Política de Segurança

Política de Segurança publicada em 04/02/2008 e alterado em 12/06/2019

política de segurançaPolítica de Segurança em sincronia com as melhores práticas, manifesta publicamente este documento particular que tem como objetivo formalizar o compromisso denominado Política de Segurança que fazem entre si. De um lado a Ideias Online Internet Ltda, denominada CONTRATADA, inscrita no CNPJ sob número 08.727.899/0001-50, com sede na cidade de Porto Alegre no Estado do Rio Grande do Sul. Do outro lado o CONTRATANTE que utiliza o SERVIÇO da CONTRATADA.

Entende-se como Política de Segurança uma série de medidas para a obtenção de um fim junto ao CONTRATANTE. O fim pretendido pela CONTRATADA é a garantia de segurança dos dados armazenados contra invasão, roubo, e uso indevido por terceiros, infecção e disseminação de Malwares e Vírus.

Manter aplicações na Internet seguras é um desafio constante, pois não são poucas as ameaças e elas estão sempre a evoluir, de maneira que essa tarefa tem se tornado cada vez mais difícil. Por isso, auditar todos os códigos hospedados e garantir que nada fique fora do lugar, nenhum código malicioso seja hospedado e que o código-fonte esteja sempre atualizado com as melhores práticas de segurança é o objetivo dessa Política de Segurança em consonância com o Contrato de Hospedagem de Site.

Por motivos de segurança não serão divulgados ou informadas as regras de segurança, limites e procedimentos dos sistemas da CONTRATADA como Firewall, sistemas de segurança e outros. Portanto, para fins da Política de Segurança seguem abaixo as ferramentas e os métodos de segurança da CONTRATADA com seu SERVIDOR e de seu CONTRATANTE no uso da CONTA.

1º) ConfigServer Security & Firewall (CSF)

1.1) A principal função do ConfigServer Security & Firewall (CSF) definida nessa Política de Segurança é proteger e monitorar o acesso a todas as portas do servidor e trabalhar em conjunto com outros sistemas de segurança do SERVIDOR.

1.2) Como responsabilidade da CONTRATADA, o SERVIDOR possui Firewall (CSF) para proteger todas as portas de conexões externas do servidor contra invasões em tempo real, impedindo que ameaças invadam o servidor por meio de conexões fraudulentas. Assim, com frequência constante, o Firewall (CSF) bloqueia milhares de IP’s por segundo.

1.3) Fica desde já esclarecido nessa Política de Segurança que poderá ocorrer falsos positivos (quando ocorre com você mesmo), onde ao tentar acesso a seus serviços como e-mail ou cPanel por mais de x tentativas com dados incorretos, para o Firewall (CSF) isso pode soar um alarme de tentativas indevidas, causando assim o conhecido Bloqueio de IP.

1.4) Se por algum motivo o bloqueio do IP realizado pelo Firewall foi o IP de internet do CONTRATANTE, o mesmo pode realizar o desbloqueio pela ferramenta disponível na Minha IDEON. Em casos extremos de bloqueio de IP, a CONTRATADA pode adicionar o IP na lista branca do Firewall (CSF), assim evitando que este IP seja bloqueado novamente até a solução do problema.

2º) Política de Segurança de Força Bruta

2.1) A principal função das regras de proteção contra força bruta é ativar uma ferramenta que impeça o acesso de robôs que praticam a tentativa forçada para acessar serviços do SERVIDOR, o que é uma prática muito comum e aqui nessa Política de Segurança é a base para as demais práticas de segurança.

2.2) Em parceria com o Firewall e o cPanel, todos os serviços de conexão como SSH, POP, SMTP e IMAP, Webmail, cPanel e FTP ao detectarem uma tentativa de login com usuário e/ou senha errada de maneira forçada, o IP de internet do CONTRATANTE será bloqueado de maneira temporária e permanentemente na insistência dessa prática.

2.3) Nessa Política de Segurança, definimos o CageFS como uma excelente ferramenta  para evitar os ataques de Brute Force, onde os invasores se aproveitam de uma conta vulnerável e fazem o upload de arquivos maliciosos onde usam para descoberta de outros usuários dentro do servidor e prosseguem com a tentativa de quebra de senha por força bruta, dessa forma muitas contas podem ser alvo dos hackers e pessoas mal intencionadas.

3º) CloudLinux e CageFS

3.1) O CageFS é um sistema de arquivos virtualizado que contém um conjunto de ferramentas para alocar cada usuário do cPanel em sua própria ‘gaiola’, ou seja, delimitando o seu uso de recursos individualmente para cada CONTA. Assim, se pode estabelecer através dessa Política de Segurança que cada CONTRATANTE não acesse ou visualize outro CONTRATANTE do mesmo SERVIDOR, evitando assim ataques hackers e outras ameaças que podem vir a comprometer a segurança da CONTA.

