Semaphore

Star
...

Semaphore

Segurança

No Semaphore, proteger os dados dos clientes é uma prioridade e levamos muito a sério a responsabilidade de mantê-los seguros. Por isso, construímos nosso produto de acordo com os mais altos padrões de segurança.

✅ Conformidade e Certificação

✔️ SOC 2 Tipo 2

Nossos controles de organização de serviços foram auditados de forma independente com base nos Critérios de Serviços de Confiança da AICPA, validando nosso compromisso contínuo com segurança. O acesso ao nosso relatório SOC 2 Tipo 2 está disponível mediante solicitação e assinatura de um NDA.

✔️ ISO 27001:2022

Construímos nosso Sistema de Gestão de Segurança da Informação com base nos controles da ISO 27001:2022 para garantir que os melhores controles de proteção sejam implementados de acordo com os padrões da indústria. A prova de certificação está disponível mediante solicitação.

✔️ PCI-DSS

Todos os pagamentos feitos no Semaphore são processados pela FastSpring, um serviço em conformidade com o PCI-DSS Nível 1.

🔒 Segurança do produto

✔️ Criptografia de dados

Todos os dados enviados para ou a partir do Semaphore são criptografados em trânsito usando criptografia de 256 bits. Nossos endpoints de API e aplicativo são apenas TLS/SSL. Também criptografamos os dados em repouso usando o algoritmo de criptografia AES-256, padrão da indústria.

✔️ Segurança do código-fonte

A comunicação com seu provedor de Git é sempre criptografada, e o acesso ao código-fonte é feito apenas via SSH e/ou HTTPS.

✔️ Segredos

O Semaphore Secrets permite armazenar dados sensíveis e usá-los como variáveis de ambiente dentro dos seus jobs.

✔️ Logs de auditoria

Os logs de auditoria permitem monitorar qualquer atividade. Use-os para ajudar em investigações forenses e mostre que está em conformidade. Os logs de auditoria podem ser transmitidos com segurança para seus próprios servidores.

✔️ Isolamento de execução

O Semaphore executa todos os builds em máquinas virtuais isoladas, que são destruídas após cada uso.

✔️ Autenticação de dois fatores

O Semaphore herda a autenticação 2FA estabelecida em seu provedor de Git de terceiros.

✔️ Restrições herdadas

Os direitos de acesso padrão aos projetos no Semaphore são herdados das configurações do repositório em seu provedor de Git de terceiros.

✔️ Controle de acesso baseado em funções

Oferecemos várias funções de usuários com diferentes níveis de permissão dentro do produto.

🛡️ Segurança Operacional e Políticas

✔️ Políticas

O Semaphore desenvolveu um conjunto abrangente de políticas de segurança que cobre uma variedade de tópicos. Essas políticas são atualizadas frequentemente e compartilhadas com os funcionários.

✔️ Verificação de funcionários

O Semaphore realiza verificações de antecedentes em todos os novos funcionários, de acordo com as leis locais.

✔️ Confidencialidade

Todos os funcionários assinaram um acordo de confidencialidade.

✔️ Treinamento em segurança

Todos os funcionários completam um treinamento de segurança ao ingressar e recebem atualizações regulares.

✔️ Educação em segurança para engenheiros

Todos os engenheiros são obrigados a participar de treinamentos técnicos adicionais em segurança.

✔️ Resposta a incidentes

O Semaphore mantém um conjunto bem definido de protocolos para responder a eventos de segurança. Esses protocolos são testados e atualizados regularmente.

✔️ Equipe de resposta a incidentes

O Semaphore possui uma equipe rotativa de Confiabilidade de Site e Resposta a Incidentes, disponível 24/7.

✔️ Gerenciamento de parceiros

O Semaphore exige que todos os fornecedores terceirizados sejam certificados pela ISO 27001:2013 e preencham um questionário de segurança anualmente.

✔️ Controle de acesso e permissões

O Semaphore segue o princípio de acesso de privilégio mínimo. O acesso aos dados dos clientes é limitado a funcionários autorizados que precisam desses dados para suas responsabilidades de trabalho.

✔️ Métodos de autenticação

O Semaphore opera uma rede corporativa de confiança zero. Aplicamos Single Sign-on (SSO), autenticação de dois fatores (2FA) e políticas rigorosas de senhas no GitHub, BitBucket, Google e AWS para garantir que o acesso aos serviços em nuvem esteja protegido.

