Documentações

N|Solid (opens new window)

# Segurança no SNEP7

# Acesso WEB Seguro

Todo o acesso web é baseado em conexões seguras usando HTTPS, ou seja, tráfego criptografado de ponta e ponta.

Tanto para a interface de administração(SNEP7) quanto para as interfaces de usuários (Q-Manager, Webclients) o acesso segue o padrão de conexões HTTPS e autenticação individual de usuários baseado em login e senha únicos.

A plataforma não oferece nenhum tipo de dado de forma pública ou sem autenticação ou permissão de acesso.

# Permissionamento de Acesso à dados

Cada usuário possui sua própria permissão de acesso que por padrão permite apenas acesso ao seu registro de ligações.

Um usuário pode ter acesso a ligações de outros usuários desde que devidamente autorizada pelo Administrador/Responsável da organização.

# Política de senhas

Por padrão a platforma força a criação automática de senhas fortes de 16 caracteres unindo número, letras maiúsculas e minúsculas, símbolos.

# Política de acesso às instâncias e suporte

A Opens controla o acesso às suas instâncias através de chaves SSH RSA individuais. Cada colaborador possui sua chave e é responsável por ela.

A plataforma possui ferramentas de Gestão de Configuração que garantem integridade de configurações e permissões de acesso. A cada necessidade de alteração nas permissões de acesso a plataforma atualiza em toda a base instalada as chaves SSH.

Por padrão todo o diagnóstico é preferencialmente feito via Painel de Monitoramento em nosso NOC e pelas interfaces WEB de administração da telefonia.

O acesso do NOC às instâncias dos clientes éfeito via acesso privado e criptografado, em ambiente restrito e protegido.

Em caso especiais de manutenção o técnico responsável e com nível de acesso adequado acessa a instância do cliente via rede privada, criptografada, via conexão SSH e autenticada via chave RSA individual.

# Política de Privacidade de dados

A Opens não utiliza nem expõe registros de ligações e uso de seus clientes. Todos os dados são armazenados de forma individual por cliente e estes não possuem recursos computacionais de dados compartilhados.

Solicitamos informações pessoais apenas quando realmente precisamos delas para fornecer um serviço. Fazemo-lo por meios justos e legais, com o conhecimento e consentimento do usuário.

Os números de telefone salvos nos registro de ligações são armazenados de forma anônima e são utilizados apenas para encaminhar de forma inteligente re-chamadas (ligações de retorno ou novas ligações do mesmo número).

Os registro de ligações são protegidos dentro de meios comercialmente aceitáveis e tecnicamente viáveis ​​para evitar perdas e roubos, bem como acesso, divulgação, cópia, uso ou modificação não autorizados.

Não compartilhamos informações de identificação pessoal publicamente ou com terceiros, exceto quando exigido por lei.

# Política de backup e retenção de dados

A Plataforma executa backups diários de configuração e registro de chamadas. Estes backups são armazenados localmente em cada instância e também em um bucket na cloud.

O backup em cloud é protegido por tokens individuais de acesso. Este token é armazenado pela plataforma, salvo localmente em cada instância e validado antes da execução de cada backup.

O backup é executado, salvo localmente e depois transferido via rede privada e criptografada para o bucket na cloud.

# Retenção

  • na cloud o backup fica retido por 30 dias
  • na instância o backup fica retido por 3 dias

# Conteúdo do backup

  • configurações da telefonia
    • ramais, troncos, cadastro de forma geral
    • rotas, URAs
    • filas, operadores
    • áudios de URAs e filas
  • registro de ligações e atividades
    • registro de ligações
    • registro de atividades de operadores
    • auditoria de acesso e modificações
  • ambiente do sistema operacional
    • configurações de rede e rotas
    • versões das aplicações
    • arquivos de configurações customizadas de telefonia

# Auditoria, Logs e controle de acesso

A Plataforma possui controle de acesso aos seus principais componentes.

Para qualquer acesso WEB feito o ambiente registra o login e a modificação realizada. Este recurso é válido tanto para o ambiente de telefonia (SNEP7) quanto para o ambiente de atendimento (Q-Manager).

Para qualquer acesso remoto via conexão SSH, o sistema registro IP de acesso (sendo ele único e privado por usuário dentro da VPN de suporte) e login utilizado. A visualização destas informações de acesso ficam disponíveis no Dashboard do cliente em nosso NOC.

Todos os logs do ambiente são enviados via rede privada e criptografada para nosso ambiente Cloud e disponibilizadas via Painel de Monitoramento em nosso NOC.

# Localização e armazenamento de dados

A Plataforma SNEP7 é hospedada em datacenters Brasileiros e fornecida por Empresa Brasileira, estando sujeita apenas a legislação deste país.

Todo o tráfego de dados e voz é em território nacional, exceto em caso do usuário que consumir estes dados estar fora do Brasil.

# Compatibilidade com a LGPD (Lei Geral de Proteção de Dados)

  • Tratamento de Dados sensíveis

O SNEP7 não armazena dados sensíveis de usuários de acordo com as definições da LPGD, que são: "O conceito de dado pessoal sensível está no artigo 5º, inciso II da LGPD – dado pessoal sensível é aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural."

# Bloqueio por geolocalização

Existe uma segunda camada de proteção para os seviços com Protocolo TCP, baseada na Geolocatização, ou seja, a origem da conexão. O bloqueio ocorre através do firewall, utilizando a lista que designa os blocos de IP de cada país.

