--- title: Boas práticas de segurança para o seu ambiente source: https://tdn.totvs.com/pages/viewpage.action?pageId=611010249 path: \Plataforma Documentação técnica\Especificações Técnicas\Boas práticas de segurança para o seu ambiente.md --- Dica! [Acesse aqui](Segurança da plataforma.md) e veja mais sobre os controles de **Segurança da plataforma** TOTVS Fluig. # Objetivo --- Reunimos nesse documento uma série de recomendações para trazer mais segurança ao seu ambiente do TOTVS Fluig Plataforma. Elencamos diversos artigos e dicas de segurança básicas que você pode aplicar para proteger seu ambiente. É importante definir uma agenda para revisão destes itens periodicamente. ## Segurança nos padrões internacionais --- O TOTVS Fluig passa por testes de segurança seguindo as principais metodologias internacionais. Ele faz parte do programa de Bug Bounty da TOTVS, que tem como principal objetivo identificar e corrigir potenciais vulnerabilidades em seu ambiente tecnológico de produtos, aderindo e seguindo as melhores práticas recomendadas pelo OWASP (Open Web Application Security Project), uma comunidade mundial dedicada a melhorar a segurança de software. Ao alinhar nossos processos com as diretrizes do OWASP, buscamos garantir a identificação e correção eficazes de potenciais vulnerabilidades em nossa plataforma, contribuindo para um ambiente digital mais seguro e resiliente. Possuímos certificados e atestados de reconhecimento que demonstram nosso compromisso em seguir as práticas do mercado para processos de desenvolvimento seguro. Esses documentos evidenciam que nossas metodologias e procedimentos estão alinhados com os mais altos padrões de segurança, validados por auditorias internas e externas. Os certificados e atestados, como os exemplificados abaixo, podem ser solicitados a qualquer momento por meio dos nossos canais de atendimento: - [Certificado de conformidade em testes de segurança](https://tdn.totvs.com/download/attachments/611010249/TISBD%20-%20Certificado%20de%20Conformidade%20em%20testes%20de%20seguran%C3%A7a_FLUIG.pdf.pdf?version=1&modificationDate=1738241078047&api=v2); - [*Letter of attestation* - *Bounty program*](https://tdn.totvs.com/download/attachments/611010249/Letter%20of%20attestation%20-%20Bounty%20program%20Fluig.pdf%20-%20254.706%20%C3%97%20297.039mm%20-%20Canva.pdf?version=1&modificationDate=1738241076453&api=v2). # *Checklist* --- **Política de senha** Troque a senha do usuário **wcmadmin** regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes. Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o [TOTVS Identity integrado com o Fluig](../Configuração/Identity/Integração da plataforma com o Identity.md). Você também pode utilizar os eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em [Desenvolvimento de eventos](../Desenvolvimento sobre a plataforma/Desenvolvimento de Eventos.md). **Login e matrícula dos usuários** Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos. **Configurações de segurança para login** Recomendamos a implementação de configurações de segurança [para ampliar a proteção contra acessos não autorizados à plataforma e evitar ataques de força bruta](../Configuração/Configuração de Ambiente/Configurações de segurança para prevenção de ataques de força bruta BFA (Brute Force Attack).md) (Brute Force Attack). **Verifique a segurança de APIs, Datasets e Webservices** Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: [Recursos de permissão em APIs, datasets e webservices](https://tdn.totvs.com/x/pB2eI). **Não executar como *root*** A inicialização dos serviços da plataforma em Servidor Linux não pode ser realizada com o usuário *root*, para isso deve configurar seu ambiente conforme é orientado na documentação: [Configurar ambiente Linux para não utilizar o usuário root](../Configuração/Configuração de Ambiente/Configurar ambiente Linux para não utilizar o usuário root.md). **Não exponha o servidor de aplicação diretamente na internet** O TOTVS Fluig Plataforma possui suporte a implementação de DMZ e sugerimos a implementação conforme explica a documentação: [Topologia DMZ](../Configuração/Configuração de Ambiente/Topologia DMZ.md). **Criptografar a senha do banco de dados e LDAP** A senha do banco de dados deve ser criptografada no arquivo standalone.xml (a partir da 2.0) ou no domain.xml (1.6 até 1.8.2). Consulte o procedimento em: [Encriptação de senha do banco de dados](../Configuração/Configuração