apitdn/fluig_rag_docs/Plataforma Documentação técnica/Especificações Técnicas/Boas práticas de segurança para o seu ambiente.md

---
title: Boas práticas de segurança para o seu ambiente
source: https://tdn.totvs.com/pages/viewpage.action?pageId=611010249
path: \Plataforma  Documentação técnica\Especificações Técnicas\Boas práticas de segurança para o seu ambiente.md
---

Dica!

[Acesse aqui](Segurança da plataforma.md) e veja mais sobre os controles de **Segurança da plataforma** TOTVS Fluig.

# Objetivo

---

Reunimos nesse documento uma série de recomendações para trazer mais segurança ao seu ambiente do TOTVS Fluig Plataforma. Elencamos diversos artigos e dicas de segurança básicas que você pode aplicar para proteger seu ambiente.

É importante definir uma agenda para revisão destes itens periodicamente.

## Segurança nos padrões internacionais

---

O TOTVS Fluig passa por testes de segurança seguindo as principais metodologias internacionais. Ele faz parte do programa de Bug Bounty da TOTVS, que tem como principal objetivo identificar e corrigir potenciais vulnerabilidades em seu ambiente tecnológico de produtos, aderindo e seguindo as melhores práticas recomendadas pelo OWASP (Open Web Application Security Project), uma comunidade mundial dedicada a melhorar a segurança de software. Ao alinhar nossos processos com as diretrizes do OWASP, buscamos garantir a identificação e correção eficazes de potenciais vulnerabilidades em nossa plataforma, contribuindo para um ambiente digital mais seguro e resiliente.

Possuímos certificados e atestados de reconhecimento que demonstram nosso compromisso em seguir as práticas do mercado para processos de desenvolvimento seguro. Esses documentos evidenciam que nossas metodologias e procedimentos estão alinhados com os mais altos padrões de segurança, validados por auditorias internas e externas.

Os certificados e atestados, como os exemplificados abaixo, podem ser solicitados a qualquer momento por meio dos nossos canais de atendimento:

- [Certificado de conformidade em testes de segurança](https://tdn.totvs.com/download/attachments/611010249/TISBD%20-%20Certificado%20de%20Conformidade%20em%20testes%20de%20seguran%C3%A7a_FLUIG.pdf.pdf?version=1&modificationDate=1738241078047&api=v2);

- [*Letter of attestation* - *Bounty program*](https://tdn.totvs.com/download/attachments/611010249/Letter%20of%20attestation%20-%20Bounty%20program%20Fluig.pdf%20-%20254.706%20%C3%97%20297.039mm%20-%20Canva.pdf?version=1&modificationDate=1738241076453&api=v2).

# *Checklist*

---

**Política de senha**

Troque a senha do usuário **wcmadmin** regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes.

Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o [TOTVS Identity integrado com o Fluig](../Configuração/Identity/Integração da plataforma com o Identity.md). Você também pode utilizar os eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em [Desenvolvimento de eventos](../Desenvolvimento sobre a plataforma/Desenvolvimento de Eventos.md).

**Login e matrícula dos usuários**

Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos.

**Configurações de segurança para login**

Recomendamos a implementação de configurações de segurança  [para ampliar a proteção contra acessos não autorizados à plataforma e evitar ataques de força bruta](../Configuração/Configuração de Ambiente/Configurações de segurança para prevenção de ataques de força bruta BFA (Brute Force Attack).md) (Brute Force Attack).

**Verifique a segurança de APIs, Datasets e Webservices**

Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: [Recursos de permissão em APIs, datasets e webservices](https://tdn.totvs.com/x/pB2eI).

**Não executar como *root***

A inicialização dos serviços da plataforma em Servidor Linux não pode ser realizada com o usuário *root*, para isso deve configurar seu ambiente conforme é orientado na documentação: [Configurar ambiente Linux para não utilizar o usuário root](../Configuração/Configuração de Ambiente/Configurar ambiente Linux para não utilizar o usuário root.md).

**Não exponha o servidor de aplicação diretamente na internet**

O TOTVS Fluig Plataforma possui suporte a implementação de DMZ e sugerimos a implementação conforme explica a documentação: [Topologia DMZ](../Configuração/Configuração de Ambiente/Topologia DMZ.md).

