| Notatip |
|---|
|
Acesse aqui e veja mais sobre os controles de Segurança da plataforma TOTVS Fluig. |
Objetivo
...
Reunimos nesse documento uma série de recomendações para trazer mais segurança ao seu ambiente do TOTVS Fluig Plataforma. Elencamos diversos Elencamos diversos artigos e dicas de segurança básicas que você pode aplicar para proteger seu ambiente.
É importante definir uma agenda para revisão destes itens periodicamente.
Checklist
Segurança nos padrões internacionais
...
O TOTVS Fluig passa por testes de segurança seguindo as principais metodologias internacionais. Ele faz parte do programa de Bug Bounty da TOTVS, que tem como principal objetivo identificar e corrigir potenciais vulnerabilidades em seu ambiente tecnológico de produtos, aderindo e seguindo as melhores práticas recomendadas pelo OWASP (Open Web Application Security Project), uma comunidade mundial dedicada a melhorar a segurança de software. Ao alinhar nossos processos com as diretrizes do OWASP, buscamos garantir a identificação e correção eficazes de potenciais vulnerabilidades em nossa plataforma, contribuindo para um ambiente digital mais seguro e resiliente.
Possuímos certificados e atestados de reconhecimento que demonstram nosso compromisso em seguir as práticas do mercado para processos de desenvolvimento seguro. Esses documentos evidenciam que nossas metodologias e procedimentos estão alinhados com os mais altos padrões de segurança, validados por auditorias internas e externas.
Os certificados e atestados, como os exemplificados abaixo, podem ser solicitados a qualquer momento por meio dos nossos canais de atendimento:
Checklist
...
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Política de senha</b></label>
</div>
<div >
<p>Troque a senha do usuário <b>wcmadmin</b> regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes.</p>
<p>Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o <a href="https://tdn.totvs.com/x/Tx1bB" style="color: #0897E9">TOTVS Identity integrado com o Fluig</a>. Você também pode utilizar os eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em <a href = "https://tdn.totvs.com/pages/viewpage.action?pageId=75270416" style="color: #0897E9">Desenvolvimento de eventos</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Login e matrícula dos usuários</b></label>
</div>
<div>
<p>Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Verifique a segurança de APIs, Datasets e Webservices</b></label>
</div>
<div>
<p>Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: <a href="https://tdn.totvs.com/x/pB2eI" style="color: #0897E9">Recursos de permissão em APIs, datasets e webservices</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Não executar como <i>root</i></b></label>
</div>
<div >
<p>A inicialização dos serviços da plataforma em Servidor Linux não pode ser realizada com o usuário <i>root</i>, para isso deve configurar seu ambiente conforme é orientado na documentação: <a href = |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Política de senha</b></label>
</div>
<div >
<p>Troque a senha do usuário <b>wcmadmin</b> regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes.</p>
<p>Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o <b><a href="https://tdn.totvs.com/x/Tx1bBv2cWGw" style="color: #4bb9dc#0897E9">TOTVS>Configurar Identityambiente integradoLinux compara o Fluig</a></b>. Você também pode não utilizar oso eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em <b><a href = "https://tdn.totvs.com/pages/viewpage.action?pageId=75270416" style="color: #4bb9dc">Desenvolvimento de eventos</a></b>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Login e matrícula dos usuários</b></label>
</div>
<div>
<p>Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos.</p>
</div> |
|
usuário root</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Não exponha o servidor de aplicação diretamente na internet</b></label>
</div>
<div >
<p>O TOTVS Fluig Plataforma possui suporte a implementação de DMZ e sugerimos a implementação conforme explica a documentação: <a href = "https://tdn.totvs.com/x/MZIbCQ" style="color: #0897E9">Topologia DMZ</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Criptografar a senha do banco de dados e LDAP</b></label>
</div>
<div >
<p>A senha do banco de dados deve ser criptografada no arquivo domain.xml. Consulte o procedimento em: <a href="https://tdn.totvs.com/x/Oh4WGw" style="color: #0897E9">Encriptação de senha do banco de dados</a>.</br>
O mesmo se aplica a senha do LDAP, quando configurado este tipo de autenticação. Consulte o procedimento em: <a |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b>Verifique a segurança de APIs, Datasets e Webservices</b></label>
</div>
<div>
<p>Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: <b><a href="https://tdn.totvs.com/x/pB2eIXQVbDw" style="color: #4bb9dc#0897E9">Recursos>Configuração de permissãoautenticação em APIs, datasets e webservices</a></b>utilizando LDAP</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Não executar como <i>root</i><Protocolo HTTPS</b></label>
</div>
<div >