Os bloueios são aplicados baseados em fluxos de ataques detectados pelas ferramentas de monitoramento.

# Controle de Brute Force

A técnica de Brute Force consiste em um invasor enviar muitas senhas ou frases com a esperança de eventualmente adivinhar corretamente uma delas. Ele verifica sistematicamente todas as senhas e frases possíveis até que a correta seja encontrada.

Alternativamente, o invasor pode tentar adivinhar a chave que normalmente é criada a partir da senha usando uma função de derivação de chave. Isso é conhecido como uma pesquisa exaustiva por chave.

Para prevenção deste tipo de ataque temos as seguintes medidas adotadas:

  • ramais internos não possuem autorização para autenticação remota, ou seja, somente utilizando IPs de rede interna conseguirão se autenticar
  • todos os ramais possuem controle de senha forte, ou seja, não são permitidas senhas de alta probabilidade de descoberta.
  • utilizamos uma ferramenta de análise de logs em tempo real, que identifica todas as tentativas de autenticação de ramais, acesso indevido a rotas nos serviços WEB e bloqueia suas origens de conexão (IP de origem) baseado em quantidade de erros ou conexões e intervalo de tempo. A ferramenta é o fail2ban.

# Resiliência e Recuperação

O SNEP7 possui rotinas automatizadas de backup, rotinas de recuperação e manutenção de configuração diárias. Cada detalhe do ambiente é controlado por um sistema remoto de Gestão de Configuração, garantindo assim uniformidade, atualizações de segurança, controles de acesso.

Um NOC automatizado garante o monitoramento e descoberta de anomalias 24 horas por dia.

Com o recurso de deploy de aplicações em diferentes ambientes temos uma capacidade de recuperação e resiliência muito rápida. Em minutos podemos recuperar um ambiente comprometido por inteiro, sem necessidade de reconfigurações nos clientes, telefones IPs ou softfones.

# Boas práticas de segurança

Algumas boas práticas são válidas tanto para ambiente on-cloud quanto on-premises, outras especificamente para ambientes on-premises que normalmente possuem um compartilhamento de responsabilidade com o cliente pois ele é responsável pela infraestrutura de rede local.

Boas Práticas gerais:

  • senhas fortes. Embora o SNEP7 force o uso de senhas fortes nos ramais ele não faz isso para usuários da interface WEB ou para o Q-Manager. É importante frisar este requisito de sempre garantir senhas fortes ao criar usuários e ramais, tanto no SNEP7 quanto no Q-Manager.
  • rotas de ligações específicas: sempre crie rotas de ligações de entrada ou saída mais específicas possível, pois elas são a última fronteira de segurança caso um invasor consiga registrar um ramal. Evite rotas genéricas, tipo Origem: QUALQUER , ou utilizar coringas com o . , exemplo: Origem: XXX.

Boas Práticas on-premises:

  • Redirecionamento de portas sem masquerade. Quando for necessário liberar acesso externo à um SNEP7 local, garanta que o redirect de portas feitos pelo firewall do cliente, não mascare as conexões até o SNEP7, ou seja, ele precisa identificar o IP de origem externo de conexão. Assim ele irá conseguir aplicar as análises de brute force e restringir registro de ramais externos sem autorização.
  • Certifique-se que o fail2ban está rodando. Por padrão o fail2ban não é ativado nas instâncias locais, porém nesta circustância de exposição à internet é preciso ativá-lo.
  • Autorização de ramais remotos. Liberar autenticação de ramais remotos no cadastro do ramal somente para aqueles que realmente farão autenticação externa.
  • Garantir senha forte para usuários e ramais. Lembre-se de garantir senhas fortes para o usuários da interface web do SNEP7 e do Q-Manager, assim como Operadores do Q-Manager.

# Portas e Serviços expostos para a rede interna do SNEP7

Portas do Protocolo UDP

  • Porta: 5060 (Registro SIP)

Portas do protocolo TCP

  • Porta: 80 (SNEP)
  • Porta: 3000 (ITC)
  • Porta: 5000 (ITC)
  • Porta: 5038 (AMI)
  • Porta: 8088 (ARI)
  • Porta: 8080 (QMANAGER)
  • Porta: 2522 (SSH)

# SNEP7 rodando local - On-Premises

Para SNEP7 rodando em ambiente local as portas não estão expostas publicamente, somente para a rede interna. As portas expostas na rede interna são as padrões listadas aqui.

A Comunicação dele com os serviços da Grid da Opens é feita através de uma rede privada criada dinamicamente entre ele e a grid no momento da instalação. Toda a comunicação entre o SNEP7 local e a grid é criptografado.

Para utilização de ramais remotos em um ambiente local é necessário uma VPN entre o cliente e a rede local (responsabilidade do cliente) ou uma instância SNEP7 Cloud integrada com a instância local, onde os ramais remotos estarão autenticados na Cloud e os locais na instância local.

# SNEP7 rodando na Cloud - On-Cloud

Para SNEP7 rodando no ambiente Cloud, os bloqueios são feitos pelo Firewall da Grid. A política de bloqueio segue a prioridade de "deny for all" e "allow for YOU". Com isso o tráfego de entrada é permitido para apenas algumas portas e protocolos:

Portas do Protocolo UDP

  • Porta: 5060 (Registro SIP)

Portas do protocolo TCP

  • Porta: 443 (SNEP)
  • Porta: 3000 (ITC)
  • Porta: 5000 (ITC)
  • Porta: 8080 (QMANAGER)
  • Porta: 2522 (SSH)