3.2) O CloudLinux basicamente mantém a CONTA dentro de uma Máquina Virtual (MV) onde se delimita os recursos de que cada uma MV poderá utilizar no servidor. Evitando assim que o servidor de maneira geral sofra uma carga muito grande de recursos de um usuário em especifico. Ele funciona com a tecnologia Lightweight Virtual Environment (LVE) onde isola os processos de cada CONTRATANTE e limita o consumo dos recursos de uma aplicação limitando o usuário dentro de um container virtual.

4º) ConfigServer eXploit Scanner (CXS)

4.1) O ConfigServer eXploit Scanner (CXS) é uma ferramenta definida nessa Política de Segurança que faz a verificação ativa de arquivos no SERVIDOR para impedir a exploração de uma CONTA por malware, excluindo ou movendo arquivos suspeitos para a quarentena antes que eles se tornem ativos. Também pode impedir o upload de scripts Shell PHP e Perl, comumente usados para iniciar mais ataques maliciosos e para enviar spam.

4.2) O eXploit Scanner (CXS) também permite executar a verificação sob demanda de arquivos, diretórios e CONTAS por suspeitas de exploração, vírus ou recursos suspeitos  como arquivos, diretórios, links simbólicos, soquetes.

4.3) Através do ConfigServer eXploit Scanner (CXS) em tempo real todo o upload é monitorado para identificar e banir arquivos infectados enviados ao servidor. Bem como, através dessa Política de Segurança, define-se que o sistema de segurança analisa e avalia comandos e ações executadas no servidor e as classifica mediante o risco de cada uma.

4.4) Neste caso, pode ocorrer o chamado bloqueio falso-positivo que pode ocasionar o bloqueio temporário do IP de internet do CONTRATANTE que está executando a ação. Ocorrendo isso, é necessário que se faça o desbloqueio através da ferramenta na Minha IDEON.

5º) ModSecurity (WAF)

5.1) O ModSecurity (WAF) é um módulo de segurança do servidor que trabalha em conjunto com o Firewall. Ele age pró-ativamente no servidor e monitora em tempo real tentativas de ataques ao seu site, através da exploração de vários tipos de vulnerabilidades. Esse tipo de aplicação é implantada através dessa Política de Segurança para estabelecer uma camada de segurança externa que aumente a segurança, detecte e impeça ataques antes que eles atinjam os aplicativos WEB.

5.2) O ModSecurity consegue proteger de uma série de ameaças, como SQL Injection e Cross Site Scripting. Além disso ele fornece um kit de ferramentas para monitoramento, registro e controle de acesso de aplicações em tempo real.

5.3) Por padrão definido na Política de Segurança, essa opção está disponível e habilitada em todos os servidores. Você pode desabilitar esse módulo solicitando ao Suporte Técnico da CONTRATADA mediante a abertura de um ticket. Por questões de segurança, recomendamos que essa proteção fique sempre ativada, a menos que tenha certeza sobre o seu funcionamento e que realmente necessite não remova a proteção devido a bloqueios constantes de IP de internet.

5.4) Neste caso, pode ocorrer o chamado bloqueio falso-positivo que pode ocasionar o bloqueio temporário do IP de internet do CONTRATANTE que está executando a ação. Ocorrendo isso, é necessário que se faça o desbloqueio através da ferramenta na Minha IDEON.

6º) ClamAV Antivírus e Maldet Anti-Malware

6.1) Como principais sistemas de rastreamento e monitoramento de  vírus, malwares e outras pragas da internet, destacamos o ClamAV e o Maldet que através deles a CONTRATADA define as configuração dessa Política de Segurança.

6.2) O ClamAV é um mecanismo antivírus de código aberto para detecção de Trojans, vírus, malware e outras ameaças maliciosas e ele é utilizado pela CONTRATADA associado a outras ferramentas de segurança.

6.3) O Maldet (Linux Malware Detect) é um scanner de malware projetado para enfrentar ameaças em ambientes Linux.

6.4) De hora em hora os sistemas antivírus e anti-malware realizam uma varredura em todas as CONTAS para identificar arquivos infectados e/ou mal-intencionados.

7º) MailScanner e SpamAssasin

7.1) Defini-se nessa Política de Segurança que o MailScanner é um programa que faz a verificação de vírus no SERVIDOR de e-mail, podendo bloquear mensagens que contenham vírus antes que elas cheguem ao CONTRATANTE e também é definida na Política Postmaster.

7.2) O MailScanner é integrado ao SpamAssassin, que é um dos melhores detectores de spam do mundo, garantindo assim uma proteção completa para o e-mail, tanto contra vírus como contra spam.

7.3) Todos os e-mails recebidos pelos CONTRATANTES da CONTRATADA que possam estar infectado com vírus ou algum malware é imediatamente movido para quarentena e/ou excluído não sendo entregue impedindo assim que pragas de proliferem na internet e prejudiquem o CONTRATANTE.

7.4) Para tal controle, a CONTRATADA define através dessa Política de Segurança o uso da ferramenta MailScanner para controle de todo o tráfego de mensagens no servidor ao qual também é regulado a Política Anti-Spam.

