‎As mensagens e ligações são protegidas com a criptografia de ponta a ponta. Somente as pessoas que fazem parte da conversa podem ler, ouvir e compartilhar esse conteúdo.

Oii

Claro!

Mauriciojuniorxd@gmail.com

Boa tarde

Td bem e vc?

Estou on

Rodrigo tenho a proposta: Considerando: -O que será implementado (Políticas de SI, Governança de SI, SGSI, IAM, Desenvolvimento Seguro, conscientização e treinamento de colaboradores.) -Um futuro cargo de Gestão -Adequar a LGPD -Trabalhando todos os dias (inclusive sábados e domingos) Minha pretensão: como prestador de serviços PJ 12.000 ‎<Mensagem editada>

Okay, no aguardo

Ok sem problemas

Qual budget máximo q vc conseguiria?

Como eu disse, conversado não sai caro😂

Entendi

Vou apostar na sua fala 😁🤝

Aceito a proposta, lá pra março nós senta pra conversar denovo

4horas de segunda sexta certo?

5k PJ

Combinado

Podemos começar o contrato a partir do dia 23?

Podemos

Estou on

Favor me dizer tudo q vc precisa e gostaria de obter com minha prestação de serviço

A partir d segunda eu começo 🤝😁

‎

*1. Implementação de IAM* Qual ferramenta de IAM já está em uso ou será implementada (ex.: Okta, AWS IAM)? _Exemplo: Já usamos AWS IAM, mas a integração com o GitLab ainda não está configurada._ _Como posso descobrir?_ _Verifique os sistemas de autenticação em uso e analise as políticas de integração com os repositórios._ Existem políticas de privilégio mínimo e MFA configuradas atualmente? _Exemplo: Todos os desenvolvedores têm acesso administrativo ou já existem níveis de acesso restritos?_ _Como posso descobrir? Revise as permissões no painel do IAM ou consulte quem gerencia os acessos._ Quem será responsável por aprovar acessos temporários? _Exemplo: Um líder técnico será o responsável por liberar acessos de curto prazo?_ _Como posso descobrir? Consulte a política interna de governança de acessos ou fale com o responsável pela equipe._ --- *2. Segmentação de Repositórios* O código está atualmente modularizado? _Exemplo: O sistema de pagamento está isolado em um repositório separado, ou todo o código está centralizado?_ _Como posso descobrir? Faça uma análise nos repositórios para verificar a estrutura e organização dos módulos._ Existem restrições ativas para clonar ou baixar o repositório completo? _Exemplo: Há bloqueios para evitar que um colaborador baixe todos os repositórios de uma vez?_ _Como posso descobrir? Teste os controles de acesso nos repositórios ou verifique as políticas configuradas no GitLab/GitHub._ Qual ferramenta de controle de código é usada (GitHub, GitLab, etc.)? _Exemplo: Estamos usando o GitLab com permissões por grupo, ou é uma instância do GitHub em nuvem?_ _Como posso descobrir? Pergunte ao time de desenvolvimento ou revise a documentação de ferramentas usadas._ --- *3. Monitoramento e Auditoria* Quais ferramentas de monitoramento de repositório estão configuradas (GitGuardian, SIEM)? _Exemplo: Temos algo configurado para monitorar tokens expostos, como o GitGuardian, ou dependemos apenas dos logs do Git?_ _Como posso descobrir?_ _Consulte o responsável por monitoramento ou analise a documentação do SOC._ Há logs detalhados ativados para rastrear atividades em repositórios? _Exemplo: Os logs mostram quem acessou ou modificou uma branch específica?_ _Como posso descobrir? Verifique se o repositório tem logs ativados e qual o nível de detalhamento._ Quem será o responsável pela revisão das auditorias regulares? _Exemplo: O time de segurança será responsável por analisar relatórios semanais de acessos?_ _Como posso descobrir? Consulte o plano de auditoria ou fale com o gerente de segurança._ --- *4. Alertas e Análise de Comportamento* Quais sistemas de alertas automáticos estão implementados? _Exemplo: Já existem alertas configurados para detectar downloads massivos de código?_ _Como posso descobrir? Consulte as ferramentas de monitoramento e revise as regras configuradas._ Existem padrões de comportamento já definidos para detectar anomalias? _Exemplo: Estamos monitorando acessos fora do horário normal ou vindos de IPs diferentes do habitual?_ _Como posso descobrir? Analise os relatórios de segurança e políticas de detecção de comportamento._ --- *5. Criptografia* O armazenamento de código está criptografado (em repouso e em trânsito)? _Exemplo: Estamos usando criptografia para proteger repositórios armazenados em servidores locais?_ _Como posso descobrir? Verifique a configuração do armazenamento e as conexões de transferência._ Quais ferramentas são usadas para gerenciar segredos (AWS Secrets Manager, Vault)? _Exemplo: Tokens de API estão sendo armazenados no HashiCorp Vault ou diretamente no código?_ _Como posso descobrir? Revise os pipelines e repositórios para localizar onde os segredos estão armazenados._ Os logs de atividades sensíveis estão protegidos por criptografia? _Exemplo: Logs de auditoria em ferramentas como CloudTrail estão criptografados e acessíveis apenas a administradores?_ _Como posso descobrir? Consulte o administrador de logs ou revise as configurações de armazenamento._ --- *6. Prevenção de Vazamento de Dados (DLP)* Há alguma ferramenta de DLP em uso (ex.: Symantec DLP, Forcepoint)? _Exemplo: Temos algo configurado para bloquear envios de arquivos sensíveis por e-mail ou dispositivos USB?_ _Como posso descobrir?_ _Consulte o time de segurança ou analise o painel de controle das ferramentas DLP._ Existe uma política para uso de dispositivos autorizados? _Exemplo: Apenas máquinas gerenciadas pela empresa podem acessar o repositório?_ _Como posso descobrir? Revise a política de BYOD (Bring Your Own Device) e configurações de acesso remoto._ --- *7. Análise de Vulnerabilidades* Quais ferramentas de análise de vulnerabilidades estão disponíveis (ex.: Snyk, SonarQube)? _Exemplo: Já temos o SonarQube integrado ao pipeline para detectar vulnerabilidades em código?_ _Como posso descobrir? Consulte o pipeline CI/CD ou o responsável pelo DevOps._ O pipeline CI/CD já está integrado com verificações de segurança? _Exemplo: Testes de segurança estão configurados para rodar automaticamente em commits e merges?_ _Como posso descobrir? Analise as configurações do pipeline para identificar jobs relacionados à segurança._ --- *8. Desenvolvimento de Ferramentas* Há ferramentas internas ou scripts existentes para auditoria e gestão de acessos? _Exemplo: Já existe um script personalizado para gerar relatórios de quem acessou os repositórios?_ _Como posso descobrir? Consulte o repositório de scripts internos ou o responsável pelo time de segurança._ _Existe um modelo padrão para relatórios de segurança?_ _Exemplo: Os relatórios incluem detalhes sobre alterações críticas ou são genéricos?_ _Como posso descobrir? Peça exemplos de relatórios já gerados ou consulte o time de compliance._ --- *9. Políticas e Treinamento* Há políticas de segurança formalizadas para o ambiente de desenvolvimento? _Exemplo: Existe alguma documentação sobre permissões de acesso ou manipulação de código sensível?_ _Como posso descobrir? Solicite a documentação interna ou pergunte ao time responsável por governança._ Quando será o próximo treinamento de segurança da equipe? _Exemplo: Haverá sessões específicas para conscientização sobre vazamentos de segredos?_ _Como posso descobrir? Consulte o calendário de treinamentos ou o responsável por educação corporativa._ --- *10. Integração com APIs e Sistemas de Pagamento* Quais padrões de segurança são usados nos gateways de pagamento? _Exemplo: Estamos usando autenticação com HMAC ou apenas tokens simples nas integrações de pagamento?_ _Como posso descobrir? Revise a documentação dos sistemas de pagamento ou consulte o time de integração._ As APIs possuem autenticação e criptografia configuradas adequadamente? _Exemplo: As APIs internas estão protegidas por HTTPS e requerem autenticação baseada em OAuth?_ _Como posso descobrir? Teste as APIs e verifique as políticas de autenticação e criptografia configuradas._ ‎<Mensagem editada>

