> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/pt/outros/security-and-privacy.md).

# Segurança e privacidade

Este capítulo apresenta uma visão geral das perguntas frequentes sobre segurança da informação, privacidade e garantia de qualidade.

## Processamento de Dados e Permissões <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### A partir de qual centro de dados o RealmJoin opera?

* Região Azure West Europe (principal)
* Região Azure North Europe (backup)

### 2. Que dados são processados pelo RealmJoin?

* Estado do computador
* Dados de utilizador/dispositivo/grupo do Entra ID (isto contém dados de UPN / endereço de e-mail, nome próprio, apelido, fotografia de perfil)
* Dados do Intune
* Dados do ATP
* Ficheiros de registo

### 3. Que dados são armazenados de forma persistente pelo RealmJoin ou em seu nome e como?

* Estado do computador
* Referências de utilizador/dispositivo do Entra ID (isto contém dados de UPN / endereço de e-mail)
* Informações para gestão de aplicações
* Ficheiros de registo

Os dados são armazenados numa combinação de armazenamento de blobs e bases de dados.

### 4. Existe um mecanismo de arquivo para os registos?

O estado do computador é arquivado durante 90 dias; depois, as políticas de retenção removem os dados.

### 5. A que permissões do tenant os utilizadores que acedem ao portal web do RealmJoin têm de consentir?

Consulte [Permissões Necessárias](/pt/implementacao-do-realmjoin/required-permissions.md).

### 6. Que dados são disponibilizados ao conceder o(s) consentimento(s) da Pergunta 5?

Consulte [Permissões Necessárias](/pt/implementacao-do-realmjoin/required-permissions.md).

### 7. Quais endpoints acessíveis externamente o RealmJoin expõe?

1. Portal RealmJoin
   * Um portal web que facilita a administração do serviço.
2. RealmJoin Client-API
   * API para as aplicações cliente (uso interno).
3. RealmJoin Customer-API
   * API para clientes.
4. RealmJoin Internal-API
   * API para operações de backend relacionadas (uso interno).
5. RealmJoin CDN
   * Dados binários com suporte BranchCache.
6. RealmJoin Package Server
   * Registo personalizado de pacotes nuget.

### 8. Como é que os endpoints da Pergunta 7 são protegidos?

1. Portal RealmJoin
   * Protegido através de autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).
2. RealmJoin Client-API
   * Protegido através de autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).
   * Autenticação personalizada usando Entra-Device-Certificate.
3. RealmJoin Customer-API
   * Chave pré-partilhada por cliente.
4. RealmJoin Internal-API
   * Chave pré-partilhada por cliente.
5. RealmJoin CDN
   * Sem autenticação por definição, pode ser protegido usando ficheiros encriptados.
6. RealmJoin Package Server
   * Chave pré-partilhada por cliente.

### 9. Que portas e protocolos são usados pelos endpoints da Pergunta 7?

1. Todos os endpoints usam TLS por predefinição.
   * HTTPS (TCP / 443).
2. RealmJoin CDN
   * Permite HTTP (TCP / 80) para fins de resolução de problemas.
   * Os URLs configurados usam exclusivamente HTTPS (TCP / 443).

## Identidade

### 1. Que esquemas de autorização são usados para obter acesso ao RealmJoin?

O acesso administrativo é realizado através de autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD) para utilizadores registados na plataforma.

### 2. Existem controlos de acesso condicional / baseados em funções para proteger o RealmJoin?

Sim. O portal de administração do RealmJoin disponibiliza funcionalidades para atribuir [funções](/pt/definicoes-do-realmjoin/permission.md) a cada utilizador.

Funções predefinidas disponíveis:

* Administrador
* Auditor
* Suporte
* Executor de Runbook
* Agente de software
* Requisitante de software
* Requisitante de software orgânico
* Agente de notificações

Além disso, o RealmJoin permite a criação de Funções Personalizadas.

### As credenciais de acesso podem ser recuperadas? Se sim, como?

O RealmJoin usa SSO e está sujeito às políticas do Microsoft Entra ID (Azure AD) no tenant do cliente.

## Proteção de Dados

### 1. Como é *dados em repouso* protegidos contra acesso não autorizado?

* Acesso administrativo restrito de acordo com as melhores práticas.
* Uso de MFA com Passkey.
* As bases de dados estão restritas a IPs de VPN para acesso externo.

