Os processos do sSDLC economizam tempo, dinheiro e proteção de dados. O sSDLC (security Software Development Life Cycle) é o método pelo qual a segurança é estabelecida desde as fases de desenvolvimento. Esse processo pode ser automatizado usando ferramentas de análise de código estático (DAST) e ferramentas de análise de código dinâmico (DAST). Além dessas automações, a segurança das comunicações (protocolos TLS) e dos fluxos de autenticação será sempre garantida.
SAST significa "Static Application Security Testing" (teste estático de segurança de aplicativos). Uma técnica de segurança da informação que permite avaliar a segurança de um aplicativo sem a necessidade de executá-lo, ou seja, estaticamente. O SAST é usado para analisar o código-fonte de um aplicativo para detectar possíveis vulnerabilidades em seu design e programação. Essa técnica é útil para identificar problemas de segurança no início do desenvolvimento do aplicativo, permitindo que eles sejam corrigidos antes que o aplicativo seja implantado ou publicado. Alguns exemplos de problemas que o SAST pode detectar são: Injeções de SQL, XSS (cross-site scripting), vulnerabilidades de segurança no armazenamento de senhas e outros. O SAST é uma ferramenta valiosa para as equipes de desenvolvimento de software e segurança da informação, permitindo que elas identifiquem e corrijam problemas de segurança em um estágio inicial, reduzindo o risco de exploração de vulnerabilidades e protegendo dados e informações confidenciais.
DAST significa "Dynamic Application Security Testing” (teste dinâmico de segurança de aplicativos). Uma técnica de segurança da informação que permite que a segurança de um aplicativo seja avaliada enquanto ele está em execução, em tempo real. O DAST é usado para detectar vulnerabilidades em aplicativos da Web, como injeções de SQL, XSS (cross-site scripting) e outras. Esses testes dinâmicos são realizados por meio da varredura do aplicativo e da simulação de um ataque mal-intencionado contra ele. O objetivo do DAST é identificar e corrigir vulnerabilidades antes que os invasores possam explorá-las. Isso permite que os desenvolvedores e as equipes de segurança da informação tomem medidas para proteger o aplicativo e os dados que ele manipula.
Protocolos seguros são padrões de comunicação que fornecem um método seguro de transmissão de informações entre sistemas. Exemplos de tais protocolos são SSL/TLS, SSH e IPSec. Embora o TLS 1.2 continue sendo uma opção segura para a transmissão de dados na Web, é recomendável usar o TLS 1.3 para aproveitar os aprimoramentos de segurança e desempenho. Muitos serviços da Web já foram atualizados para o TLS 1.3, portanto, é importante garantir que um site e seus serviços sejam atualizados para usar essa nova versão.
Os fluxos de autenticação são uma maneira eficaz de garantir a segurança das transações on-line, pois permitem que os usuários se autentiquem com segurança sem precisar inserir suas credenciais no site de um aplicativo. Também é uma maneira eficiente de lidar com solicitações de autenticação, pois as notificações push aceleram o processo e reduzem a probabilidade de erros.
Os dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Uma pessoa física identificável é qualquer pessoa cuja identidade possa ser estabelecida, direta ou indiretamente, por meio de um identificador, como um nome, um número de telefone, um endereço IP, um número de identificação, dados de localização, etc.
Os serviços do Open Gateway são criados como parte do Telefónica Kernel, uma plataforma que protege o acesso aos dados e aos recursos de telecomunicações da empresa.
O Telefónica Kernel foi criado com uma abordagem de privacidade desde a concepção, que fornece um alto nível de proteção de privacidade para os dados de clientes e usuários finais digitalmente. Isso significa que o sistema aplica diretamente os requisitos de privacidade, abstraindo essa complexidade do desenvolvedor.
Para a Telefónica, a privacidade desde a concepção é um dos aspectos essenciais a serem levados em conta em nossos produtos e serviços, desde sua concepção até sua criação. Para garantir essa abordagem, mas também para manter APIs amigáveis para o desenvolvedor, a Telefónica está promovendo a padronização de uma Estrutura de Privacidade na CAMERA com as outras empresas de telecomunicações, trabalhando arduamente para simplificar a aplicação dos requisitos de privacidade em nossos sistemas.
No Open Gateway, trabalhamos para criar experiências de usuário sem atrito, o que significa que o usuário não precisa interagir com diferentes aplicativos para concluir qualquer processo. Para isso, na Telefónica decidimos coletar diretamente os requisitos legais de privacidade por meio de interfaces projetadas com uma linguagem compreensível para dar ao cliente o controle real da experiência digital.
O Open Gateway oferece uma estrutura para gerenciar automaticamente a privacidade. Com esse enfoque, o Telefónica Kernel ajudará o desenvolvedor a cumprir com os requisitos de privacidade, como o dever de informação ou a coleta e revogação de bases legais.
Não, a Telefónica gerencia as preferências de privacidade dos usuários diretamente com eles através de nossos próprios canais e sistemas (por exemplo, o Centro de Transparência da Telefónica), incluindo a gestão das bases legais, como a obtenção e revogação do consentimento do usuário.
Trata-se de um regulamento aplicável desde 2016, o Regulamento (UE) 2015/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas relativas ao acesso à Internet aberta (também conhecido como Open Internet Regulation ou "OIR").
O OIR concede aos usuários finais o direito de acessar e distribuir conteúdo e serviços legais de sua escolha por meio de seu serviço de acesso à Internet. O regulamento também consagra determina o princípio do gerenciamento de tráfego não discriminatório para esses serviços de acesso à Internet, permitindo uma gestão de tráfego razoável. Por fim, ela define as condições para o fornecimento de "Serviços Especializados", que não sejam Serviços de Acesso à Internet.
O regulamento se aplica aos provedores de serviços de comunicações eletrônicas (ISPs), como a Telefónica.
Aplica-se em toda a União Europeia e, por enquanto, também no Reino Unido.
Serviço de acesso à Internet (SAI) significa um serviço de comunicações eletrônicas disponível publicamente que fornece acesso à Internet (a Internet oferece desempenho de "melhor esforço") e, portanto, conectividade a praticamente todos os pontos finais da Internet, independentemente da tecnologia de rede e o equipamento terminal utilizado.
Serviços especializados (SS) são serviços otimizados para conteúdos, aplicativos ou serviços específicos, ou uma combinação deles, em que a otimização é necessária para atender aos requisitos dos conteúdos, aplicativos ou dos serviços em termos de um nível específico de qualidade. Duas condições devem ser atendidas:
Os SS não estão sujeitos às restrições dos modelos de negócios e preços das SAI.
Os regulamentos não exigem autorização prévia em relação a práticas comerciais, práticas de gerenciamento de tráfego ou serviços especializados.
Somente as APIs que envolvem conectividade na rede da Telefónica estão sujeitas ao OIR. Somente o serviço de conectividade fornecido em resposta à chamada da API pode estar sujeito ao OIR. Outros recursos fornecidos pelas APIs não estão sujeitos ao OIR.