A segurança dos dados está na boca de toda a gente hoje em dia e a proteção de dados sensíveis merece uma atenção especial, especialmente no espaço digital. Para a SeaTable, um elevado padrão de proteção e segurança dos dados é mais do que uma mera frase vazia, é um elemento essencial subjacente à ideia fundadora da empresa, podendo mesmo dizer-se que faz parte do ADN da empresa. Os fundadores reconheceram uma necessidade desde o início, uma vez que cada vez mais empresas e instituições europeias estão a procurar alternativas europeias aos grandes fornecedores dos EUA. Por este motivo, todos os dados na solução de nuvem são armazenados de forma consistente em servidores alemães pertencentes a uma empresa suíça certificada. Outras medidas de segurança incluem a encriptação HTTPS, a gestão segura de cookies, a validação de entradas e o princípio das autorizações mínimas, que garante que cada utilizador só recebe os direitos de acesso necessários.
Tão simples como uma folha de cálculo com o poder de uma base de dados
O SeaTable é a solução inovadora sem código para uma gestão de dados eficiente com um criador de aplicações de fácil utilização. Isto permite a qualquer pessoa criar soluções digitais para as suas necessidades individuais - mesmo sem conhecimentos de programação. Com o SeaTable, as empresas podem impulsionar a inovação e a transformação digital, garantindo simultaneamente um elevado nível de proteção e segurança dos dados.
Pentest confirma boa proteção contra ataques cibernéticos
No primeiro semestre de 2024, os ciberataques a empresas aumentaram 40% em comparação com o mesmo período de 2023 na região DACH. Para se manterem a par das ameaças digitais em constante crescimento, as empresas devem estar sempre um passo à frente de potenciais ataques de hackers. Por este motivo, a SeaTable 2024 encomendou à SRC Security Research & Consulting GmbH a realização de um teste de penetração para identificar e avaliar potenciais vulnerabilidades. Não foram identificados riscos elevados durante o teste de penetração, que durou várias semanas. O nível de segurança do SeaTable foi classificado como "bom".
Como próximo passo, a SeaTable GmH tem como objetivo a"Certificação de Segurança Acelerada" (BSZ) do Gabinete Federal Alemão para a Segurança da Informação (BSI) no segundo semestre de 2025. Ralf Dyllick-Brenzinger, CEO da SeaTable GmbH, fala sobre o resultado e os planos futuros da empresa numa entrevista.
Ralf Dyllick-Brenzinger, Diretor Executivo da SeaTable GmbH
A proteção de dados e a segurança informática são temas importantes para a SeaTable. Como é que garante um elevado nível de proteção de dados com a sua solução de nuvem?
RDB: Os nossos servidores estão localizados exclusivamente na Alemanha. Trabalhamos em conjunto com o fornecedor suíço Exoscale. Os utilizadores da nossa solução na nuvem podem, portanto, ter a certeza de que os seus dados são armazenados e processados em conformidade com os regulamentos de proteção de dados. Se isto não for suficiente para si, pode mudar para a versão on-premises e alojar o SeaTable você mesmo. Para que a segurança da nossa solução de nuvem seja verificada de forma independente, encomendámos um pentest este ano.
O SeaTable existe desde 2020, porque é que só mandaram realizar o pentest agora?
RDB: A nossa empresa e o nosso software cresceram de forma constante nos últimos anos, com mais de 150.000 utilizadores em mais de 50 países - e, naturalmente, as exigências do nosso ambiente de segurança de TI cresceram com isso. Atualmente, estamos também a atingir um marco importante. Cada vez mais grandes empresas e organizações governamentais estão a mostrar interesse nos nossos serviços e queremos expandir-nos internacionalmente. O pentest ajuda-nos a reconhecer ativamente e a eliminar potenciais pontos fracos - um pré-requisito importante para a certificação BSI que pretendemos - e é também um sinal para os nossos clientes actuais e potenciais de que a sua confiança em nós é justificada.
Há uma série de scanners de segurança no mercado que verificam a segurança do software e alguns deles são gratuitos. Porque é que isso não era uma opção?
