Deps Documentação

# Segurança da Informação

Nesse documento será apresentado todas as alterações feitas no Sistema DepsNet para garantir a segurança das informações de nossos clientes.

# Controle de Acesso a opção de Usuários

Realizada alteração no DepsNet para que somente usuários com perfil como "Master" ou “Administrador” terem acesso as opções de cadastro e configurações de usuários.

Caso o usuário não atenda esses requisitos, será apresentado a seguinte mensagem:

sem_acesso.png

# Busca de Pesquisa de Clientes (SQL Injection)

Foram realizadas algumas alterações na tela de Pesquisas de Clientes para que não seja possível realizar a pesquisa com determinados caracteres especiais.

pesquisa_cliente.png

A alteração efetuada irá desconsiderar caracteres como: “[“, “]”, “;”, “\r”, “\t”, “\n”, “^”, “#”, “<”, “>”, “=”, “%”, “+” e “*” da requisição da pesquisa, considerando que os mesmo não estão presentes nos nomes dos clientes.

A requisição continua sendo enviada pois toda requisição é aceita e tida como normal, porém estão sendo realizados os tratamentos substituindo os caracteres citados anteriormente, já que os mesmos podem caracterizar um script malicioso.

Tais tratamentos foram realizados em todas as telas do sistema que utilizam a busca de pessoas.

# Armazenamento de Dados Criptografados

Foram feitos tratamentos nas telas que alimentam os campos de senha com senhas reais, como alteração de usuário, telas de consultas, configurações de e-mail e conexão externa, para que as mesmas estejam protegidas e sejam inacessíveis via inspecionar.

Os parâmetros que são transferidos entre telas receberam uma camada a mais de criptografia, protegendo os dados de ataques feitos ao túnel criptografado.

inspecionarSenha.png

# Restrição de Tags em Campos de Textos

Foram realizadas alterações para que os campos de inserção de informações não aceitem tags e códigos em alguma linguagem, como por exemplo, javascript e outros que permitam a manipulação e/ou inserção de informações no banco de dados utilizando códigos maliciosos.

alert_usuario.png

Caso algum usuário digitar essa informação o sistema não irá executar nenhuma ação, apresentando um erro interno ou em alguns cenários a tela de OOPS. A tela de Parametrização da Integração de dados foi descartada essa alteração, sendo que nela podemos trabalhar com estruturas XML, comandos ODBC e REST.

# Melhorias na tela de Login

Na tela de login do DepsNet foram realizadas as seguintes alterações:

  • Em Recuperar senha não ser possível identificar se um e-mail está cadastrado ou não no banco de dados do DepsNet, sendo que irá sempre mostrar a seguinte mensagem:

recuperar_senha_email.png

  • Foram realizados ajustes referente ao tempo de resposta da busca, para quando o e-mail estiver cadastrado e quando não tiver sempre retornar no mesmo tempo de resposta.

  • Foi implementado o limitador de tentativas para acesso ao sistema caso informado usuário e senha inválido. Caso isso ocorra deve ser esperado um tempo para novas tentativas e digitado o capctha:

login_captcha.png

# Criptografia de Senhas - Banco de Dados

Foram realizadas alterações no banco de dados do DepsNet para que as senhas referentes as conexões externas cadastradas sejam criptografadas e não estejam disponíveis em consultas. Esse processo já é padrão em outras tabelas do sistema.

v23.2