### 2. Como é *dados em trânsito* protegidos contra acesso não autorizado?

A comunicação entre o RealmJoin Service (Backend) e o RealmJoin Agent (Client) é protegida com Transport Layer Security (TLS) 1.2 ou superior.

Além disso, algum conteúdo (por ex., pacotes de software) é assinado pelo RealmJoin Service, para que o RealmJoin Agent possa garantir que os dados não foram alterados durante o transporte.

### 3. Como é que os tenants dos clientes são separados uns dos outros?

Dependendo das restrições do serviço e de considerações de desempenho, seja por grupos/contentores separados ou por particionamento de tabelas.

Os caminhos de código usam contexto do cliente baseado no ambiente para separação.

## Segurança por conceção

### Estamos comprometidos com elevados padrões de segurança

* A nossa equipa de desenvolvimento e operações é certificada ISO 27001.
* Trabalhamos com as mais recentes ferramentas de desenvolvimento em cloud (por ex., GitHub) e o código é armazenado em repositórios seguros.
* Estamos comprometidos com metodologias de desenvolvimento, compilação e operações de última geração (por ex., CI/CD).
* Os membros da nossa equipa usam identidades Entra ID e têm de utilizar autenticação multifator.
* Os endpoints, identidades e serviços são protegidos pelas tecnologias mais recentes (por ex., Microsoft Sentinel e o pacote M365 Defender, incluindo EDR) e monitorizados por um Centro de Operações de Segurança.
* Todos os sistemas são atualizados continuamente.

### 1. Que tecnologias, stacks e plataformas foram usadas para conceber o RealmJoin?

* `Azure`

## Disponibilidade

### 1. Como garantem a disponibilidade do RealmJoin?

Para manter uma elevada disponibilidade do RealmJoin, são implementadas várias estratégias-chave, cada uma concebida para fornecer acesso robusto e ininterrupto ao serviço. Estas medidas incluem:

* **Infraestrutura redundante**: Implementação em vários centros de dados para garantir serviço contínuo em caso de falha num local. O RealmJoin tira partido de Azure IaaS em vários centros de dados Azure.
* **Processos automatizados de failover**: Existem sistemas para redirecionar automaticamente o tráfego para servidores operacionais durante uma interrupção, minimizando o tempo de inatividade.
* **Arquitetura escalável**: A capacidade de aumentar ou reduzir rapidamente os recursos consoante a procura ajuda a manter o desempenho durante os períodos de pico de utilização.
* **Atualizações e patches regulares**: São aplicadas manutenção e atualizações de rotina para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permanece segura e eficiente.
* **Monitorização e alertas**: Monitorização contínua do estado do sistema e alertas automáticos para quaisquer problemas que possam afetar a disponibilidade do serviço.
* **Planos de recuperação**: Implementámos várias camadas de medidas de recuperação: podemos recuperar o estado principal do sistema nas últimas semanas porque as nossas bases de dados têm recuperação point-in-time. Além disso, no improvável caso de uma falha completa do sistema, os principais serviços do RealmJoin podem ser recuperados usando uma abordagem IaC (Terraform), o que reduz significativamente o tempo de recuperação.

## RGPD e residência dos dados

### 1. Os dados saem da Europa?

Não.

### 2. Em que fornecedores cloud de terceiros o RealmJoin se baseia e porquê?

<table><thead><tr><th>Empresa</th><th>Serviços</th><th width="221.671875">Contacto</th><th>Finalidade</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>Serviços cloud (Azure)</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublin,<br>Irlanda</td><td>Serviços cloud (Azure)</td></tr><tr><td>GitHub B.V.</td><td>repositório de código git, integração, testes e automatização de lançamentos</td><td>Prins Bernhardplein 200, Amesterdão, 1097JB<br>Países Baixos</td><td>Repositório de código, pipeline CI/CD.</td></tr><tr><td>GitLab, Inc.</td><td>repositório de código git, integração, testes e automatização de lançamentos</td><td>268 Bush Street #350, São Francisco, CA 94104-3503,<br>Estados Unidos</td><td>Pipeline de empacotamento</td></tr></tbody></table>

## Diversos

### 1. O RealmJoin faz parte de um programa de recompensa por bugs?

Não.