📋 Segurança de Aplicação

✔️ Desenvolvimento Seguro de Código (SDLC)

Nossa Política de Ciclo de Vida de Desenvolvimento de Software controla os processos de entrega, revisão e gerenciamento de mudanças para minimizar incidentes de segurança ou tempo de inatividade.

✔️ Dependências de software

O Semaphore mantém as dependências de software atualizadas e usa ferramentas automatizadas para escanear problemas comuns de segurança, incluindo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection.

✔️ Ambientes de desenvolvimento separados

Os ambientes de teste e staging são separados logicamente do ambiente de produção. Nenhum dado de cliente é utilizado em nossos ambientes de desenvolvimento ou teste.

✔️ Processos automatizados de teste e build

Temos um conjunto extenso de procedimentos de teste automatizados que são executados para cada alteração de código.

🚨 Segurança física e de infraestrutura

✔️ Segurança nos escritórios

Os escritórios do Semaphore são protegidos por várias barreiras físicas e sistemas de alarme. Todos os visitantes precisam se registrar e ser acompanhados o tempo todo.

✔️ Segurança em escritórios remotos

O Semaphore garante o trabalho seguro de locais remotos por meio de políticas como política de ambiente seguro, política de tela e mesa limpa e política de proteção de equipamentos.

✔️ Data centers

Nossa aplicação é hospedada e gerenciada em data centers seguros do Google Cloud Platform. Esse fornecedor é líder da indústria em segurança e privacidade. Nossos agentes são hospedados na Hetzner, um dos maiores operadores de data centers da Europa, com acreditação ISO 27001:2013.

🗄️ Segurança de dados

✔️ Armazenamento de dados

Os bancos de dados do Semaphore são acessíveis apenas por servidores que exigem acesso. As chaves de acesso são armazenadas de forma separada do nosso repositório de código-fonte e estão disponíveis apenas para os sistemas que precisam delas.

✔️ Backup de dados

O Semaphore mantém uma Política de Backup de Dados para sistemas críticos e requer capacidades de restauração dentro de prazos comuns da indústria.

✔️ Logs

Agregamos logs em armazenamento criptografado seguro. Todas as informações sensíveis são filtradas dos nossos logs de servidor.

✔️ Isolamento de builds

O Semaphore executa todos os builds em máquinas virtuais isoladas, que são destruídas após cada uso.

✔️ Recuperação de desastres

Cada um de nossos serviços é totalmente redundante, com replicação e failover. Os serviços são distribuídos por várias zonas de disponibilidade, hospedadas em data centers fisicamente separados, protegendo contra falhas em um único data center.

🌎 Segurança de rede

✔️ Criptografia de tráfego

Todos os dados em trânsito são criptografados via TLS e SSH.

✔️ Criptografia de segredos

Os Semaphore Secrets são criptografados em repouso e em trânsito, sendo injetados no ambiente de execução no início de um job.

✔️ Criptografia de código-fonte

O código-fonte é sempre criptografado via TLS e SSH durante o trânsito.

✔️ Auditoria de sistemas

O Semaphore mantém uma Política de Auditoria formal, e as auditorias são conduzidas anualmente. Isso inclui auditorias internas e de terceiros.

✔️ Varredura de vulnerabilidades

O Semaphore utiliza ferramentas de segurança para escanear continuamente vulnerabilidades. Além disso, vulnerabilidades em bibliotecas e ferramentas de terceiros são monitoradas, e o software é corrigido ou atualizado rapidamente quando novos problemas são relatados.

✔️ Firewall

Nossos servidores são protegidos por firewalls e não são expostos diretamente à internet.

Bugs e relatórios que não abordamos 🪲

Não agimos nas seguintes classes de bugs e relatórios comuns: Credenciais no .semaphore/semaphore.yml de terceiros Erros de spoofing de email, SPF, DKIM e DMARC

🚫 Programa de Recompensas não disponível

O Semaphore não oferece recompensas por bugs encontrados. Esperamos que, se você descobrir vulnerabilidades durante seu trabalho, compartilhe-as conosco para que possamos melhorar a saúde do ecossistema da internet.

Fale conosco ✉️

Tem uma pergunta, preocupação ou comentário sobre a segurança do Semaphore?
Envie um e-mail para support@semaphoreci.com para dúvidas gerais ou para support+security@semaphoreci.com em caso de emergências.

Content

  1. Compliance and Certification
  2. Product security
  3. Operational Security and policies
  4. Application Security
  5. Physical and infrastructure security
  6. Data Security
  7. Network Security
Star us on GitHub
Star
...