Segurança
- Onde são hospedadas as
Organizations? - Qual o protocolo de comunicação utilizado na Carol?
- Qual o período de armazenamento dos dados na Carol?
- Como é feita a criptografia dos dados?
- Como é feita a gestão de usuários?
- Como é feito o Backup na Carol?
- Como os dados são sincronizados (ERP)?
- Quais as formas de autenticação no TOTVS RH Clockin?
1. Onde são hospedadas as Organizations?
As organizações são hospedadas na nuvem da Carol, que utiliza a Google como Cloud Provider. Os dados e servidores utilizados ficam localizados nos Estados Unidos.
2. Qual o protocolo de comunicação utilizado na Carol?
A Carol utilza protocolo de comunicação criptografado (HTTPS) com suporte TLS 1.3, 1.2, 1.1 e 1.0.
→ Saiba o que é TLS e suas versões em IETF.
O TLS 1.0 e 1.1 foram considerados obsoletos em março de 2020. O TLS 1.2 é a versão que mais tem sido implantada até então.
Seguem abaixo informações gerais sobre a implementação do TLS.
Certificado
Chave: RSA 2048
Um algoritmo assimétrico, o que significa que existem duas chaves: uma chave pública e uma chave privada que deve ser mantida em segredo. É também um dos sistemas de criptografia mais usado e seguro do mundo.
Algoritmo de assinatura: SHA256 com RSA (RS256)
O sistema usa uma chave RSA de 2048 bits e hash SHA-256 ao gerar certificados.
→ Veja mais informações em OID Repository (sha256WithRSAEncryption).
Pacotes de Criptografia
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS 1.1
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Referências
Qualys SSL Labs
Mozilla Observatory
3. Qual o período de armazenamento dos dados na Carol?
Os dados são armazenados na Carol conforme legislação vigente.
4. Como é feita a criptografia dos dados?
Os dados são criptografados no nível de hardware, evitando que o hardware de armazenamento seja utilizado/lido por pessoas não autorizadas.
5. Como é feita a gestão de usuários?
A Plataforma Carol permite visualizar/consultar os usuários, último acesso, grupos de acesso aos dados e status do usuário. É possível restringir dominios que poderão acessar a plataforma, bem como receber notificações no momento que novos usuários são convidados e criados. Os usuários podem ser desativados caso seja necessário.
6. Como é feito o Backup na Carol?
Os backups são armazenados em buckets da Google com criptografia na camada de armazenamento provida pela Google.
7. Como os dados são sincronizados (ERP)?
No link abaixo você pode conferir a lista completa de tabelas necessárias, considerando a linha de produto que você utiliza.
→ Dados de integração no TDN
8. Quais as formas de autenticação no TOTVS RH Clockin?
O TOTVS RH Clock-In permite o login através de usuário e senha, podendo ser utilizado o login através do código mágico enviado por SMS/E-mail, válido apenas por 5 minutos. Este recurso permite a geração de uma senha provisória com validade curta para um login mais seguro e sem a necessidade de lembrar de senhas. O TOTVS RH Clock-In também permite login através do TOTVS Identity, que permite a utilização de servidores Activie Directory (AD). O produto TOTVS RH Clock-In não tem suporte ao segundo fator de autenticação (2FA/MFA).