### 2. Que medidas de QA estão em vigor?

* Executamos binários assinados.
* Os nossos pacotes de aplicações são construídos de forma consistente, aproveitando repositórios de código de última geração e metodologia CI/CD para garantir o máximo de integridade.
* Os pacotes de aplicações são assinados durante o processo de compilação e verificados pelo agente RJ antes da instalação no cliente.

### 3. Realizam testes de penetração regularmente?

Não.

Como parte das nossas Práticas de Desenvolvimento Seguro, empregamos ferramentas (por ex., análise estática de código) que analisam a base de código em busca de CVEs e outros exploits comuns (incluindo dependências como bibliotecas de terceiros) que possam afetar a segurança dos endpoints que o RealmJoin expõe. Antes de cada lançamento, quaisquer resultados relevantes são avaliados e corrigidos, para garantir que o RealmJoin permanece livre de quaisquer vulnerabilidades conhecidas. Não realizamos testes de penetração nós próprios, nem utilizamos ferramentas de terceiros "Penetration Test-as-a-Service". No primeiro caso, vemos um conflito de interesses inerente. No segundo, uma vez que os serviços típicos de teste de penetração muitas vezes apenas verificam os endpoints expostos contra CVEs e outros exploits conhecidos, não vemos qualquer valor acrescentado em relação às verificações que já realizamos usando análise estática de código. Se pretender realizar os seus próprios testes de penetração, por favor [contacte-nos](https://www.realmjoin.com/help/) e diga-nos quais são os seus requisitos.

### 4. Existe um processo de aplicação de patches em vigor?

Sim, são aplicadas manutenção e atualizações de rotina para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permanece segura e eficiente.

### 5. Quais são os SLAs para patches?

* Patches para CVEs / vulnerabilidades de segurança: Assim que a vulnerabilidade se torna do conhecimento público ou logo que identificamos uma vulnerabilidade no nosso próprio código, será disponibilizada uma hotfix no máximo 24 horas após tomarmos conhecimento da vulnerabilidade.
* Outros patches: Sem SLA.

### 6. O RealmJoin realiza cópias de segurança?

O RealmJoin usa tecnologia de restauro point-in-time em todos os dados críticos. O GitLab (que aloja o pipeline e o repositório PACKaaS) é objeto de cópias de segurança regularmente.

### 7. Existem testes de restauro de cópias de segurança?

Não. Consulte [Disponibilidade](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) para detalhes.

### 8. O que torna os pacotes do RealmJoin mais seguros do que as soluções da comunidade?

Ao contrário das soluções da comunidade, mantemos sempre controlo total sobre qualquer pacote e qualquer binário. Várias verificações implementadas garantem que nenhum dado corrompido é executado nos dispositivos.

* **Sem repositórios públicos**: Alojamos as nossas instâncias GitLab, nuget e cdn. Embora o agente RealmJoin utilize atualmente uma versão modificada do motor Chocolatey, a origem dos pacotes está restrita aos servidores de pacotes da glueckkanja AG.
* **Repositórios separados**: Os pacotes específicos do cliente estão localizados numa secção específica do cliente dos nossos servidores e não podem ser acedidos por outros clientes.
* **Versionamento completo**: Todas as ferramentas, bem como a loja de pacotes do RealmJoin, fornecem informação de commit e auditoria. É sempre transparente quem alterou o quê em qualquer pacote, em qualquer momento.
* **Evitar dados específicos**: Separar o código do pacote e os binários permite-nos, em geral, remover informações sensíveis dos binários, para que até binários intercetados não possam ser utilizados de forma maliciosa.
* **Encriptação e hashes**: Os scripts dos pacotes são armazenados num servidor encriptado, com acesso altamente restrito. O agente RealmJoin descarrega os scripts através de uma ligação encriptada. Para segurança adicional, todos os binários são verificados contra um hash codificado no código-fonte antes de qualquer ação ser executada.
* **Teste de penetração**: Nos últimos anos, o agente RealmJoin fez parte de vários pentests bem-sucedidos de clientes.
* **Testes**: Todos os pacotes RealmJoin são instalados várias vezes durante a QA do PACKaaS em dispositivos Windows com Defender em execução. As análises de malware fazem parte dos processos automatizados de build e implementação. Os pacotes mantidos utilizam fontes oficiais do fornecedor.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/pt/outros/security-and-privacy.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.