**Criptografar a senha do banco de dados e LDAP**

A senha do banco de dados deve ser criptografada no arquivo standalone.xml (a partir da 2.0) ou no domain.xml (1.6 até 1.8.2). Consulte o procedimento em: [Encriptação de senha do banco de dados](../Configuração/Configuração de Banco de Dados/Encriptação de senha do banco de dados.md).
O mesmo se aplica a senha do LDAP, quando configurado este tipo de autenticação. Consulte o procedimento em: [Configuração de autenticação utilizando LDAP](../Configuração/Configuração de Ambiente/Configuração de autenticação utilizando LDAP.md).

**Protocolo HTTPS**

Configure a plataforma para utilizar o protocolo HTTPS e a opção *Flags "HttpOnly"* e *"Secure"* nos *cookies* será automaticamente habilitada. É importante mantê-la habilitada. Verifique também o nível de segurança habilitando as configurações da compatibilidade Moderna.
Para mais detalhes consulte [Configuração HTTPS da plataforma](../Configuração/Configuração de Ambiente/HTTPS/Configuração HTTPS da plataforma.md), [Configurações do sistema](https://tdn.totvs.com/x/EO4KDg) e [Configuração de níveis de segurança no HTTPS](../Configuração/Configuração de Ambiente/HTTPS/Configuração de níveis de segurança no HTTPS.md).

**oculto**

**Configurações do servidor de aplicação**

Mantenha as configurações do Apache e Nginx atualizadas: [Título link](link).

**Páginas públicas**

Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: [Como expor dados em ambientes públicos](../Configuração/Apps e Mashups/Como expor dados em ambientes públicos.md).

**Utilize IPs no arquivo standalone.xml (a partir da 2.0) ou no domain.xml (1.6 até 1.8.2)**

Sempre utilize o IP da rede interna no arquivo de configuração, de acordo com a atualização do Fluig que você utiliza. Isso evita chegar ao servidor, caso haja algum vazamento.

**Arquivo robots.txt**

Configurar o arquivo robots.txt. A partir da  **atualização 1.7.1-211207**  a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: [Como configurar o arquivo robots.txt](../Configuração/Configuração de Ambiente/Como configurar o arquivo robots.txt.md).

**Domínios de busca**

Remova as informações dos resultados da pesquisa, para saber mais acesse: [Remover informações do Google](https://developers.google.com/search/docs/advanced/crawling/remove-information?hl=pt-br).
  
\* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores.

**Version**

Libere o acesso para **https://version.fluig.com**. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurança.

**Bloqueio de *Clickjacking***

Mantenha habilitado o bloqueio de *Clickjacking* conforme orientado na documentação: [Configurações da plataforma](https://tdn.totvs.com/pages/releaseview.action?pageId=257623022#Configura%C3%A7%C3%B5esdaplataforma-BloqueiodeClickjacking).

**Informações no cabeçalho dos balanceadores**

Avalie a configuração dos balanceadores de carga para que não enviem informações desnecessárias no cabeçalho conforme instruído [nessa documentação](../Configuração/Configuração de Ambiente/Proxy reverso/Ocultar informações no cabeçalho HTTP.md).

**Matriz de portabilidade**

Utilize as versões de software homologadas na [Matriz de portabilidade](Matriz de Portabilidade.md).

**Execução de antivírus**

Para ambientes que necessitam utilizar antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escrita.

**SO e softwares atualizados**

Mantenha o Sistema Operacional atualizado, principalmente em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados.

**Configuração padrão**

Altere as portas e as configurações padrão da plataforma.

**CORS (*Cross-origin Resource Sharing*)**

Recomendamos a configuração do CORS (*Cross-origin Resource Sharing* ou Compartilhamento de Recursos de Origem Cruzada) que é um mecanismo utilizado pelos navegadores para compartilhar recursos entre diferentes origens. Obtenha informações detalhadas em [*Cross-origin Resource Sharing*](../Configuração/Configuração de Ambiente/CORS (Cross-origin Resource Sharing).md).

**Acesso ao Servidor de indexação (Solr)**

Recomendamos que nunca deixe o Solr exposto à Internet ou a qualquer máquina da sua rede interna. Utilize o parâmetro **SOLR\_IP\_ALLOWLIST1** e defina quais IPs podem ter acesso ao Painel administrativo do Solr. Assim, o acesso fica restrito aos IPs listados. Obtenha mais informações em [Servidor de indexação em alta disponibilidade](../Configuração/Configuração de Ambiente/Servidor de indexação dedicado/Servidor de indexação em alta disponibilidade.md).  
**1** → Disponível apenas a partir da atualização **Crystal Mist (1.8.2)**.

**oculto**

**Item modelo**

Recomendamos .... conforme a documentação [Título link](link). Para que o item seja apresentado, editar o Painel e remover o título "oculto"