Security White Paper
Como a Mereo aborda a Segurança da Informação
Introdução
A Mereo é uma hrtech brasileira, fundada em 2012, com o objetivo impulsionar a performance das pessoas e das organizações através da sua solução tecnológica, a Plataforma Mereo.
Neste documento, descrevemos nossa abordagem de segurança, arquitetura, privacidade e conformidade da Mereo e sua Plataforma, que é o nosso principal produto, presente em mais de 40 países. O documento se concentra nos controles físicos, administrativos, técnicos e organizacionais que implantamos para proteger a Mereo, sua plataforma e seus clientes.
Cultura de Segurança
A estrutura de segurança da informação da Mereo inclui tecnologia, políticas e procedimentos, como gerenciamento de ativos, gerenciamento de acesso, segurança física, segurança de pessoas, segurança de rede, segurança de terceiros, segurança da plataforma, gerenciamento de vulnerabilidades, monitoramento e resposta a incidentes. As políticas e padrões de segurança da informação são aprovados pela sua Diretoria e estão disponíveis para todos os funcionários da Mereo.Segurança das pessoas
Os colaboradores da Mereo são uma parte essencial para manter o compromisso da empresa com a segurança. Os controles implementados incluem verificações de antecedentes pré-contratação em conformidade com as leis locais e processos de integração de colaboradores e treinamento contínuo que podem incluir o seguinte:Treinamento de conscientização de segurança
Todos os colaboradores devem concluir o treinamento de conscientização de segurança como parte do procedimento ao ingressar na Mereo. O treinamento é implementado continuamente, e validado, através da condução interna de campanhas de Phishing (Spear Phishing, BEC). O treinamento de conscientização de segurança inclui treinamento sobre, mas não se limita a, boas práticas de segurança, como segurança de senha e autenticação multifator, malware e suas variantes, segurança física, resposta de incidentes, engenharia social e responsabilidades de segurança da informação. Além disso, todos os colaboradores da Mereo devem fazer e passar pelo treinamento de privacidade, que abrange as melhores práticas de privacidade e requisitos de conformidade sob a lei de privacidade aplicável, incluindo o Lei Geral de Proteção de Dados (LGPD). Todos os novos colaboradores da Mereo certificam em cumprir as políticas de segurança da informação da Mereo e participar de treinamento durante o processo de integração.Código de Conduta
O Código de Conduta da Mereo descreve o que se espera de todos os sócios e colaboradores. Os colaboradores concordam com o Código de Conduta como parte de sua integração e são solicitados a relê-lo a cada alteração.Verificação de antecedentes
Antes que alguém se junte à empresa, a Mereo realiza verificações de antecedentes. A profundidade dessas verificações de antecedentes pode variar dependendo da posição que o indivíduo está assumindo. As verificações de antecedentes geralmente incluem a verificação da educação de um indivíduo, emprego anterior e referências.Controles de acesso físico
É importante que nossos clientes entendam onde seus dados estão sendo armazenados. Também entendemos a importância de resiliência dos dados para nossos clientes. Para isso, a Mereo usa datacenters da Oracle Cloud, que possui datacenters projetados para serem seguros desde a sua concepção e aplicam controles físicos e ambientais. Além disso, a Oracle Cloud mantém certificações de segurança padrão do setor, incluindo: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e PCI DSS.Plataforma Mereo
Arquitetura - Visão de Alto Nível
Imagem acima ilusta uma visão macro de alto nível da aplicação.
Por ser uma plataforma Single Tenant, cada cliente Mereo possui sua aplicação e banco de dados segregados uns dos outros. Todos os ambientes Mereo são construídos e entregues aos clientes utilizando subdomínios do nosso domínio principal, entrando em nossa rede via Route 53, onde as instâncias são protegidas e filtradas por Security Groups, permitindo apenas o tráfego Web. Os servidores de aplicação se comunicam com os servidores de banco de dados via sub-rede privada. Os dados em repouso (backups) são armazenados no Oracle Object Storage, por um período de 30 dias.
