Question 1

A Yapoli possui um plano de contingência em caso de violação de segurança ou perda de dados?

Accepted Answer

Sim. A Yapoli tem uma Política de Segurança da Informação - PSI e um Plano de Gestão de Incidentes de Segurança da Informação - PGI (em anexo) em que há medidas previstas para incidentes e medidas em caso de violações.

Question 2

Como a Yapoli garante a segurança dos dados armazenados na plataforma, quais recursos são utilizados e onde está localizada essa documentação?

Accepted Answer

Temos um documento de arquitetura de segurança que é disponibilizado aos nossos clientes que apresenta os principais elementos de arquitetura com foco e descritivo das ações de segurança em cada um deles.

Question 3

A Yapoli utiliza autenticação e autorização para controlar o acesso às suas APIs? Como isso é feito?

Accepted Answer

A Yapoli utiliza esquema de autenticação usando OAuth2 com autenticação HTTP básica e emissão de token, que expiram em 1 hora. Não há esquema de atualização (refresh) de token emitido para API. Para autorização, para acessar a API é necessário fazer o cadastro de uma aplicação, este cadastro define um esquema de autorização da aplicação semelhante ao esquema definido na própria plataforma para perfis. A documentação da API está aqui (https://documenter.getpostman.com/view/7711620/UVeJM5pk) onde é possível ter detalhes técnicos do processo de autenticação.

Question 4

A Yapoli utiliza criptografia para proteger os dados transmitidos por suas APIs? Qual é o tipo de criptografia utilizada?

Accepted Answer

Sim. Todas as comunicações são via HTTPS utilizando protocolo TLS 1.2

Question 5

A Yapoli realiza testes de segurança em suas APIs para identificar vulnerabilidades? Com que frequência esses testes são realizados?

Accepted Answer

Fazemos análise estática SAST no código-fonte e testes em mudanças de versão.

Question 6

Como a Yapoli lida com a segurança no acesso à plataforma, como autenticação e autorização de usuários? Existe integração com Entra ID (Azure AD)? É utilizado MFA por padrão?

Accepted Answer

Sim. Temos a possibilidade de definir um esquema SSO para servidores de autenticação que suporte OpenID Connect (incluindo o Azure AD). Ainda não temos suporte a MFA.

Question 7

A Yapoli possui um sistema de gerenciamento de identidade e acesso (IAM) para controlar o acesso dos usuários à plataforma? Como isso é feito? Como está definida a segregação de perfis de acesso com base em cada projeto?

Accepted Answer

Temos um esquema próprio de autenticação e autorização que utiliza um esquema RBAC com base em perfis, editável via plataforma por usuários com o acesso apropriado.

Perguntas Frequentes

O que é Gestão de Ativos Digitais?

O que são Ativos Digitais?

O quem é DAM?

Digital Asset Management (DAM)