Política de Segurança

Política de Segurança publicada em 04/02/2008 e alterado em 12/06/2019

política de segurançaPolítica de Segurança em sincronia com as melhores práticas, manifesta publicamente este documento particular que tem como objetivo formalizar o compromisso denominado Política de Segurança que fazem entre si. De um lado, Ideias Online Internet Ltda, denominada CONTRATADA, inscrita no CNPJ 08.727.899/0001-50. Do outro lado o CONTRATANTE que utiliza o SERVIÇO da CONTRATADA.

Entende-se como Política de Segurança uma série de medidas para a obtenção de um fim junto ao CONTRATANTE. O fim pretendido pela CONTRATADA é a garantia de segurança dos dados armazenados contra invasão, roubo, e uso indevido por terceiros, infecção e disseminação de Malwares e Vírus.

Manter aplicações na Internet seguras é um desafio constante, pois não são poucas as ameaças que estão sempre a evoluir, de maneira que essa tarefa tem se tornado cada vez mais difícil. Por isso, auditar todos os códigos hospedados e garantir que nada fique fora do lugar, nenhum código malicioso seja hospedado e que o código-fonte esteja sempre atualizado com as melhores práticas de segurança é o objetivo dessa Política de Segurança em consonância com o Contrato de Hospedagem de Site.

Por motivos de segurança, não serão divulgados publicamente através dessa política as regras, limites e procedimentos dos sistemas da CONTRATADA como Firewall, sistemas de segurança e outros. Portanto, para fins da Política de Segurança seguem abaixo as ferramentas e os métodos da CONTRATADA com seu SERVIDOR e de seu CONTRATANTE no uso da CONTA.

1º) ConfigServer Security & Firewall (CSF)

1.1) A principal função do ConfigServer Security & Firewall conhecido pela abreviatura “CSF” definida nessa Política de Segurança é proteger e monitorar o acesso a todas as portas do SERVIDOR e trabalhar em conjunto com outros sistemas de segurança.

1.2) É função do CSF proteger todas as portas de conexões externas do servidor contra invasões em tempo real, impedindo que ameaças invadam o SERVIDOR por meio de conexões fraudulentas. Assim, com frequência constante, o Firewall (CSF) bloqueia milhares de IP’s por segundo portanto, o CSF é uma ferramenta que protege o SERVIDOR, consequentemente a CONTA. Portanto, desativar o CSF é proibido e somente a CONTRATADA pode fazer, mas não a fará para não colocar todo o SERVIDOR e os demais usuários em risco.

1.3) Poderá ocorrer bloqueios chamado de falso positivo que é quando ocorre com o CONTRATANTE se autobloqueando e ao tentar acesso a serviços como e-mail ou cPanel por mais de x tentativas com dados incorretos, para o CSF isso pode soar um alarme de tentativas indevidas, causando assim o conhecido Bloqueio de IP.

1.4) Se por algum motivo o bloqueio do IP realizado pelo Firewall foi o IP de internet do CONTRATANTE, o mesmo pode realizar o desbloqueio pela ferramenta disponível na Minha IDEON. Em casos extremos de bloqueio de IP, a CONTRATADA pode adicionar o IP na lista branca do CSF, assim evitando que este IP seja bloqueado novamente até a solução definitiva do problema por parte do CONTRATANTE.

1.5) Por questões de segurança a CONTRATADA não utiliza a porta padrão para a conexão externa ao SERVIDOR dos recursos do MySQL e SSH. Portanto, cabe ao CONTRATANTE questionar qual o respectivo número da porta do recurso.

2º) Proteção contra ataques de força bruta

2.1) A principal função da proteção contra ataques de força bruta é ativar uma ferramenta que bloqueie e impeça o acesso de robôs que praticam a tentativa forçada de acesso ao SERVIDOR, o que é uma prática muito comum e aqui nessa Política de Segurança é a base para as demais práticas de segurança.

2.2) Em conjunto com o CSF e o cPanel, todas as conexão como SSH, POP, SMTP, IMAP, Webmail, cPanel, FTP e outros ao detectarem uma tentativa de login com usuário ou senha inválido de maneira forçada, o IP de internet será bloqueado de maneira temporária para fins de tentar interromper o acesso de robôs, e permanentemente na insistência dessa prática.

2.3) O CageFS é uma ferramenta que evita ataques de força bruta onde invasores se aproveitam de uma CONTA vulnerável e usam ela para descobrir outros contas dentro do SERVIDOR e prosseguem com a tentativa de quebra de senha por força bruta, dessa forma muitas contas podem ser alvo dos hackers e pessoas mal intencionadas.