<p>A<p>Configure inicializaçãoa dosplataforma serviçospara dautilizar plataformao emprotocolo ServidorHTTPS Linuxe nãoa podeopção ser realizada com o usuário <i>root</i>, para isso deve configurar seu ambiente conforme é orientado na documentação: <b><a<i>Flags "HttpOnly"</i> e <i>"Secure"</i> nos <i>cookies</i> será automaticamente habilitada. É importante mantê-la habilitada. Para mais detalhes consulte <a href = "https://tdn.totvs.com/x/v2cWGwvdMgFQ" style="color: #4bb9dc#0897E9">Configurar>Configuração ambienteHTTPS Linuxda paraplataforma</a> nãoe utilizar<a ohref usuário root</a></b>= "https://tdn.totvs.com/x/EO4KDg" style="color: #0897E9">Configurações do sistema</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2#FFFF00 |
|---|
| bgColor | #FFFF00 |
|---|
| title | #f2f2f2oculto |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> NãoConfigurações exponhado o servidor de aplicação diretamente na internet<aplicação</b></label>
</div>
<div >
<p>O<p>Mantenha TOTVSas Fluigconfigurações Plataforma possui suporte a implementação de DMZdo Apache e sugerimos a implementação conforme explica a documentaçãoNginx atualizadas: <b><a<a href = "https://tdn.totvs.com/x/MZIbCQlink" style="color: #4bb9dc#0897E9">Topologia>Título DMZ<link</a></b>a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Criptografar a senha do banco de dados<Páginas públicas</b></label>
</div>
<div >
<p>A senha do banco de dados deve ser criptografada no arquivo domain.xml. Consulte o procedimento em: <b><a href=<p>Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: <a href = "https://tdn.totvs.com/x/Oh4WGwpages/viewpage.action?pageId=445656685" style="color: #4bb9dc#0897E9">Encriptação>Como deexpor senha dodados bancoem deambientes dados<públicos</a></b>a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Protocolo HTTPS< Utilize IPs no arquivo domain.xml</b></label>
</div>
<div >
<p>Configure a plataforma para utilizar o protocolo HTTPS e habilite o uso das flags "HttpOnly" e "Secure" nos cookies. Para mais detalhes consulte a documentação: <b><a href = "https://tdn.totvs.com/x/vdMgFQ" style="color: #4bb9dc">Configuração HTTPS da plataforma</a></b><p>Sempre utilize o IP da rede interna no arquivo domain.xml. Isso evita chegar ao servidor, caso haja algum vazamento.</p>
</div> |
|
| Painel |
|---|
| borderColor | #FFFF00#f2f2f2 |
|---|
| bgColor | #FFFF00#f2f2f2 |
|---|
| title | oculto |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Arquivo robots.txt</b></label>
</div>
<div >
<p>Configurar o arquivo robots.txt. A partir da <b> atualização 1.7.1-211207 </b></label> a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: <a href = "https://tdn.totvs.com/x/kObRJg" style="color: #0897E9">Como configurar o arquivo robots.txt</a> | | HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Configurações do servidor de aplicação</b></label>
</div>
<div >
<p>Mantenha as configurações do Apache e Nginx atualizadas: <b><a href = "link" style="color: #4bb9dc">Título link</a></b>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Domínios Páginasde públicas</b></label>
</div>
<div >
<p>Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: <b><abusca</b></label>
</div>
<div >
<p>Remova as informações dos resultados da pesquisa, para saber mais acesse: <a href = "https://tdndevelopers.totvsgoogle.com/pages/viewpage.action?pageId=445656685/search/docs/advanced/crawling/remove-information?hl=pt-br" style="color: #4bb9dc">Como expor dados em ambientes públicos</a></b>.#0897E9">Remover informações do Google</a>.
<br>* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores.
</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Utilize IPs no arquivo domain.xml<Version</b></label>
</div>
<div >
<p>Sempre<p>Libere o utilizeacesso o IP da rede interna no arquivo domain.xml. Isso evita chegar ao servidor, caso haja algum vazamentopara <b>https://version.fluig.com</b>. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurança.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Bloqueio de <i>Clickjacking</i></b></label>
</div>
<div >
<p>Mantenha habilitado o bloqueio de <i>Clickjacking</i> conforme orientado na documentação: <a href= | | HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Arquivo robots.txt</b></label>
</div>
<div >
<p>Configurar o arquivo robots.txt. A partir da <b> atualização 1.7.1-211207 </b></label> a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: <b><a href = "https://tdn.totvs.com/x/kObRJgpages/releaseview.action?pageId=257623022#Configura%C3%A7%C3%B5esdaplataforma-BloqueiodeClickjacking" style="color: #4bb9dc">Como configurar o arquivo robots.txt</a></b> #0897E9">Configurações da plataforma</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Informações no cabeçalho dos balanceadores</b></label>
</div>
<div >
<p>Avalie a configuração dos balanceadores de carga para que não enviem informações desnecessárias no cabeçalho conforme instruído <a href = "https://tdn.totvs.com/x/JVtVJQ" style="color: #0897E9">nessa documentação</a>. | | HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Domínios de busca</b></label>
</div>
<div >
<p>Remova as informações dos resultados da pesquisa, para saber mais acesse: <b><a href = "https://developers.google.com/search/docs/advanced/crawling/remove-information?hl=pt-br" style="color: #4bb9dc">Remover informações do Google</a></b>.
