Skip to content
WSS Security - APPSEC

Guias

Olá! Aqui estão listados os guias de conformidade para as práticas de desenvolvimento seguro direcionada os times de desenvolvimento.

Entendendo as normas

Cada compliance é formado por requisitos identificados por um ID em específio, seguido de suas regras de implementação.

Exemplo:

GSEG005 - Armazenamento de Segredos Mobile
1. Aplicações desenvolvidas para iOS devem armazenar segredos utilizando Keychain.
2. Aplicações desenvolvidas para Android devem armazenar segredos utilizando Keystore. Segredos não devem ser armazenados utilizando SharedPreferences.
3. A aplicação deve definir uma única classe/componente que gerencie todos os segredos da aplicação. Novas funcionalidades e monitoramento de segurança poderão ser aplicados a esta parte do sistema.

Cada equipe deve implementar cada uma restas regras em seu time.

Sobre a implementação

Cada equipe irá nomear um representante do time responsável por garantir as boas práticas de desenvolvimento seguro na equipe. A esta pessoa, vamos nos referir como Security Champion (SC).

A equipe de segurança apoiará a implementação, solucionando dúvidas, propondo melhorias e correções nos processos.

Toda a implementação é composta pelas seguintes fases:

  1. Kickoff: a equipe de segurança em conjunto com o SC farão uma reunião de apresentação e alinhamento. Esta reunião tem como objetivo que todos tenham o devido entendimento sobre a normativa.
  2. Roadmap: o SC irá planejar o roadmap para adequação de seus sistemas aos requisitos e apresentará à equipe de segurança.
  3. Implementação: o SC em conjunto com sua equipe irá implementar os requisitos. Ele poderá contar com o apoio da equipe de Segurança para qualquer dúvida ou ajuda necessária. Recomendamos validar as soluções propostas antes de sua implementação, para melhor eficiência.
  4. Revisão: a equipe de segurança irá revisar a implementação realizada.

Sobre a entrega

Após a implementação, a equipe de segurança se responsabilizará por certificar a equipe na normativa.

Será mantido um registro de implementação por equipe, onde cada normativa será classificada como:

  1. Não atende: a equipe não implementou as práticas de forma a mitigar os riscos associados a normativa.
  2. Atende parcialmente: algumas práticas foram implementadas, porém ainda não está totalmente completo.
  3. Atende, com oportunidades: as práticas foram implementadas, porém algumas ainda necessitam de melhorias ou correções.
  4. Atente plenamente: as práticas foram implementadas corretamente.

Sobre a re-validação

Este exercício será realizado anualmente em cada equipe por normativa.