Camada de framework de desenvolvimento
Camada de rede (Grupos de Segurança)
A Mereo configura grupos de segurança na camada de rede da sua sub-rede pública, para permitir somente o tráfego necessário para provisionar acesso aos seus clientes a sua Plataforma. Um grupo de segurança atua como firewall virtual para as instâncias visando controlar o tráfego de entrada e de saída. Na imagem de exemplo a seguir, demonstram 1 instância, uma está no contexto da sub-rede pública, onde o grupo de segurança “sg-0123ec2example” é implantado, e uma instância de banco de dados RDS, dentro do contexto da sub-rede privada, onde o grupo de segurança “sg-6789rdsexample” está implantado.
Nossos grupos de segurança para contextos de sub-rede pública são configurados para permitir somente o tráfego necessário para acesso a nossa plataforma, conforme exemplo abaixo.
Camada de armazenamento e Backups
Os backups da plataforma Mereo são executados em dois tipos de estratégias: Full Diário e Diferenciais a cada 30 minutos. Além disso, são armazenados de forma criptografada (SHA256) por um período total de 30 dias, finalizando seu ciclo de vida, sendo então descartado pela configuração automática de Lifecycle. O serviço de armazenamento de backups adotado pela Mereo, o Oracle Object Storage , possui 99% de resiliência.
Estratégia de Backup
Ciclo de vida do Backup
Camada de Banco de Dados (SQL)
Adotamos o processo de Scramble Database/ Mascaramento de dados em bases não produtivas. Isso nos habilita a executar testes de erros contínuos ou comportamentos imprevistos da nossa Plataforma na fase de debug de um incidente relatado. O processo de scramble database oculta os dados confidenciais de uma maneira que é impossível que qualquer pessoa que tenha acesso ao banco de dados para possa reconstruí-lo.Perfis de Acesso
Cada usuário cadastrado na plataforma Mereo deve ser associado a um grupo de perfil. Existem 3 grupos default no sistema, são eles: Administrador, Key-User e Single-User. Cada um com permissões de visualizações prédefinidas. Essas permissões podem ser modificadas pelos usuários com perfil administrador, de forma a ampliar ou restringir o que os usuários em determinados grupos consigam fazer ou visualizar. Usuários com perfil administrador também pode criar novos grupos de perfil, derivando de algum dos perfis já existentes.
Em termos de escopo de visualização, o usuário single sempre irá conseguir visualizar suas próprias informações e as informações das áreas/colaboradores subordinados a ele. Usuário administrador consegue ampliar esse escopo de visualização (concedendo visualização de outras áreas por exemplo) a usuários single, de forma individualizada. Cada usuário criado no sistema é registrado com perfil single user. Um usuário com perfil administrador deve elevar as permissões para outro grupo de perfil, caso seja necessário.
Abaixo, algumas telas de gestão de acessos adaptados aos perfis padrão da Plataforma Mereo:
Autenticação SSO
A Plataforma Mereo permite autenticação SSO (Single Sing- On) para autenticação dos seus usuários na Plataforma. A plataforma Mereo suporta os protocolos SAML e OpenID, e diversos idps (identity providers), como Azure AD, KeyCloak, Google Workspace (GSuite).O processo abaixo foi elaborado por nosso time de Customer Success para os nossos clientes que desejam implementar uma autenticação SSO na plataforma Mereo.
Integração via Web Service
A plataforma Mereo suporta integração de importação de dados via Web Services, uma solução que utiliza o protocolo SOAP e XML. Essa integração otimiza o tempo de processamento de dados e reduz a necessidade de cadastros manuais na plataforma.
Exemplos de alguns dos dados abaixo ser importados a plataforma Mereo via Web Services.
- Colaboradores
- Áreas
- Histórico de cargos
- Importação de ciclos
- Ações
- Valores de Metas
- Metas individuais
- Pontuação de Metas
O processo abaixo foi elaborado por nosso time de Customer Success para os nossos clientes que desejam integrar sua plataforma ERP a Plataforma Mereo via Web Services.
