões identificadas são corrigidas com base na avaliação de risco do teste e o teste de penetração é refeito para confirmar que as questões foram corrigidas. DKIM/DMARC/SPF: Todos os e-mails enviados do domínio Big Squid são assinados usando tanto DKIM quanto SPF. O registro DMARC também está disponível para servidores de e-mail receptores. Separação de Ambientes: Os ambientes de produção, staging e desenvolvimento são física e logicamente separados. O ambiente de staging é uma réplica do ambiente de produção, mas é fisicamente isolado do ambiente de produção. O desenvolvimento é realizado em máquinas locais. QA & Testes: Tanto a Garantia de Qualidade (“QA”) automatizada quanto a manual. O QA automatizado consiste em testes de unidade, integração e aceitação. Estes são executados a cada implantação. O QA manual é realizado em cada correção de bug e nova funcionalidade antes de ser mesclado em uma versão.