Políticas de segurança

Segurança de recursos e em nível de aplicativo

Desde cedo é preciso considerar a segurança do aplicativo, como na fase de Preparação (Prepare) do projeto, antes de começar a construir e configurar o aplicativo. Para proteger o aplicativo contra hackers e evitar acesso e uso não autorizados, é preciso gerenciar dois tipos de segurança: em nível de aplicativo e de recursos.

Segurança em nível de aplicativo

A segurança em nível de aplicativo prioriza a proteção do aplicativo contra pessoas externas e usuários não autorizados. Por exemplo, com a segurança em nível de aplicativo, você:

Reduz o risco de invasão e roubo de dados por usuários não autorizados no aplicativo
Identifica usuários autorizados que precisam de acesso ao aplicativo
Cria políticas de senha e de autenticação

A segurança em nível de aplicativo considera todas as formas de proteção do aplicativo, tais como o uso de ferramentas de segurança de terceiros ou configuração de autenticação multifator. O objetivo da segurança em nível de aplicativo é tornar impossível que usuários não autorizados invadam, leiam ou, de outro modo, acessem o aplicativo.

Segurança de recursos

A segurança de recursos prioriza o aplicativo ao determinar os tipos de casos, recursos e dados que os usuários autorizados podem ou não acessar. Por exemplo, com a segurança de recursos, você:

Configura papéis de segurança para pessoas identificadas em cada tipo de caso de forma que usuários autorizados possam acessar os recursos que precisam do aplicativo
Evita que usuários visualizem recursos ou acessem dados aos quais não deveriam ter acesso
Projete o controle de acesso com base na função (role-base access control – RBAC), controle de acesso com base na atribuição (attribute-base access control – ABAC) e controle de acesso com base no cliente (client-base access control – CBAC).

Nota: Para revisar a configuração de usuários e personas, consulte Convidando usuários para um aplicativo.

Por exemplo, em um aplicativo Folha de pagamento (Payroll), o proprietário do negócio deseja que cada gerente possa visualizar o histórico de pagamento dos funcionários diretos, mas não visualizar o histórico de pagamento de colegas ou outros membros de equipes. Além disso, nenhum gerente pode alterar manualmente o valor do pagamento dos funcionários. No entanto, o gerente de folha de pagamento e o CFO podem visualizar o histórico de pagamentos de todos os funcionários e atualizar os valores de pagamento. À medida que você documenta a história de usuário do gerente, considere quais recursos de folha de pagamento o gerente pode ou não acessar.

Nota: Como melhor prática, os membros da equipe de SSA e LSA deve identificar necessidades de segurança durante a fase de Descoberta (Vendas) [Discover (Sales)] de um projeto e documentá-las na fase de Design. Para saber mais sobre as fases na Pega Express, consulte Entrega do Pega Express.

Verifique o seu conhecimento com a seguinte interação:

Configuração de segurança do aplicativo na Pega Platform

Uma forma de limitar acesso não autorizado nos aplicativos é ajustar as configurações na guia Políticas de segurança (Security Policies) da página inicial Authentication no App Studio. No Dev Studio, abra o menu Configurar (Configure) e selecione Org & Segurança > Autenticação > Políticas de segurança (Org & Security > Authentication > Security Policies) para visualizar e atualizar as políticas de segurança de todo o servidor da Pega Platform™.

Cuidado: As configurações de um serviço específico de autenticação podem substituir as configurações na página inicial Autenticação (Authentication).

Depois de atualizar uma configuração, clique em Enviar (Submit) no final da página para registrar uma atualização. As alterações nas políticas de segurança são ativadas imediatamente após o envio do formulário.

Nota: A aplicação das políticas de segurança é apenas um dos aspectos de segurança de um aplicativo. Para ver uma lista completa das principais práticas de segurança, consulte Lista de verificação de segurança para a implementação da Pega Platform.

A guia Políticas de segurança é separada em uma seção Políticas frequentemente exigidas (Frequently required policies) e Outras políticas (Other policies). Senha, CAPTCHA, Bloqueio e Auditoria são políticas frequentemente exigidas. Autenticação multifator e Desativação do operador são outras políticas.

Nome da política	Descrição	Opções de configuração da política
Senha	Controla a força das senhas de usuários	Utilize a seção Password policies para personalizar requisitos de tamanho, complexidade e previsibilidade das senhas.
CAPTCHA	Testa se uma pessoa inseriu a senha.	Utilize a seção CAPTCHA policies para configurar um CAPTCHA para desafiar tentativas de login. Quando ativado, é possível: Escolher também a implementação padrão ou personalizada. Ativar o uso de um CAPTCHA no login inicial. Definir as chances de que os usuários recebam um CAPTCHA após um login malsucedido.
Bloqueio	Define o comportamento do sistema quando usuários inserem uma senha incorreta.	Utilize a seção Lockout policies para personalizar quando e por quanto tempo os usuários devem aguardar após uma tentativa malsucedida de login. As opções apresentadas variam se a política de bloqueio está ativada ou desativada. Quando uma penalidade de bloqueio está ativada, é possível: Definir um valor limite para tentativas malsucedidas de login. Definir um período inicial de penalidade de bloqueio em segundos. A repetição nas falhas de login aumentam automaticamente o período de penalidade. Manter um registro de logins malsucedidos por um específico número de minutos. Quando uma política de bloqueio está desativada, é possível: Definir o número de tentativas permitidas de logins malsucedidos antes que uma conta seja bloqueada. Definir o tempo, em minutos, do período que a conta do usuário será bloqueada.
Auditoria	Determina a quantidade de detalhes gravados no registro do sistema para um problema de segurança.	Utilize a seção Audit policies para personalizar o nível de detalhes capturados das tentativas de login.
Autenticação multifator	Define múltiplos fatores, ou dados, que os usuários devem fornecer para verificar sua identidade.	Utilize a seção Políticas de autenticação multifator (utilizando senha temporária) para ajustar as configurações da senha temporária que é fornecida aos usuários por e-mail ou SMS. Para concluir o processo de login, os usuários devem inserir a senha temporária dentro do tempo permitido.
Desativação do operador	Define a duração de inatividade antes de desativar o acesso de um usuário.	Utilize a seção Política de desativação de operador (Operator disablement policy) para desabilitar automaticamente o acesso de usuários que estiverem inativos pelo número especificado de dias. Para evitar que o sistema desative o acesso de usuários que precisam de acesso, adicione um registro de ID de operador do usuário na Lista de exclusão de IDs de operador (Exclusion list of operator IDs).

Nota: Para ver uma explicação detalhada das configurações de cada tipo de política, incluindo valores mínimos e máximos permitidos, consulte Configurações das políticas de segurança.

Políticas de autenticação multifator

As senhas representam uma forma de autenticar usuários. Para aumentar a segurança, ative a autenticação multifator para autenticar os usuários. Com a autenticação multifator, os usuários ganham acesso somente depois de fornecer múltiplos fatores, ou dados, para verificar sua identidade.

Nota: A autenticação em dois fatores é um subconjunto da autenticação multifator, na qual os usuários informam dois dados para fazer login.

Na imagem a seguir, clique nos ícones + para saber mais sobre os diferentes fatores da autenticação multifator.

Verifique o seu conhecimento com a seguinte interação:

This Topic is available in the following Module:

Segurança de aplicativos v2

If you are having problems with your training, please review the Pega Academy Support FAQs.

Este conteúdo foi útil?

Sim

Não

100% acharam esse conteúdo útil

Quer nos ajudar a melhorar esse conteúdo?

Sugerir uma edição

Get Started with Community