top of page
Perguntas Frequentes
-
A Yapoli possui um plano de contingência em caso de violação de segurança ou perda de dados?Sim. A Yapoli tem uma Política de Segurança da Informação - PSI e um Plano de Gestão de Incidentes de Segurança da Informação - PGI (em anexo) em que há medidas previstas para incidentes e medidas em caso de violações.
-
Como a Yapoli garante a segurança dos dados armazenados na plataforma, quais recursos são utilizados e onde está localizada essa documentação?Temos um documento de arquitetura de segurança que é disponibilizado aos nossos clientes que apresenta os principais elementos de arquitetura com foco e descritivo das ações de segurança em cada um deles.
-
A Yapoli utiliza autenticação e autorização para controlar o acesso às suas APIs? Como isso é feito?A Yapoli utiliza esquema de autenticação usando OAuth2 com autenticação HTTP básica e emissão de token, que expiram em 1 hora. Não há esquema de atualização (refresh) de token emitido para API. Para autorização, para acessar a API é necessário fazer o cadastro de uma aplicação, este cadastro define um esquema de autorização da aplicação semelhante ao esquema definido na própria plataforma para perfis. A documentação da API está aqui onde é possível ter detalhes técnicos do processo de autenticação.
-
A Yapoli utiliza criptografia para proteger os dados transmitidos por suas APIs? Qual é o tipo de criptografia utilizada?Sim. Todas as comunicações são via HTTPS utilizando protocolo TLS 1.2
-
A Yapoli realiza testes de segurança em suas APIs para identificar vulnerabilidades? Com que frequência esses testes são realizados?Fazemos análise estática SAST no código-fonte e testes em mudanças de versão.
-
Como a Yapoli lida com a segurança no acesso à plataforma, como autenticação e autorização de usuários? Existe integração com Entra ID (Azure AD)? É utilizado MFA por padrão?Sim. Temos a possibilidade de definir um esquema SSO para servidores de autenticação que suporte OpenID Connect (incluindo o Azure AD). Ainda não temos suporte a MFA.
-
A Yapoli possui um sistema de gerenciamento de identidade e acesso (IAM) para controlar o acesso dos usuários à plataforma? Como isso é feito? Como está definida a segregação de perfis de acesso com base em cada projeto?Temos um esquema próprio de autenticação e autorização que utiliza um esquema RBAC com base em perfis, editável via plataforma por usuários com o acesso apropriado.
bottom of page