Confiabilidade e segurança são importantes para tudo o que a Memed faz. Abaixo, segue uma lista crescente de ações, políticas e processos que adotamos.
Segurança de Aplicação
Senha e armazenamento de credenciais
Todas as credenciais são armazenadas utilizando criptografia forte AES-256-CBC.
Separação de contexto
Os dados produzidos por um usuário em um software integrado com a Memed são visíveis somente naquela integração.
Segurança de Infraestrutura
Hospedagem e Armazenamento de Dados
As aplicações e dados da Memed estão hospedados nos servidores da Amazon Web Services (AWS) , localizados na região sa-east-1 (São Paulo - Brasil).
A Amazon possui vários programas de conformidade relacionados a segurança, como a ISO 27001, PCI nível 1, HIPAA e SOC.
Rede Virtual Privada
Todos os nossos servidores estão em nossa própria rede virtual privada (VPC) com controles de acesso que impedem que solicitações não autorizadas cheguem à nossa rede interna. Utilizamos boas práticas como conexão via hosts bastion para a comunicação com nossos servidores de produção.
Backups e Monitoramento
Nossos dados possuem backups diários automatizados (RDS) e versionamento (S3). Monitoramos toda a infraestrutura de forma ativa para a detecção de anomalias, via CloudWatch e Grafana.
Autenticação e Autorização
Todos os nossos colaboradores com acesso a infraestrutura utilizam autenticação de dois fatores (2FA) em suas contas de acesso. Cada colaborador possui acesso a somente o que é necessário para a execução de suas tarefas.
Criptografia em trânsito
Nossos endpoints de aplicação e APIs usam as políticas de segurança TLS/SSL recomendadas pela AWS (ELBSecurityPolicy-2016-08).
Criptografia em repouso
Todas nossas instâncias de banco de dados de aplicação possuem criptografia em repouso (AES-256), assim como os arquivos armazenados no S3 (AES-256).
Inventário de Software
Mantemos um inventário, revisado a cada trimestre, com os softwares autorizados para uso pelos colaboradores da Memed. Verificamos se o software está sendo atualizado e mantido pelo fabricante, para manter nossos computadores sempre seguros.
Inventário de Hardware
Mantemos um inventário, alimentado automaticamente, com os atributos de todos os dispositivos usados na Memed, bem como o colaborador/área responsável.
Desenvolvimento Seguro
Code Review
Para que um código, escrito por um desenvolvedor, seja considerado apto para produção, ele necessita ser revisado por pelo menos duas pessoas do time.
GPG
Somente é possível enviar código assinado para os nossos repositórios de código, garantindo a autoria do mesmo.
Segregação de Ambientes
Nenhum dado de produção é usado no desenvolvimento, e os ambientes e contas na AWS são totalmente separados.
Conscientização em Cibersegurança
Programa de Gamificação
Temos um programa de gamificação chamado Hacker Rangers, que nos permite conscientizar, de forma fácil e didática, os colaboradores sobre a importância da cibersegurança e da privacidade das informações em todos os processos da Memed. Além disso, nossos colaboradores são treinados constantemente sobre como agir e o que fazer nestas duas vertentes da segurança da informação.
Recompensa por bugs
Programa de Bug Bounty
Implementamos um programa de recompensa por bugs (Bug Bounty) onde contactamos Hackers para testar a segurança de nossos sistemas, apontar as falhas, correções, etc.
Privacidade
Privacy-by-design
Desenvolvemos nossos produtos orientados em garantir a privacidade de todos os titulares de dados envolvidos, por isso, desde a concepção até a entrega, os integrantes do comitê de privacidade acompanham cada detalhe do desenvolvimento.
Mapeamento/Inventário de dados
Todos os fluxos de dados da Memed são mapeados, deixando evidente quais dados, motivos, titulares, áreas, produtos e bases legais. Esse inventário é revisado periodicamente, sendo constantemente atualizado e validado pelo nosso encarregado de dados.
Conscientização sobre LGPD
Desenvolvemos uma página, onde conscientizamos médicos, pacientes e parceiros a respeito de seus direitos quanto a privacidade de dados diante da LGPD, além de mostrarmos todas as atividades que fizemos para nos adequar a lei.
Dúvidas sobre Segurança?
Se você acha que encontrou uma vulnerabilidade de segurança, entre em contato com nossa equipe de segurança em seguranca@memed.com.br.
Veja mais sobre a Memed lendo nossos Termos de Uso.