1. Conhecimento
  2. Segurança e conformidade

Segurança do ciclo de vida do desenvolvimento e segurança operacional

Programadores em Yva.ai estão familiarizados com as vulnerabilidades Top 10 da OWASP e sabem escrever código seguro com base em documentos internos sobre desenvolvimento seguro e documentos que estão publicamente disponíveis da OWASP.

Cada processo e parte da arquitetura do produto é confirmado em conformidade com a ISO / IEC 27001:2013.

O documento interno "Política de Desenvolvimento Seguro" foi concebido especificamente para a nossa equipa. O presente regulamento destina-se a definir e estabelecer o procedimento de gestão dos Requisitos de segurança da informação aquando do desenvolvimento de software em Yva.ai.

Durante o processo de desenvolvimento, usamos SonarCloud para digitalizar automaticamente o código. SonarCloud é um serviço de análise de código baseado em nuvem projetado para detectar problemas com a qualidade do código em 25 diferentes linguagens de programação. Ele nos ajuda a garantir constantemente a manutenção, confiabilidade e segurança do Código.

Antes de publicar um produto com nova funcionalidade, também usamos o scanner DAST para rever o código para identificar potenciais vulnerabilidades falhadas pelo scanner SAST e desenvolvedores.

Yva.ai é desenvolvido usando a metodologia ágil (Kanban). Formação contínua e no local de trabalho, incluindo técnicas de codificação seguras, e coaching são fornecidos a todos os desenvolvedores.

Antes de qualquer lançamento público, um extenso teste de regressão é realizado para garantir que o software continua a aderir às especificações de design. O nosso processo de revisão, teste e implantação de código inclui revisões de códigos peer, testes automáticos e manuais, e processo de compilação e lançamento repetível. Todo o software é testado para segurança.

O ambiente de ensaio para Yva.ai utiliza dispositivos de ensaio que reproduzem padrões de dados reais. Os testes são realizados em nossa rede de desenvolvimento local. Ambos os ambientes de teste e desenvolvimento são isolados do ambiente de produção ao vivo. Nós não usamos dados de usuário em nossos ambientes de desenvolvimento e teste locais.

Ensaios de penetração

Yva.ai realiza testes de penetração para avaliar a segurança do sistema.

Os resultados dos nossos últimos testes de penetração estão disponíveis por pedido.

Plano de gestão de incidentes

Yva.ai dispõe da documentação para o procedimento de gestão de Incidentes de segurança da informação destinada a determinar e estabelecer as regras para identificar, responder, resolver e analisar as causas de incidentes de segurança da informação em: Yva.ai, Inc.

Yva.ai utiliza os requisitos do GDPR (Act. 33) por procedimento de notificação de violação ao inquilino usando a nossa solução SaaS.

Estratégia De Continuidade Das Actividades

Yva.ai tem a estratégia de Continuidade de negócio que visa determinar a abordagem geral para garantir a continuidade do principal processo de negócio no âmbito do sistema de gestão da segurança da informação para os processos de Yva.ai, Inc. Esta documentação inclui o objetivo do ponto de restauração e o objetivo do tempo de restauração para cada processo.

Utilização da 'Firewall' da aplicação Web

Yva.ai usa o Firewall da aplicação Microsoft Azure para a solução SaaS.

Informação de segurança e gestão de eventos

Yva.ai utiliza o Microsoft Azure Sentinel para a fusão de eventos internos e externos a partir de diferentes fontes da solução SaaS.