Boas práticas de segurança

Checklist consolidado para operar o CipherVault em produção com nível de segurança enterprise. Use como base para auditoria interna ou hardening review.

Arquitetura

• Um vault por ambiente (producao, staging, desenvolvimento).
• Vault adicional dedicado a chaves administrativas e PAT internos (admin).
• Vaults separados por unidade de negócio crítica (ex.: producao-billing, producao-saude).
• BYOK habilitado em produção (chave master no AWS KMS / GCP KMS / Azure Key Vault).
• Air-gapped ou VPC privada para clientes regulados (financeiro, saúde, gov).

Identidade e autenticação

• SSO corporativo (SAML 2.0, OAuth ou Keycloak) — sem login local em produção.
• MFA obrigatório no tenant (enforce_mfa: true). Métodos suportados: TOTP (Google Authenticator, Authy, 1Password) e Email OTP.
• Login local desabilitado nas configurações do tenant.
• Sessões com TTL ≤ 8h e re-MFA para ações críticas.
• Risk Scoring habilitado, com bloqueio automático em score > 70.

Acesso e RBAC

• Princípio do menor privilégio: nenhuma policy com resource: "*".
• Policies atribuídas a grupos sincronizados via SCIM, não a usuários.
• Aprovação multi-nível (break-the-glass) para todos os secrets de produção.
• Revisão periódica trimestral configurada com revogação automática.
• Conditions de IP allowlist em vaults críticos.

Aplicações e CI/CD

• OIDC Federation para todos os pipelines — sem secrets estáticos em CI.
• AppConnections com mTLS para serviços de produção.
• Personal Access Tokens (PATs) com TTL ≤ 30 dias, jti rastreável e escopo mínimo.
• CI/CD Scanner habilitado como check obrigatório no PR.
• Pre-commit hooks (Talisman, git-secrets) instalados localmente.

Rotação

• Rotação automática habilitada para 100% das credenciais de banco de dados.
• Rotação semanal ou mensal para AWS IAM access keys.
• Rotação de tokens de API a cada 60–90 dias (PCI exige 90).
• Rollback testado em staging trimestralmente.
• Grace window dimensionada para o cache mais longo das aplicações.

Auditoria e detecção

• Export SIEM ativo (Splunk, Elastic, Sentinel, Datadog).
• Alertas em tempo real para acessos fora de horário, fora de IP e a recursos críticos.
• Leak Detection habilitada (planos Enterprise) com escopo da organização e domínios.
• Attack Paths revisados mensalmente.
• Reconciliação trimestral entre logs do CipherVault e do IdP corporativo.

Backup e disaster recovery

• Backup automatizado validado mensalmente (restore em ambiente isolado).
• Multi-região habilitada (Enterprise) para vaults críticos.
• Plano DR documentado com RTO < 4h e RPO < 15min.
• Chaves de recuperação master armazenadas offline em cofre físico.
• Procedimento de quebra de vidro (recover-by-shamir) documentado e testado.

Compliance

• Tags de classificação aplicadas (pii, pci, lgpd) em secrets sensíveis.
• DPA assinado com a CipherVault (LGPD).
• Subprocessadores documentados e revisados anualmente.
• Relatórios LGPD/ISO/SOC 2 gerados a cada ciclo de auditoria.
• Treinamento de segurança obrigatório anual para usuários do cofre.

Operação

• Observabilidade Prometheus + Grafana com dashboards padrão importados.
• Alertas Prometheus para próxima rotação, fila de eventos SIEM, taxa de erros 5xx.
• Runbooks documentados para incidentes (vazamento, comprometimento, downtime).
• Atualizações aplicadas em até 30 dias para patches de segurança.

Próximos passos

• Configurar OIDC Federation no GitHub Actions →
• Setup do operator Kubernetes →