# Segurança e Privacidade

Este capítulo fornece uma visão geral das perguntas frequentes sobre segurança da informação, privacidade e garantia de qualidade.

## Processamento de Dados e Permissões <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### 1. A partir de que data center o RealmJoin está operando?

* Região do Azure West Europe (primária)
* Região do Azure North Europe (backup)

### 2. Quais dados são processados pelo RealmJoin?

* Estado do computador
* Dados de usuário/dispositivo/grupo do Entra ID (isto contém dados de UPN / endereço de e-mail, nome, sobrenome, foto de perfil)
* Dados do Intune
* Dados do ATP
* Arquivos de log

### 3. Quais dados são armazenados de forma persistente pelo/em nome do RealmJoin e como?

* Estado do computador
* Referências de usuário/dispositivo do Entra ID (isto contém dados de UPN / endereço de e-mail)
* Informações para gerenciamento de aplicativos
* Arquivos de log

Os dados são armazenados em uma combinação de armazenamento de blobs e bancos de dados.

### 4. Existe um mecanismo de arquivamento para logs?

O estado do computador é arquivado por 90 dias; depois, as políticas de retenção removem os dados.

### 5. Quais permissões do tenant os usuários que acessam o portal web do RealmJoin precisam consentir?

Consulte [Permissões necessárias](/pt/implementacao-do-realmjoin/required-permissions.md).

### 6. Quais dados são disponibilizados ao conceder o(s) consentimento(s) da Pergunta 5?

Consulte [Permissões necessárias](/pt/implementacao-do-realmjoin/required-permissions.md).

### 7. Quais endpoints externamente acessíveis o RealmJoin expõe?

1. RealmJoin Portal
   * Um portal web que facilita a administração do serviço.
2. API do Cliente RealmJoin
   * API para as aplicações cliente (uso interno).
3. API do Cliente RealmJoin
   * API para clientes.
4. API Interna do RealmJoin
   * API para operações de backend relacionadas (uso interno).
5. CDN do RealmJoin
   * Dados binários com suporte a BranchCache.
6. Servidor de Pacotes RealmJoin
   * Registro de pacotes nuget personalizado.

### 8. Como os endpoints da Pergunta 7 são protegidos?

1. RealmJoin Portal
   * Protegidos por autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).
2. API do Cliente RealmJoin
   * Protegidos por autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).
   * Autenticação personalizada usando Entra-Device-Certificate.
3. API do Cliente RealmJoin
   * Chave pré-compartilhada por cliente.
4. API Interna do RealmJoin
   * Chave pré-compartilhada por cliente.
5. CDN do RealmJoin
   * Sem autenticação por definição; pode ser protegido usando arquivos criptografados.
6. Servidor de Pacotes RealmJoin
   * Chave pré-compartilhada por cliente.

### 9. Quais portas e protocolos são usados pelos endpoints da Pergunta 7?

1. Todos os endpoints usam TLS por padrão.
   * HTTPS (TCP / 443).
2. CDN do RealmJoin
   * Permite HTTP (TCP / 80) para fins de solução de problemas.
   * As URLs configuradas usam exclusivamente HTTPS (TCP / 443).

## Identidade

### 1. Quais esquemas de autorização são usados para obter acesso ao RealmJoin?

O acesso administrativo é realizado por meio de autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD) para usuários registrados na plataforma.

### 2. Há controles de acesso condicional / baseados em funções em vigor para proteger o RealmJoin?

Sim. O portal de administração do RealmJoin fornece recursos para atribuir [funções](/pt/definicoes-do-realmjoin/permission.md) a cada usuário.

Funções padrão disponíveis:

* Administrador
* Auditor
* Suporte
* Executor de Runbook
* Agente de Software
* Solicitante de software
* Solicitante Orgânico de Software
* Agente de Notificação

Além disso, o RealmJoin permite que Funções Personalizadas sejam criadas.

### 3. As credenciais de acesso podem ser recuperadas? Em caso afirmativo, como?

O RealmJoin usa SSO e está sujeito às políticas do Microsoft Entra ID (Azure AD) no tenant do cliente.

## Proteção de Dados

### 1. Como os *dados em repouso* são protegidos contra acesso não autorizado?

* Acesso administrativo restrito de acordo com as melhores práticas.
* Uso de MFA com Passkey.
* Os bancos de dados são restritos a IPs de VPN para acesso externo.

