Infraestrutura e Segurança
Criptografia e Firewalls
Segurança boa não é um PDF que ninguém abre: é tráfego cifrado onde faz diferença, chave que rota sem drama e firewall que bloqueia o que precisa sem derrubar o checkout na sexta-feira. A Viscale liga criptografia e perímetro ao que o produto realmente faz — mesma linguagem de risco, mesma vontade de deixar evidência quando alguém perguntar “quem mudou isso?”.
Criptografia com propósito, não checklist genérico. TLS entre usuário e app, entre serviços internos quando o dado merece, e repouso em disco ou banco quando a lei ou o contrato mandam. Explicamos trade-offs: cifrado no cliente pesa bateria; cifrado só no disco pode não bastar para vazamento de backup — e escolhemos junto com você.
O que a gente pode fazer pra você?
TLS end-to-end no produto
Certificados, HSTS onde couber e mixed content eliminado.
Criptografia em repouso no banco
KMS nativo ou chave gerenciada com política de acesso clara.
Segmentação de rede (VPC / subnets)
Banco sem rota pública, app em subnet privada com saída controlada.
WAF na borda do tráfego web
Regras para OWASP Top 10 com tuning para não bloquear payload legítimo.
VPN site-to-site ou cliente
Para escritório ou parceiro acessar só o que precisa.
Rotação de credenciais e API keys
Calendário + passos no pipeline para não parar produção.
Criptografia de backups e cópias
Snapshot cifrado e política de quem pode restaurar.
Hardening de SO e imagem base
Usuários mínimos, patch em janela e baseline documentada.
Firewall e WAF com regra que dá para auditar. Grupos de segurança enxutos, listas de IP quando faz sentido, rate limit onde tem login ou pagamento e exceções documentadas (aquela integração do parceiro que precisa da porta X). Nada de “libera tudo e depois a gente vê”: cada abertura tem dono e data de revisão.
Diferenciais que o time sente no dia a dia. Gestão de certificados com renovação monitorada, rotação de segredos integrada ao pipeline, varredura básica de dependências e um playbook curto para incidente (“isolar, preservar log, comunicar”). Se você já usa HSM, KMS ou Vault, encaixamos no fluxo; se ainda não, começamos pelo que dá ganho rápido sem virar projeto infinito.
Portfólio de Criptografia e Firewalls
Entregáveis
Configuração aplicada em produção
Conforme desenho aprovado e testado.
Diagrama de rede e fluxo de dados
Legível para produto e jurídico, não só para TI.
Matriz de criptografia
Onde cifra, com qual algoritmo/chave e retenção.
Lista de regras de firewall/WAF
Com justificativa e data da última revisão.
Política de certificados
Emissor, renovação e contato de emergência.
Registro de segredos (fora do Git)
Onde vivem chaves e quem pode rotacionar.
Relatório de testes de regressão
Fluxos críticos após mudança de regra.
Playbook de incidente curto
Isolar, preservar evidência, comunicar stakeholders.
Checklist de hardening
Itens marcados com dono e próxima revisão.
Sessão de handoff
Dúvidas com quem opera o ambiente.
Metodologia de execução
-
Mapeamento de dados sensíveis
O que é PII, onde trafega e onde dorme.
-
Modelo de ameaça enxuto
Ativos, superfície de ataque e prioridade realista.
-
Desenho de criptografia
Em trânsito, em repouso e quem detém as chaves.
-
Firewalls e grupos de segurança
Regra mínima necessária com exceções justificadas.
-
WAF ou regras de borda
Se aplicável, com fase de aprendizado e falso positivo tratado.
-
Gestão de certificados
Emissão, renovação e alerta antes do vencimento.
-
Integração com CI/CD
Segredos injetados sem commitar no Git.
-
Testes e validação
Fluxo crítico (login, pagamento, upload) com tráfego inspecionado.
-
Documentação e evidências
Diagrama, lista de portas e responsáveis por revisão.
-
Treinamento rápido
Para o time saber onde mexer sem abrir buraco.
