Menu
Feedback
Comece aqui
Tutoriais
Perguntas frequentes
Problemas conhecidos
Troubleshooting
Diretivas de suporte
Comunicados
Status
Portal do desenvolvedor
​​Plano de resposta a incidentes de segurança
​​Plano de resposta a incidentes de segurança

A VTEX tem um plano estruturado de resposta a incidentes de segurança desenvolvido para minimizar riscos, mitigar impactos e garantir uma rápida recuperação de incidentes de segurança. Esse plano consiste nas seguintes fases: preparação; contenção, erradicação e recuperação; identificação; comunicação e atividades pós-incidente.

{"base64":" ","img":{"width":1836,"height":536,"type":"png","mime":"image/png","wUnits":"px","hUnits":"px","length":54113,"url":"https://images.ctfassets.net/alneenqid6w5/3aWjZkJzpF1HoQneetC8Pc/ab1e8443eb364ba1c9af4dd1dfc77c9f/security-incident-response-plan-pt.png"}}

1. Preparação

Para prevenir incidentes de segurança, a VTEX toma as seguintes medidas:

  • Avaliação de riscos nos ambientes.
  • Implementação dos padrões de segurança e aplicação de atualizações patch regularmente.
  • Aplicação de controles de acesso com privilégio mínimo.
  • Proteção de segurança do perímetro.
  • Prevenção a ataques por malware.
  • Condução de campanhas de conscientização sobre segurança.

2. Contenção, erradicação e recuperação

Antes de tomar ações corretivas, a VTEX coleta, preserva, protege e documenta todas as evidências.

Todos os ativos envolvidos no incidente devem ser preservados, e nenhuma evidência pode ser excluída ou alterada sem autorização adequada. Caso as evidências contenham informações confidenciais, a criptografia é obrigatória.

Após resolver um incidente, a VTEX avalia se outros ambientes estão expostos ou já sofreram o mesmo tipo de ataque para tratar a causa raiz. A equipe responsável deve restaurar salvaguardas não comprometidas.

3. Identificação de incidentes

Um evento anômalo é classificado como incidente de segurança se afetar a disponibilidade, integridade ou confidencialidade das informações, sistemas ou serviços, ou se resultar de um acesso indevido ou ataque.

A VTEX também inicia proativamente o gerenciamento de incidentes de maneira preventiva, para evitar a escalada de eventos anômalos e mitigar possíveis impactos.

4. Comunicação

Esse procedimento também inclui um plano de comunicação integrado que é aplicado a todas as fases da resposta. A VTEX notifica os clientes que possam ter sido afetados pelo incidente em até 24 horas após a confirmação do incidente.

5. Atividades pós-incidente

A VTEX coleta lições aprendidas e melhorias do processo de resposta a incidentes para otimizar os controles de segurança e fortalecer o gerenciamento de incidentes futuros.

O objetivo é analisar:

  • O que e como aconteceu.
  • Quais medidas foram tomadas.
  • Se a resposta foi eficaz.

Saiba mais

Contribuidores
1
Photo of the contributor
+ 1 contributors
Isso foi útil?
Sim
Não
Sugerir edições (GitHub)
Testes de penetração
« Anterior
Reportar vulnerabilidade
Próximo »
Contribuidores
1
Photo of the contributor
+ 1 contributors
Nesta página
Ainda tem dúvidas?
Pergunte à comunidade
Encontre soluções e compartilhe ideias na comunidade VTEX.
Junte-se à nossa comunidade
Solicite suporte à VTEX
Para assistência personalizada, entre em contato com nossos especialistas.
Abra um ticket de suporte
GithubDeveloper portalComunidadeFeedback