Políticas de segurança
Segurança de recursos e em nível de aplicativo
Desde cedo é preciso considerar a segurança do aplicativo, como na fase de Preparação (Prepare) do projeto, antes de começar a construir e configurar o aplicativo. Para proteger o aplicativo contra hackers e evitar acesso e uso não autorizados, é preciso gerenciar dois tipos de segurança: em nível de aplicativo e de recursos.
Segurança em nível de aplicativo
A segurança em nível de aplicativo prioriza a proteção do aplicativo contra pessoas externas e usuários não autorizados. Por exemplo, com a segurança em nível de aplicativo, você:
- Reduz o risco de invasão e roubo de dados por usuários não autorizados no aplicativo
- Identifica usuários autorizados que precisam de acesso ao aplicativo
- Cria políticas de senha e de autenticação
A segurança em nível de aplicativo considera todas as formas de proteção do aplicativo, tais como o uso de ferramentas de segurança de terceiros ou configuração de autenticação multifator. O objetivo da segurança em nível de aplicativo é tornar impossível que usuários não autorizados invadam, leiam ou, de outro modo, acessem o aplicativo.
Segurança de recursos
A segurança de recursos prioriza o aplicativo ao determinar os tipos de casos, recursos e dados que os usuários autorizados podem ou não acessar. Por exemplo, com a segurança de recursos, você:
- Configura papéis de segurança para pessoas identificadas em cada tipo de caso de forma que usuários autorizados possam acessar os recursos que precisam do aplicativo
- Evita que usuários visualizem recursos ou acessem dados aos quais não deveriam ter acesso
- Projete o controle de acesso com base na função (role-base access control – RBAC), controle de acesso com base na atribuição (attribute-base access control – ABAC) e controle de acesso com base no cliente (client-base access control – CBAC).
Por exemplo, em um aplicativo Folha de pagamento (Payroll), o proprietário do negócio deseja que cada gerente possa visualizar o histórico de pagamento dos funcionários diretos, mas não visualizar o histórico de pagamento de colegas ou outros membros de equipes. Além disso, nenhum gerente pode alterar manualmente o valor do pagamento dos funcionários. No entanto, o gerente de folha de pagamento e o CFO podem visualizar o histórico de pagamentos de todos os funcionários e atualizar os valores de pagamento. À medida que você documenta a história de usuário do gerente, considere quais recursos de folha de pagamento o gerente pode ou não acessar.
Verifique o seu conhecimento com a seguinte interação:
Configuração de segurança do aplicativo na Pega Platform
Uma forma de limitar acesso não autorizado nos aplicativos é ajustar as configurações na guia Políticas de segurança (Security Policies) da página inicial Authentication no App Studio. No Dev Studio, abra o menu (Configure) e selecione Org & Segurança > Autenticação > Políticas de segurança (Org & Security > Authentication > Security Policies) para visualizar e atualizar as políticas de segurança de todo o servidor da Pega Platform™.
Depois de atualizar uma configuração, clique em
(Submit) no final da página para registrar uma atualização. As alterações nas políticas de segurança são ativadas imediatamente após o envio do formulário.A guia Políticas de segurança é separada em uma seção Políticas frequentemente exigidas (Frequently required policies) e Outras políticas (Other policies). Senha, CAPTCHA, Bloqueio e Auditoria são políticas frequentemente exigidas. Autenticação multifator e Desativação do operador são outras políticas.
Nome da política | Descrição | Opções de configuração da política |
---|---|---|
Senha | Controla a força das senhas de usuários | Utilize a seção Password policies para personalizar requisitos de tamanho, complexidade e previsibilidade das senhas. |
CAPTCHA | Testa se uma pessoa inseriu a senha.
|
Utilize a seção CAPTCHA policies para configurar um CAPTCHA para desafiar tentativas de login. Quando ativado, é possível:
|
Bloqueio | Define o comportamento do sistema quando usuários inserem uma senha incorreta.
|
Utilize a seção Lockout policies para personalizar quando e por quanto tempo os usuários devem aguardar após uma tentativa malsucedida de login. As opções apresentadas variam se a política de bloqueio está ativada ou desativada. Quando uma penalidade de bloqueio está ativada, é possível:
Quando uma política de bloqueio está desativada, é possível:
|
Auditoria | Determina a quantidade de detalhes gravados no registro do sistema para um problema de segurança. | Utilize a seção Audit policies para personalizar o nível de detalhes capturados das tentativas de login. |
Autenticação multifator | Define múltiplos fatores, ou dados, que os usuários devem fornecer para verificar sua identidade. | Utilize a seção Políticas de autenticação multifator (utilizando senha temporária) para ajustar as configurações da senha temporária que é fornecida aos usuários por e-mail ou SMS. Para concluir o processo de login, os usuários devem inserir a senha temporária dentro do tempo permitido. |
Desativação do operador | Define a duração de inatividade antes de desativar o acesso de um usuário. | Utilize a seção Política de desativação de operador (Operator disablement policy) para desabilitar automaticamente o acesso de usuários que estiverem inativos pelo número especificado de dias. Para evitar que o sistema desative o acesso de usuários que precisam de acesso, adicione um registro de ID de operador do usuário na Lista de exclusão de IDs de operador (Exclusion list of operator IDs). |
Políticas de autenticação multifator
As senhas representam uma forma de autenticar usuários. Para aumentar a segurança, ative a autenticação multifator para autenticar os usuários. Com a autenticação multifator, os usuários ganham acesso somente depois de fornecer múltiplos fatores, ou dados, para verificar sua identidade.
Na imagem a seguir, clique nos ícones + para saber mais sobre os diferentes fatores da autenticação multifator.
Verifique o seu conhecimento com a seguinte interação:
This Topic is available in the following Module:
Quer nos ajudar a melhorar esse conteúdo?