RDB: A segurança dos dados dos nossos clientes é a nossa principal prioridade e queríamos definitivamente uma avaliação especializada fiável. As ferramentas atualmente disponíveis oferecem uma certa quantidade de apoio e nós também as utilizamos. No entanto, a maioria dos scanners não é suficiente para uma verdadeira avaliação de segurança. Baseiam-se em técnicas normalizadas, mas não compreendem a lógica de processos complexos, por exemplo, quando a criação de uma conta exige uma autenticação de dois factores. Os pentesters humanos têm ainda de considerar a forma como outras etapas subsequentes, efetivamente protegidas, podem ser executadas utilizando medidas específicas. E quando uma ferramenta automatizada identifica vulnerabilidades, normalmente avalia o grau de perigo da vulnerabilidade para cada descoberta separadamente. Os pentesters, por outro lado, também podem avaliar se várias vulnerabilidades baixas combinadas levam a um alto risco de segurança.
Como foi exatamente realizado o PenTest?
RDB: Foi testada a versão 5.0 do SeaTable. O sistema foi instalado por nós de acordo com as instruções oficiais. As definições de segurança eram equivalentes às do nosso sistema em nuvem. O foco principal foi a segurança da API e da aplicação Web. Discutimos previamente os objectivos do teste com a SRC Security e concordámos em simular um ataque informático com conhecimento interno, a chamada abordagem de caixa cinzenta. O atacante tem informações limitadas sobre o sistema.
Qual foi o resultado?
RDB: O resultado foi ainda melhor do que esperávamos. Tínhamos trabalhado continuamente no passado para proteger o nosso sistema contra ciberataques e tínhamos atingido um elevado nível de proteção, mas esperávamos que os pentesters continuassem a reconhecer vulnerabilidades. Como resultado, foram identificadas duas vulnerabilidades, mas nenhuma com um risco elevado. Ambas as vulnerabilidades serão eliminadas com uma das próximas actualizações.
Mencionou a certificação BSI. O que é que acontece agora?
RDB: A SRC Security baseia os seus pentests no "Conceito de Implementação para Testes de Penetração" do Gabinete Federal Alemão para a Segurança da Informação (BSI). Tendo completado com sucesso o teste, estamos, portanto, bem preparados para solicitar a certificação BSI no próximo ano e ter a segurança do nosso software oficialmente confirmada. As instituições governamentais e muitas grandes empresas atribuem grande importância a esta certificação ou esperam-na mesmo. Trata-se, portanto, de uma importante vantagem competitiva, também a nível internacional, uma vez que a certificação BSI é reconhecida em França, Grã-Bretanha, Canadá, Espanha, Israel e Turquia, entre outros.
O SeaTable foi desenvolvido por uma empresa chinesa cujos proprietários também têm uma participação na sua empresa. Atualmente, as ligações chinesas são vistas de forma crítica, especialmente no que diz respeito à proteção de dados sensíveis e da propriedade intelectual. Como é que lida com isto?
RDB: A nossa parceria com a Seafile Ltd, a empresa que desenvolve o SeaTable, não é segredo e pode ser consultada no nosso sítio Web. Também comunicamos este ponto de forma proactiva quando falamos com os clientes. Conhecemos os nossos parceiros há vários anos e criámos uma relação de confiança. Mas, como já disse, levamos muito a sério a proteção dos dados dos nossos clientes. A administração do nosso serviço de nuvem é efectuada exclusivamente pelos nossos administradores europeus. A Seafile Ltd. e os seus funcionários não têm acesso ao sistema. Não transferimos quaisquer dados para fora da Europa e muito menos para a China. Não é este o caso de um serviço dos EUA. E se ainda tiver dúvidas, pode facilmente alojar o SeaTable nos seus próprios servidores.
Conclusão
O ataque informático simulado confirmou que o SeaTable é uma aplicação com um elevado padrão de segurança. Os casos de utilização específicos são quase ilimitados - seja como localizador de erros, roteiro de TI ou sistema de emissão de bilhetes. Basta experimentá-la sem compromisso e registar-se gratuitamente.
"*" indica campos obrigatórios
