Sobre este proyecto
it-programming / web-development
Abierto
Estamos buscando contratar uma empresa ou profissional especializado em Segurança da Informação para realizar uma avaliação independente e abrangente da Plataforma Compras IA. Esta é uma solução SaaS utilizada por órgãos públicos para automação de processos de compras públicas. O objetivo principal desta contratação é obter uma avaliação independente, identificar vulnerabilidades, apoiar a priorização de correções e validar os ajustes implementados pela nossa equipe interna.
O escopo do projeto inclui as seguintes avaliações:
1. Pentest Web: Avaliação completa da aplicação web, cobrindo o OWASP Top 10, autenticação, autorização, gestão de sessão, exposição de dados, validação de entradas, upload de arquivos e APIs expostas.
2. Pentest de APIs: Avaliação detalhada das APIs utilizadas pela plataforma, incluindo autenticação, autorização, enumeração de recursos, exposição de dados, rate limiting e controle de acesso.
3. Avaliação de Infraestrutura Cloud: Revisão de aspectos críticos da infraestrutura cloud, como IAM (Identity and Access Management), Security Groups, armazenamento, gerenciamento de segredos e exposição de serviços.
4. Avaliação de Hardening: Análise da configuração de segurança de servidores, containers, bancos de dados e serviços expostos para garantir a robustez contra ataques.
5. Reteste: Validação das correções implementadas pela equipe de desenvolvimento da plataforma para assegurar a eficácia das mitigações.
As metodologias desejadas para a execução do trabalho incluem OWASP Testing Guide, owasp asvs, ptes, nist cybersecurity framework e cis benchmarks.
Os entregáveis esperados são:
- Relatório Executivo: Um resumo dos riscos identificados, com classificação, impactos para o negócio e priorização.
- Relatório Técnico: Detalhamento das vulnerabilidades identificadas, evidências, formas de exploração e recomendações para correção.
- Relatório de Reteste: Documento que valida a eficácia das correções implementadas.
- Documento Final: Uma avaliação geral da postura de segurança da plataforma.
Buscamos profissional com diferencial como experiência comprovada em soluções SaaS, experiência com plataformas web, familiaridade com ambientes AWS e experiência em avaliações para órgãos públicos. O prazo para a conclusão do projeto deverá ser definido em conjunto com o profissional ou empresa contratada.
Categoría Programación y Tecnología
Subcategoría Programación Web
¿Cuál es el alcance del proyecto? Bug o cambio pequeño
Plazo de Entrega: No definido
Habilidades necesarias