### 2. Como os *dados em trânsito* são protegidos contra acesso não autorizado?

A comunicação entre o RealmJoin Service (Backend) e o RealmJoin Agent (Client) é protegida com Transport Layer Security (TLS) 1.2 ou superior.

Além disso, parte do conteúdo (por exemplo, pacotes de software) é assinada pelo RealmJoin Service, para que o RealmJoin Agent possa নিশ্চিতir que os dados não foram alterados durante o transporte.

### 3. Como os tenants dos clientes são separados entre si?

Dependendo das restrições do serviço e das considerações de desempenho, seja por grupos/contêineres separados ou por particionamento de tabelas.

Os caminhos do código usam contexto de cliente baseado no ambiente para separação.

## Segurança por Design

### Temos compromisso com altos padrões de segurança

* Nossa equipe de desenvolvimento e operações é certificada ISO 27001.
* Trabalhamos com as mais recentes ferramentas de desenvolvimento em nuvem (por exemplo, GitHub) e o código é armazenado em repositórios protegidos.
* Temos compromisso com metodologias de desenvolvimento, build e operações de última geração (por exemplo, CI/CD).
* Os membros da nossa equipe usam identidades do Entra ID e são obrigados a usar autenticação multifator.
* Endpoints, identidades e serviços são protegidos pelas tecnologias mais recentes (por exemplo, Microsoft Sentinel e M365 Defender Suite incl. EDR) e monitorados por um Centro de Operações de Segurança.
* Todos os sistemas são atualizados continuamente.

### 1. Quais tecnologias, stacks e plataformas foram usadas para projetar o RealmJoin?

* `Azure`

## Disponibilidade

### 1. Como você garante a disponibilidade do RealmJoin?

Para manter a alta disponibilidade do RealmJoin, várias estratégias principais são implementadas, cada uma projetada para fornecer acesso robusto e ininterrupto ao serviço. Essas medidas incluem:

* **Infraestrutura Redundante**: Implantação em vários data centers para garantir serviço contínuo em caso de falha em um local. O RealmJoin aproveita o Azure IaaS em vários datacenters do Azure.
* **Processos de Failover Automatizados**: Existem sistemas para redirecionar automaticamente o tráfego para servidores operacionais durante uma indisponibilidade, minimizando o tempo de inatividade.
* **Arquitetura Escalável**: A capacidade de aumentar ou reduzir recursos rapidamente com base na demanda ajuda a manter o desempenho durante os períodos de pico de uso.
* **Atualizações e Patches Regulares**: Manutenções e atualizações de rotina são aplicadas para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permaneça segura e eficiente.
* **Monitoramento e Alertas**: Monitoramento contínuo da integridade do sistema e alertas automatizados para quaisquer problemas que possam afetar a disponibilidade do serviço.
* **Planos de Recuperação**: Implementamos várias camadas de medidas de recuperação: conseguimos recuperar o estado principal do sistema dentro das últimas semanas porque nossos bancos de dados possuem recuperação point-in-time. Além disso, no improvável caso de uma falha completa do sistema, os principais serviços do RealmJoin podem ser recuperados usando uma abordagem IaC (Terraform), o que reduz significativamente o tempo de recuperação.

## GDPR e residência de dados

### 1. Os dados saem da Europa?

Não.

### 2. De quais provedores de nuvem terceirizados o RealmJoin depende e por quê?

<table><thead><tr><th>Empresa</th><th>Serviços</th><th width="221.671875">Contato</th><th>Finalidade</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>Serviços de nuvem (Azure)</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublin,<br>Ireland</td><td>Serviços em nuvem (Azure)</td></tr><tr><td>GitHub B.V.</td><td>repositório de código git, integração, testes e automação de release</td><td>Prins Bernhardplein 200, Amsterdam, 1097JB<br>Netherlands</td><td>Repositório de código, pipeline de CI/CD.</td></tr><tr><td>GitLab, Inc.</td><td>repositório de código git, integração, testes e automação de release</td><td>268 Bush Street #350, San Francisco, CA 94104-3503,<br>United States</td><td>Pipeline de empacotamento</td></tr></tbody></table>

## Diversos

### 1. O RealmJoin faz parte de um programa de bug bounty?

Não.