3º) Cloudlinux e CageFS

3.1) O CageFS é um sistema de arquivos virtualizado que contém um conjunto de ferramentas para alocar cada usuário do cPanel em sua própria “gaiola”, ou seja, delimitando o uso de recursos individualmente para cada CONTA. Assim, se pode estabelecer através dessa Política de Segurança que cada CONTRATANTE não acesse ou visualize outro CONTRATANTE no mesmo SERVIDOR, evitando assim ataques hackers e outras ameaças que podem vir a comprometer a segurança da CONTA.

3.2) O Cloudlinux basicamente mantém a CONTA dentro de uma máquina virtual, onde se delimita os recursos que cada um poderá utilizar no SERVIDOR, evitando assim de maneira geral que ele sofra uma carga muito grande de recursos de uma CONTA específica. O Cloudlinux funciona com a tecnologia Lightweight Virtual Environment conhecida por sua abreviatura LVE, onde isola os processos de cada CONTA e limita o consumo dos recursos de uma aplicação limitando o usuário dentro da sua CONTA apenas.

4º) ConfigServer eXploit Scanner (CXS)

4.1) O ConfigServer eXploit Scanner também conhecido como “CXS” é uma ferramenta que faz a verificação ativa de arquivos no SERVIDOR em tempo real para impedir a exploração da CONTA por algum vírus ou malware, excluindo ou movendo arquivos suspeitos para a quarentena antes que eles se tornem ativos. Também pode impedir o upload de scripts Shell PHP e Perl, comumente usados para iniciar mais ataques maliciosos e para enviar spam.

4.2) O CXS permite executar a verificação sob demanda de arquivos, diretórios e CONTAS por suspeitas de exploração, vírus ou recursos suspeitos como arquivos, diretórios, links simbólicos, soquetes.

4.3) Através do CXS o upload é monitorado em tempo real para identificar e banir arquivos infectados enviados ao SERVIDOR. Bem como, através dessa Política de Segurança, define-se que o sistema de segurança analisa e avalia comandos e ações executadas no servidor e as classifica mediante o risco de cada uma.

4.4) Neste caso, pode ocorrer o chamado bloqueio falso-positivo que pode ocasionar o bloqueio temporário do IP de internet do CONTRATANTE que está executando a ação. Ocorrendo isso, é necessário que se faça o desbloqueio através da ferramenta na Minha IDEON.

5º) ModSecurity (WAF)

5.1) O ModSecurity Web Application Firewall também conhecido pela abreviatura “WAF” é um módulo de segurança do SERVIDOR que trabalha em conjunto com o Firewall. Ele monitora em tempo real tentativas de ataques através da exploração de vários tipos de vulnerabilidades. Esse tipo de aplicação é implantado através dessa Política de Segurança para estabelecer uma camada de segurança externa que aumente a segurança, detecte e impeça ataques antes que atinja a CONTA.

5.2) O ModSecurity consegue proteger de uma série de ameaças, como SQL Injection e Cross Site Scripting. Além disso, ele fornece um kit de ferramentas para monitoramento, registro e controle de acesso de aplicações em tempo real.

5.3) Por padrão essa opção está disponível e habilitada em todas as CONTAS. O CONTRATANTE pode desabilitar esse módulo solicitando a CONTRATADA, porém por questões de segurança, recomendamos que essa proteção fique ativa, a menos que tenha certeza de que realmente necessite devido a bloqueios constantes de IP por falso-positivo.

6º) ClamAV Antivírus e Maldet Anti-Malware

6.1) Como principais sistemas de rastreamento e monitoramento de vírus, malwares e outras pragas da internet, destacamos o ClamAV e o Maldet que através deles a CONTRATADA define as configuração dessa Política de Segurança. De hora em hora os sistemas antivírus e anti-malware realizam uma varredura em todas as CONTAS para identificar arquivos infectados ou mal-intencionados.

6.2) O ClamAV é um mecanismo antivírus de código aberto para detecção de trojans, vírus, malware e outras ameaças maliciosas e ele é utilizado pela CONTRATADA associado a outras ferramentas de segurança.

6.3) O Maldet conhecido como Linux Malware Detect é um scanner de malware projetado para enfrentar ameaças em ambientes Linux.

7º) MailScanner e SpamAssasin

7.1) O MailScanner é um programa que faz a verificação de vírus no SERVIDOR de e-mail, podendo bloquear mensagens que contenham vírus antes que elas cheguem ao CONTRATANTE e também é definida na Política Postmaster. O MailScanner é integrado ao SpamAssassin, que é um dos melhores detectores de spam do mundo, garantindo assim uma proteção completa para o e-mail, tanto contra vírus como contra spam.