de Banco de Dados/Encriptação de senha do banco de dados.md). O mesmo se aplica a senha do LDAP, quando configurado este tipo de autenticação. Consulte o procedimento em: [Configuração de autenticação utilizando LDAP](../Configuração/Configuração de Ambiente/Configuração de autenticação utilizando LDAP.md). **Protocolo HTTPS** Configure a plataforma para utilizar o protocolo HTTPS e a opção *Flags "HttpOnly"* e *"Secure"* nos *cookies* será automaticamente habilitada. É importante mantê-la habilitada. Verifique também o nível de segurança habilitando as configurações da compatibilidade Moderna. Para mais detalhes consulte [Configuração HTTPS da plataforma](../Configuração/Configuração de Ambiente/HTTPS/Configuração HTTPS da plataforma.md), [Configurações do sistema](https://tdn.totvs.com/x/EO4KDg) e [Configuração de níveis de segurança no HTTPS](../Configuração/Configuração de Ambiente/HTTPS/Configuração de níveis de segurança no HTTPS.md). **oculto** **Configurações do servidor de aplicação** Mantenha as configurações do Apache e Nginx atualizadas: [Título link](link). **Páginas públicas** Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: [Como expor dados em ambientes públicos](../Configuração/Apps e Mashups/Como expor dados em ambientes públicos.md). **Utilize IPs no arquivo standalone.xml (a partir da 2.0) ou no domain.xml (1.6 até 1.8.2)** Sempre utilize o IP da rede interna no arquivo de configuração, de acordo com a atualização do Fluig que você utiliza. Isso evita chegar ao servidor, caso haja algum vazamento. **Arquivo robots.txt** Configurar o arquivo robots.txt. A partir da **atualização 1.7.1-211207** a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: [Como configurar o arquivo robots.txt](../Configuração/Configuração de Ambiente/Como configurar o arquivo robots.txt.md). **Domínios de busca** Remova as informações dos resultados da pesquisa, para saber mais acesse: [Remover informações do Google](https://developers.google.com/search/docs/advanced/crawling/remove-information?hl=pt-br). \* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores. **Version** Libere o acesso para **https://version.fluig.com**. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurança. **Bloqueio de *Clickjacking*** Mantenha habilitado o bloqueio de *Clickjacking* conforme orientado na documentação: [Configurações da plataforma](https://tdn.totvs.com/pages/releaseview.action?pageId=257623022#Configura%C3%A7%C3%B5esdaplataforma-BloqueiodeClickjacking). **Informações no cabeçalho dos balanceadores** Avalie a configuração dos balanceadores de carga para que não enviem informações desnecessárias no cabeçalho conforme instruído [nessa documentação](../Configuração/Configuração de Ambiente/Proxy reverso/Ocultar informações no cabeçalho HTTP.md). **Matriz de portabilidade** Utilize as versões de software homologadas na [Matriz de portabilidade](Matriz de Portabilidade.md). **Execução de antivírus** Para ambientes que necessitam utilizar antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escrita. **SO e softwares atualizados** Mantenha o Sistema Operacional atualizado, principalmente em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados. **Configuração padrão** Altere as portas e as configurações padrão da plataforma. **CORS (*Cross-origin Resource Sharing*)** Recomendamos a configuração do CORS (*Cross-origin Resource Sharing* ou Compartilhamento de Recursos de Origem Cruzada) que é um mecanismo utilizado pelos navegadores para compartilhar recursos entre diferentes origens. Obtenha informações detalhadas em [*Cross-origin Resource Sharing*](../Configuração/Configuração de Ambiente/CORS (Cross-origin Resource Sharing).md). **Acesso ao Servidor de indexação (Solr)** Recomendamos que nunca deixe o Solr exposto à Internet ou a qualquer máquina da sua rede interna. Utilize o parâmetro **SOLR\_IP\_ALLOWLIST1** e defina quais IPs podem ter acesso ao Painel administrativo do Solr. Assim, o acesso fica restrito aos IPs listados. Obtenha mais informações em [Servidor de indexação em alta disponibilidade](../Configuração/Configuração de Ambiente/Servidor de indexação dedicado/Servidor de indexação em alta disponibilidade.md). **1** → Disponível apenas a partir da atualização **Crystal Mist (1.8.2)**. **oculto** **Item modelo** Recomendamos .... conforme a documentação [Título link](link). Para que o item seja apresentado, editar o Painel e remover o título "oculto"