8º) Código-fonte, linguagem de programação, scripts e sites CMS

8.1) Em praticamente 99,9% dos casos de infecção com invasão da CONTA se deve a vulnerabilidade de muitas plataformas CMS como WordPress, Joomla, Magento ou websites com linguagem de programação antiga e scripts desatualizados.

8.2) Por isso, a CONTRATADA recomenda fortemente através dessa Política de Segurança que seja sempre mantido a versão mais atualizada das plataformas CMS instaladas.

8.3) Outro ponto importante quanto a vulnerabilidade é o código-fonte PHP de muitos sites onde a CONTRATADA recomenda a leitura de dicas de segurança no uso dessa linguagem de programação.

8.4) A CONTRATADA periodicamente faz a varredura do SERVIDOR procurando por arquivos potencialmente maliciosos ou que estejam fazendo algum tipo de redirecionamento para servidores que os contenham.

8.5) Sempre que identificado um problema você receberá um alerta via ticket ou e-mail comunicando a identificação do problema e algumas ações a serem feitas. Mesmo não recebendo tal chamado, ninguém melhor do que o CONTRATANTE para identificar o comportamento inadequado de seu site.

9º) Boas práticas de uso

9.1) Além de toda segurança oferecida no SERVIDOR da CONTRATADA, é essencial o cuidado do CONTRATANTE em manter sempre cópias de seus arquivos importantes armazenados em locais seguros, senhas fortes para evitar ataques de força bruta, não instalar scripts que sejam de fontes duvidosas e que podem comprometer a segurança do site.

9.2) É responsabilidade do CONTRATANTE assegurar-se de que os programas instalados em seu computador de acesso à Internet e a conta de hospedagem sejam seguros e livre de Vírus ou Malwares. O CONTRATANTE é o único responsável por todas as ações decorrentes de utilização de sua conta de hospedagem, e isso inclui a preservação da segurança de suas credenciais de acesso aos sistemas da CONTRATADA (login/senha).

9.3) Computadores e dispositivos pessoais que se conectam ao servidor da CONTRATADA não se estende a Política de Segurança, portanto é fundamental que o CONTRATANTE utilize sempre senhas seguras e mantenham suas aplicações atualizadas. Em qualquer momento a CONTRATADA está apta e disposta a orientar o CONTRATANTE para as melhores práticas de segurança.

10º) Procedimentos após um incidente de segurança

Após ter certeza da causa que possibilitou a exploração de uma vulnerabilidade, provocando uma ameaça na sua conta de hospedagem, sugerimos através dessa Política de Segurança que sejam seguidos os seguintes passos:

10.1) Recomendamos fortemente através da Política de Segurança rever todos os seus procedimentos quanto ao acesso a sua CONTA, ou seja, todas as senhas deverão ser trocadas por senhas mais complexas.

10.2) Revise todo o código de sua aplicação e faça um novo UPLOAD de tudo, pois uma vez que um invasor teve acesso a sua CONTA ele pode ter inserido trechos de códigos em seus arquivos com o objetivo de permitir acesso arbitrário caso o meio pelo qual ele explorou a vulnerabilidade seja corrigido. 

10.3) Conforme já esclarecido nessa Política de Segurança, recomendamos que atualize seu antivírus e demais programas que possam identificar vírus ou malware, pois é cada vez mais comum a proliferação para interceptar senhas ou até mesmo contaminar os programas comumente usados para publicação de sites.

10.4) Caso seja possível, utilizar mais de um tipo de antivírus, anti-malware e anti-spyware, tendo em mente que um malware mais recente pode não ser identificado e outros tipos de informações também podem estar comprometidas.

10.5) Analise todas as informações pertinentes contidas nos logs para que seja possível aprender como o incidente aconteceu, de forma que se consiga mitigar ao máximo a possibilidade de o incidente acontecer uma segunda vez.

11º) Sobre a validade da Política de Segurança

11.1) A CONTRATADA poderá alterar esta Política de Segurança, aqui estabelecida, a qualquer tempo, por decorrência da adoção de novas tecnologias, alteração na legislação ou necessidades de segurança e funcionamento do website, e suas eventuais alterações estarão sempre disponíveis neste site, tornando-se válidas a partir da data de sua publicação no site.

12º) Sobre os direitos e o valor legal da Política de Segurança

12.1) Você não deverá copiar, modificar, reproduzir, transmitir, publicar, ou distribuir, de qualquer outra forma não permitida, no todo ou em parte, qualquer conteúdo direta ou indiretamente relacionadas a esta presente Política de Segurança, sem a prévia e expressa autorização, por escrito, da CONTRATADA ao qual é detentora do conteúdo dessa Política.

12.2) Esta Política de Segurança é um anexo ao Contrato de Hospedagem de Sites e será regida, exclusivamente, pelas leis brasileiras, e suas controvérsias deverão ser solucionadas entre o CONTRATANTE e a CONTRATADA em forma de conciliação propositiva para solucionar qualquer divergência.