Obtenha informações sobre o nosso processo de desenvolvimento de software e saiba como damos prioridade à segurança em todas as fases, desde a conceção inicial até ao funcionamento do nosso software no dia a dia. A segurança está no centro de como concebemos, programamos e utilizamos os nossos produtos.
A norma da Sage designada por Secure Software Development Lifecycle (SDLC) é seguida pelas equipas de engenharia de produtos e inclui padrões e diretrizes de codificação seguros.
Pré-lançamento
A norma de controlo de segurança dos produtos Sage define os controlos de segurança que esperamos que os nossos produtos adotem. Com base em estruturas líderes do setor, como OWASP ASVS e NIST, a nossa norma foi adaptada para ser uma estrutura abrangente destinada a ajudar a reduzir os riscos de cibersegurança que afetam os nossos produtos e clientes. Inclui controlos de segurança ao longo do ciclo de vida de desenvolvimento e durante a utilização dos nossos produtos.
Pré-lançamento
A nossa equipa de segurança global fornece aconselhamento e apoio especializados às equipas de engenharia de produtos da Sage e também recorre ao nosso programa de campeões de segurança líder do setor. Os campeões de segurança são empresas de renome que se dedicam às melhores práticas no setor do software, no qual programadores e engenheiros de software reconhecidos trabalham como extensão da equipa de segurança. Fazem-no contribuindo para a modelagem de ameaças, realizando triagem e resolução de vulnerabilidades, e ajudando a responder a incidentes. Todos os campeões de segurança da Sage realizam formação especializada em segurança, participam em competições e eventos e dão um contributo inestimável para a nossa missão de segurança.
Pré-lançamento
Parte do nosso compromisso com a segurança desde a conceção, a modelagem de ameaças é utilizada para compreendermos de que modo os nossos produtos e sistemas podem sofrer abusos ou ataques, permitindo-nos desenvolver a segurança nos nossos produtos desde o início. Utilizamos várias técnicas para modelar os nossos sistemas, incluindo a STRIDE, e formamos e incluímos um grande número de pessoas na modelagem de ameaças, incluindo especialistas em segurança de aplicações e segurança na cloud, programadores e arquitetos de software.
Pré-lançamento
Dotar a nossa equipa das competências necessárias e promover uma cultura de responsabilidade de segurança partilhada é crucial para nos mantermos à frente das ameaças e garantirmos o desenvolvimento de produtos seguros. Investimos fortemente na formação dos nossos programadores e engenheiros de software, bem como das equipas de segurança, colaborando com líderes do setor como a Pluralsight, a LinkedIn Learning e a Immersive Labs para fornecer formação teórica e prática abrangente baseada em laboratório.
Pré-lançamento
Apoiamos os nossos programadores na criação de código seguro e de elevada qualidade, desenvolvendo normas de codificação seguras que destacam o que esperamos, de modo a evitar falhas de segurança comuns. Seguimos as orientações da OWASP e da Cloud Security Alliance, entre outras, e adaptamo-las ao contexto e aos produtos da Sage.
Pré-lançamento
Utilizamos ferramentas de verificação de código e testes de segurança em todo o nosso SDLC visando detetar vulnerabilidades e erros de codificação o mais cedo possível, para que possam ser resolvidos antes de entrarem em produção. A parceria com a Microsoft é fundamental para a nossa postura de segurança e muitos dos nossos produtos utilizam segurança avançada da GitHub. Os testes estáticos e dinâmicos de segurança de aplicações e a verificação de segredos e de interdependências estão entre as ferramentas integradas nos nossos circuitos de desenvolvimento e entrega de software, garantindo que tenhamos visibilidade para abordar riscos de segurança o mais cedo possível.
Pré-lançamento
Na Sage investimos na construção da nossa própria equipa interna de segurança ofensiva, responsável pela realização de simulações de ataque (testes de penetração e exercícios de equipa vermelha) contra os nossos produtos, com o objetivo de nos ajudar a identificar pontos fracos que possam ser explorados por malfeitores, permitindo-nos resolvê-los de forma controlada e oportuna. Também realizamos parcerias com empresas externas de testes de penetração que nos dão uma visão independente e nos proporcionam um desafio saudável.
Pré-lançamento
No que se refere a produtos novos e alterações em produtos existentes que possam ter impacto na segurança, realizamos análises de lançamento estruturadas para garantir que as nossas expetativas de segurança foram atingidas. Colocaremos sempre a confiança e a segurança em primeiro lugar e não lançaremos nenhum software que não cumpra os nossos elevados padrões de segurança.
Release
Pós-lançamento
A nossa preocupação com a segurança não termina depois de um produto ser desenvolvido e lançado. Monitorizamos ativamente os nossos produtos para detetar comportamentos suspeitos e investigamos e respondemos rapidamente aos eventos. A nossa equipa própria de operações de ciberdefesa monitoriza os nossos sistemas 24 horas por dia, todos os dias, e a nossa equipa global de resposta a incidentes pode coordenar rapidamente respostas em qualquer parte da empresa.
Pós-lançamento
A Sage utiliza um programa privado de recompensas por deteção de bugs através da HackerOne. Investigadores de segurança aprovados e hackers éticos testam os produtos da Sage em relação a vulnerabilidades, simulando ataques do mundo real. Recompensamo-los por resultados válidos e colaboramos de forma transparente para resolver rapidamente os problemas.
Pós-lançamento
As perspetivas das nossas ferramentas de segurança, experiências de incidentes, testes de penetração e equipas vermelhas dão-nos indicações sobre melhorias na proteção dos produtos. Analisamos regularmente esses dados para melhorarmos a formação, as normas e os eventos de consciencialização sobre cibersegurança como a Cyber Security Week e o nosso evento anual com os Campeões de Segurança.
Saiba mais sobre o nosso inabalável compromisso com a cibersegurança. Informe-se melhor nas nossas páginas dedicadas à monitorização de operações e à conformidade com as normas.
Explore a profundidade da nossa estratégia de monitorização e operações 24 horas por dia, 7 dias por semana, destinada a garantir a máxima segurança e fiabilidade dos seus dados e sistemas.
Aprofunde o nosso compromisso com as normas e a conformidade e descubra de que modo a Sage garante operações que excedem as melhores práticas globais.
Give Feedback