7.2) Todos os e-mails recebidos pelos CONTRATANTES da CONTRATADA que possam estar infectados com vírus ou algum malware é imediatamente movido para quarentena ou excluído não sendo entregue impedindo assim que pragas de proliferem na internet e prejudiquem o CONTRATANTE.

7.3) Para tal controle, a CONTRATADA define através dessa Política de Segurança o uso da ferramenta MailScanner para controle de todo o tráfego de mensagens no servidor ao qual também é regulado a Política Anti-Spam.

8º) Código-fonte, linguagem de programação, scripts e sites CMS

8.1) Em praticamente 99% dos casos de invasão da CONTA se deve a vulnerabilidade de plataformas como WordPress, Joomla, Magento ou websites com linguagem de programação, temas e plugins desatualizados. Por isso, a CONTRATADA recomenda fortemente através dessa Política de Segurança que seja sempre mantido a versão mais atualizada das plataformas, dos temas e plugins instalados.

8.2) A CONTRATADA periodicamente faz a varredura do SERVIDOR procurando por plataformas instaladas através do Softaculous e informando ao CONTRATANTE por e-mail se existe uma atualização para a versão mais recente.

8.3) Sempre que identificado um problema quanto ao site ou plataforma, o CONTRATANTE receberá via ticket ou e-mail o comunicado da identificação do problema e algumas ações a serem feitas.

9º) Boas práticas de uso

9.1) Além de toda segurança, é essencial o cuidado do CONTRATANTE em manter sempre cópias de seus arquivos armazenados em local seguro, senhas fortes para evitar ataques de força bruta e não instalar scripts que sejam de fontes duvidosas e que podem comprometer a segurança do site.

9.2) Computadores e dispositivos pessoais que se conectam ao SERVIDOR, não se estende a Política de Segurança. É responsabilidade do CONTRATANTE assegurar-se de que os programas instalados em seu computador de acesso à Internet e a CONTA sejam seguros, atualizados e livre de infecções por vírus ou malware. O CONTRATANTE é o único responsável por todas as ações decorrentes de utilização de sua CONTA, e isso inclui a preservação da segurança de suas credenciais de acesso.

10º) Procedimentos após um incidente de segurança

Após ter certeza da causa que possibilitou a exploração de uma vulnerabilidade, provocando uma ameaça na CONTA, sugerimos através dessa Política de Segurança que sejam seguidos os seguintes passos:

10.1) Recomendamos fortemente rever todos os seus procedimentos quanto ao acesso a sua CONTA, ou seja, todas as senhas deverão ser trocadas por senhas mais complexas.

10.2) Revise todo o código-fonte dos arquivos e faça um novo upload de tudo, pois uma vez que um invasor teve acesso a CONTA ele pode ter inserido trechos de códigos em arquivos com o objetivo de permitir acesso arbitrário caso o meio pelo qual ele explorou a vulnerabilidade seja corrigido. É possível fazer a restauração do full-backup de antes da invasão para fins de restaurar a CONTA. 

10.3) Conforme já esclarecido nessa Política de Segurança, recomendamos que atualize seu antivírus e demais programas que possam identificar vírus ou malware, pois é cada vez mais comum a proliferação para interceptar senhas ou até mesmo contaminar os programas comumente usados para publicação de sites.

10.4) Caso seja possível, utilizar mais de um tipo de antivírus, anti-malware e anti-spyware, tendo em mente que um malware mais recente pode não ser identificado e outros tipos de informações também podem estar comprometidas.

10.5) Analise todas as informações pertinentes contidas nos logs para que seja possível aprender como o incidente aconteceu, de forma que se consiga mitigar ao máximo a possibilidade de o incidente acontecer uma segunda vez.

11º) Sobre a validade da Política de Segurança

11.1) A CONTRATADA poderá alterar esta Política de Segurança aqui estabelecida, a qualquer tempo, por decorrência da adoção de novas tecnologias, alteração na legislação ou novas necessidades de segurança. Suas eventuais alterações estarão sempre disponíveis nessa política, tornando-se válidas a partir da data de sua publicação.

12º) Sobre os direitos e o valor legal da Política de Segurança

12.1) O CONTRATANTE não deverá copiar, modificar, reproduzir, transmitir, publicar ou distribuir de qualquer forma no todo ou em parte, qualquer conteúdo direta ou indiretamente relacionada a presente Política de Segurança, sem a prévia e expressa autorização, por escrito, da CONTRATADA ao qual é detentora do conteúdo dessa Política.

12.2) Esta Política de Segurança é um anexo ao Contrato de Hospedagem de Sites e será regida, exclusivamente, pelas leis brasileiras, e suas controvérsias deverão ser solucionadas entre o CONTRATANTE e a CONTRATADA em forma de conciliação propositiva para solucionar qualquer divergência.