Segurança Operacional
Penetration Testing
A Mereo realiza anualmente testes de penetração por fornecedores terceirizados. A Mereo também aproveita ferramentas automatizadas de teste de penetração para uma visão ampla e abrangente das vulnerabilidades e vetores de ataque existentes para mitigar o risco de ataques cibernéticos. Os resultados desses testes são registrados e acionados dentro de um prazo apropriado. Por exemplo, problemas de alta prioridade são corrigidos em um prazo mais curto do que problemas de baixa prioridade.Gestão de vulnerabilidades
A Mereo usa várias ferramentas para rastrear e monitorar continuamente as vulnerabilidades de segurança. Como parte do processo contínuo de segurança da informação atividades, as vulnerabilidades de segurança são priorizadas e atribuído um processo de correção apropriado de acordo com o tipo de vulnerabilidade, sua gravidade e exposição.Disponibilidade e Monitoramento de Desempenho
Monitoramos cada servidor no ambiente integralmente Mereo utilizando métricas de integridade dos seus servidores para rastrear a disponibilidade da nossa Plataforma. Essas métricas incluem itens padrão, como utilização de CPU, utilização de memória, conectividade de rede, utilização de armazenamento, etc. As falhas geram alertas que são enviados à nossa equipe de operações por meio de canais priorizados para que ações de respostas sejam iniciadas.Prevenção de Malware e Patch Management
Muitas explorações geralmente usam vulnerabilidades em softwares populares, como navegadores da Web, Java, Adobe Flash Player e Microsoft Office para infectar dispositivos. Por isso temos um plano de patch management que detecta, faz download, testa, aprova e instala novos patches em nossos endpoints. Utilizamos em nossos endpoints soluções contra proteção ativa contra ameaças em arquivos, e-mails e navegação web. Além disso, nossos endpoints são protegidos com firewall, bloqueador de ataques de rede e prevenção contra ransoware e exploits.Criptografia (Trânsito e Repouso) - Criptografia em trânsito
A Mereo suporta TLS 1.2 para criptografar o tráfego de rede entre o navegador do cliente e a Plataforma Mereo. O TLS é aplicado para todas as comunicações com as APIs da Plataforma Mereo. A criptografia de dados em repouso criptografa os backups de todos os clientes da Plataforma Mereo. Todos os backups são armazenados no Oracle Object Storage e criptografados utilizando SHA256 por todo o seu ciclo de vida, que são de 30 dias.Segurança no processo Desenvolvimento e Manutenção da Plataforma
A Plataforma Mereo é projetada para ser segura desde a concepção de novos projetos da sua arquitetura, bem como sua manutenção. Seguindo o relatório OWASP Top 10, os riscos associados a aplicativos Web, como a Plataforma Mereo, são mitigados. Alguns dos riscos de segurança resolvidos com essa abordagem de desenvolvimento incluem:- Ataques de Injeção (SQL, XSS, Remote Code)
- Quebra de autenticação
- Exposição de dados sensíveis
- Ataques XSRF
- Segurança da Sessão
- Upload Seguro de arquivos
- Segurança de Senha (Hashing)
Plano de Continuidade de Negócios
A Mereo tem planos detalhados para permitir a recuperação de desastres e a continuidade dos negócios no caso de um incidente significativo. Esses planos podem ser disponibilizados aos clientes mediante solicitação. Possuem objetivos RTO (Recovery Time Objective) e RPO (Recovery Point Objective) que ajudam a Mereo a em seu processo de recuperação de dados em relação ao planejamento, no menor tempo possível.LGPD e Privacidade dos Usuários
A Mereo leva a sério suas responsabilidades em relação aos dados de nossos usuários. Processamos e armazenaremos apenas os dados necessários para o funcionamento da nossa plataforma. Quando um usuário é removido da plataforma, todas as suas informações de identificação pessoal serão removidas de forma permanente e irrecuperável. Dados pessoais só podem ser coletados mediante ao aceite de nosso termo de consentimento, habilitado pelo Administrador da Plataforma. A política de privacidade da Mereo está disponível para todos os clientes dentro da Plataforma.