### 2. Quais medidas de QA estão em vigor?

* Executamos binários assinados.
* Nossos pacotes de aplicativos são construídos de forma consistente, aproveitando repositórios de código de última geração e metodologia CI/CD para garantir o máximo de integridade.
* Os pacotes de aplicativos são assinados durante o processo de build e verificados pelo agente RJ antes da instalação no cliente.

### 3. Vocês realizam testes de penetração regularmente?

Não.

Como parte de nossas Práticas de Desenvolvimento Seguro, utilizamos ferramentas (por exemplo, análise estática de código) que verificam a base de código em busca de CVEs e outras explorações comuns (incluindo dependências, como bibliotecas de terceiros) que possam afetar a segurança dos endpoints expostos pelo RealmJoin. Antes de qualquer release, quaisquer achados relevantes são avaliados e corrigidos, para garantir que o RealmJoin permaneça livre de vulnerabilidades conhecidas. Não realizamos testes de penetração por conta própria, nem usamos ferramentas de terceiros de "Penetration Test-as-a-Service". No primeiro caso, vemos um conflito de interesse inerente. No segundo, como os serviços típicos de teste de penetração geralmente apenas verificam os endpoints expostos em relação a CVEs e outras explorações conhecidas, não vemos valor adicional além das verificações que já realizamos usando análise estática de código. Se você deseja realizar seus próprios testes de penetração, por favor [entre em contato conosco](https://www.realmjoin.com/help/) e nos informe seus requisitos.

### 4. Existe um processo de patching em vigor?

Sim, manutenções e atualizações de rotina são aplicadas para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permaneça segura e eficiente.

### 5. Quais são os SLAs para patches?

* Patches para CVEs / vulnerabilidades de segurança: assim que a vulnerabilidade se tornar de conhecimento público ou assim que identificarmos uma vulnerabilidade em nosso próprio código, um hot-fix será fornecido no máximo 24 horas após tomarmos conhecimento da vulnerabilidade.
* Outros patches: sem SLA.

### 6. O RealmJoin faz backups?

O RealmJoin usa tecnologia de restauração point-in-time em todos os dados críticos. O GitLab (que hospeda o pipeline e o repositório PACKaaS) recebe backup regularmente.

### 7. Existem testes de restauração de backup?

Não. Consulte [Disponibilidade](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) para detalhes.

### 8. O que torna os pacotes do RealmJoin mais seguros do que as soluções da comunidade?

Em oposição às soluções da comunidade, mantemos controle total sobre qualquer pacote e qualquer binário o tempo todo. Várias verificações implementadas garantem que nenhum dado corrompido seja executado em dispositivos.

* **Nenhum repositório público**: Hospedamos nossas instâncias de GitLab, nuget e cdn. Embora o agente RealmJoin atualmente utilize uma versão modificada do mecanismo Chocolatey, a fonte dos pacotes é restrita aos servidores de pacotes da glueckkanja AG.
* **Repositórios separados**: Pacotes específicos de clientes estão localizados em uma seção específica do cliente em nossos servidores e não podem ser acessados por outros clientes.
* **Versionamento completo**: Todas as ferramentas, bem como o armazenamento de pacotes do RealmJoin, fornecem informações de commit e auditoria. É sempre transparente quem alterou o quê em qualquer pacote, em qualquer momento.
* **Evitar dados específicos**: Separar o código do pacote e os binários nos permite, em geral, remover informações sensíveis dos binários, de modo que até mesmo binários interceptados não possam ser usados de forma maliciosa.
* **Criptografia e hashes**: Os scripts do pacote são armazenados em um servidor criptografado, com acesso altamente restrito. O agente do RealmJoin baixa os scripts por meio de uma conexão criptografada. Para segurança adicional, todos os binários são verificados com um hash fixo antes que qualquer ação seja tomada.
* **Pentest**: Nos últimos anos, o agente RealmJoin fez parte de vários pentests bem-sucedidos de clientes.
* **Teste**: Todos os pacotes do RealmJoin são instalados várias vezes durante o QA do PACKaaS em dispositivos Windows executando Defender. Varreduras de malware fazem parte dos processos automatizados de build e deploy. Pacotes mantidos usam fontes oficiais do fornecedor.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/pt/outros/security-and-privacy.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.