<br>* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores.
</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Matriz de Version<portabilidade</b></label>
</div>
<div >
<p>Libere o acesso para <b>https<p>Utilize as versões de software homologadas na <a href = "https://versiontdn.fluigtotvs.com</b>. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurançacom/x/_ApbB" style="color: #0897E9">Matriz de portabilidade</a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> BloqueioExecução de <i>Clickjacking</i></b></label>
</div>
<div >
<p>Mantenha habilitado o bloqueio de <i>Clickjacking</i> conforme orientado na documentação: <b><a href="https://tdn.totvs.com/pages/releaseview.action?pageId=257623022#Configura%C3%A7%C3%B5esdaplataforma-BloqueiodeClickjacking" style="color: #4bb9dc">Configurações da plataforma</a></b>antivírus</b></label>
</div>
<div >
<p>Para ambientes que necessitam utilizar antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escrita.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> InformaçõesSO noe cabeçalhosoftwares dos balanceadores<atualizados</b></label>
</div>
<div >
<p>Avalie<p>Mantenha ao configuraçãoSistema dosOperacional balanceadoresatualizado, deprincipalmente carga para que não enviem informações desnecessárias no cabeçalho conforme instruído <b><a href = "https://tdn.totvs.com/x/JVtVJQ" style="color: #4bb9dc">nessa documentação</a></b>em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> MatrizConfiguração de portabilidade<padrão</b></label>
</div>
<div >
<p>Utilize<p>Altere as versõesportas dee softwareas homologadasconfigurações napadrão <b><a href = "https://tdn.totvs.com/x/_ApbB" style="color: #4bb9dc">Matriz de portabilidade</a></b>.da plataforma.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Execução de antivírus<""><b> CORS (<i>Cross-origin Resource Sharing</i>) </b></label>
</div>
<div >
<p>Para ambientes<p>Recomendamos a configuração do CORS (<i>Cross-origin Resource Sharing</i> ou Compartilhamento de Recursos de Origem Cruzada) que necessitamé utilizarum antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escritamecanismo utilizado pelos navegadores para compartilhar recursos entre diferentes origens. Obtenha informações detalhadas em <a href = "https://tdn.totvs.com/x/PpUPJQ" style="color: #0897E9"><i>Cross-origin Resource Sharing</i></a>.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> SO e softwares atualizados</b></label>
</div>
<div >
<p>Mantenha o Sistema Operacional atualizado, principalmente em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados.</p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b>Configuração padrão</b></label>
</div>
<div >
<p>Altere as portas e as configurações padrão da plataforma.<">
<label><input type="checkbox" value=""><b> Acesso ao Servidor de indexação (Solr) </b></label>
</div>
<div >
<p>Recomendamos que nunca deixe o Solr exposto à Internet ou a qualquer máquina da sua rede interna. Utilize o parâmetro <b>SOLR_IP_ALLOWLIST<sup><font color = #0897E9>1</font></sup></b> e defina quais IPs podem ter acesso ao Painel administrativo do Solr. Assim, o acesso fica restrito aos IPs listados. Obtenha mais informações em <a href = "https://tdn.totvs.com/x/pgRbDw" style="color: #0897E9">Servidor de indexação em alta disponibilidade</a>.<br>
<sup><b><font color = #0897E9>1</font></b> → Disponível apenas a partir da atualização <b>Crystal Mist (1.8.2)</b>.</sup></p>
</div> |
|
| Painel |
|---|
| borderColor | #f2f2f2 |
|---|
| bgColor | #f2f2f2 |
|---|
| title | oculto |
|---|
|
| HTML |
|---|
<div class="checkbox">
<label><input type="checkbox" value=""><b> Item modelo </b></label>
</div>
<div >
<p>Recomendamos .... conforme a documentação <b><a<a href = "link" style="color: #4bb9dc#0897E9">Título link</a></b>a>. Para que o item seja apresentado, editar o Painel e remover o título "oculto"</p>
</div> |
|
| HTML |
|---|
<script>
$("b:contains('oculto')").parent().parent().hide();
</script>
<script>
jQuery(document).ready(function() {
jQuery(".wiki-content a").attr("target", "_blank");
});
</script> |
| HTML |
|---|
<script>
$("b:contains('oculto')").parent().parent().hide();
</script> |