top of page

Perguntas Frequentes

  • A Yapoli possui um plano de contingência em caso de violação de segurança ou perda de dados?
    Sim. A Yapoli tem uma Política de Segurança da Informação - PSI e um Plano de Gestão de Incidentes de Segurança da Informação - PGI (em anexo) em que há medidas previstas para incidentes e medidas em caso de violações.
  • Como a Yapoli garante a segurança dos dados armazenados na plataforma, quais recursos são utilizados e onde está localizada essa documentação?
    Temos um documento de arquitetura de segurança que é disponibilizado aos nossos clientes que apresenta os principais elementos de arquitetura com foco e descritivo das ações de segurança em cada um deles.
  • A Yapoli utiliza autenticação e autorização para controlar o acesso às suas APIs? Como isso é feito?
    A Yapoli utiliza esquema de autenticação usando OAuth2 com autenticação HTTP básica e emissão de token, que expiram em 1 hora. Não há esquema de atualização (refresh) de token emitido para API. Para autorização, para acessar a API é necessário fazer o cadastro de uma aplicação, este cadastro define um esquema de autorização da aplicação semelhante ao esquema definido na própria plataforma para perfis. A documentação da API está aqui onde é possível ter detalhes técnicos do processo de autenticação.
  • A Yapoli utiliza criptografia para proteger os dados transmitidos por suas APIs? Qual é o tipo de criptografia utilizada?
    Sim. Todas as comunicações são via HTTPS utilizando protocolo TLS 1.2
  • A Yapoli realiza testes de segurança em suas APIs para identificar vulnerabilidades? Com que frequência esses testes são realizados?
    Fazemos análise estática SAST no código-fonte e testes em mudanças de versão.
  • Como a Yapoli lida com a segurança no acesso à plataforma, como autenticação e autorização de usuários? Existe integração com Entra ID (Azure AD)? É utilizado MFA por padrão?
    Sim. Temos a possibilidade de definir um esquema SSO para servidores de autenticação que suporte OpenID Connect (incluindo o Azure AD). Ainda não temos suporte a MFA.
  • A Yapoli possui um sistema de gerenciamento de identidade e acesso (IAM) para controlar o acesso dos usuários à plataforma? Como isso é feito? Como está definida a segregação de perfis de acesso com base em cada projeto?
    Temos um esquema próprio de autenticação e autorização que utiliza um esquema RBAC com base em perfis, editável via plataforma por usuários com o acesso apropriado.
bottom of page