🤜🏻🤛🏻

19

Segunda sexta estarei online pro projeto das 19 as 23

Saio do trabalho às 18

Após a resposta destas perguntas, eu já consigo ter um norte no q podemos começar

E se tiver alguma duvida pode mandar aqui por mensagens q ao decorrer do dia eu posso ir respondendo tbm

🤜🏻🤛🏻

Rodrigo só para alinharmos a entrega, a partir d amanhã já vou começar a desenvolver uma documentação pra sua empresas, de políticas de segurança da informação. Informando q será proibido realizar dow load do código fonte da moovbet sem a aprovação da diretoria e para fins pessoais😉

Boa noite e bom descanso 🙏🏻

Podemos sim

Suas respostas vai me ajudar a fzr isso

Se quiser já conversar com o responsavel

Pelo repositório d codigos

Já me dar o acesso

Se tiver conectado a nuvem tbm

Pode ficar a vontade

Caso queira criar um domínio d e-mail pra mim para o Outlook

Pode colocar como Mfneres@moovbet.com.br

‎

‎

‎

Aaaaa otimo

Quais tecnologias vc usa

Aws, Git, Github, oq mais?

‎

‎

‎

Ok

Perfeito

Ótimo

Tranquilo, nos vamos conversando

No início é assim mesmo mas com o tempo vamos pegando o embalo

Fechou

Depois d criar os acessos vc me dá um toque

Outlook é o pacote office

E-mail corporativo

Kk tendeu?

Ou n existe ainda um e-mail corporativo, se n existe de boa, a gente se comunica via Google meet e WhatsApp msm

Aaaa bele

Aa legal, n nunca usei esse Gsuite

Aaaaa legal kkkk diferente

Okaay

Fechou ent

‎

Igualmente

Bom dia Rodrigo td bem?

Também garças a Deus

Rodrigo podemos fzr uma callzinha?

Okaay

Aí sim kk tem treino, só q a noite

Bom treino😎

Kkk

Hj é peito

Segunda né kkk

Sim, prefiro ate

Mais ágil

‎

‎

‎

‎

O DevOps é um executor técnico, mas ele não tem a visão estratégica para identificar riscos, definir prioridades ou validar conformidades críticas como LGPD, ISO 27001 e frameworks de segurança. Sem minha orientação, o risco de brechas ou configurações inseguras aumenta exponencialmente. Eu lidero a implementação de segurança — o DevOps é um aliado técnico para executar o que eu projeto, mas é a minha expertise que protege a empresa de incidentes e garante que as soluções sejam aplicadas corretamente, priorizando o que realmente importa para o negócio.

No contexto de Desenvolvimento Seguro e IAM, sou a peça-chave que conecta as equipes técnicas ao objetivo maior: proteger a empresa contra falhas, reduzir riscos e garantir conformidade com as regulamentações. Sem a minha expertise, as implementações podem ser feitas de forma isolada, sem atender aos padrões de segurança exigidos. O DevOps, por mais competente que seja, é apenas uma parte do processo. Ele precisa de uma liderança que defina o caminho e interprete os riscos de forma estratégica. É o meu papel liderar, direcionar e validar que tudo esteja em conformidade — garantindo que o resultado final seja seguro e alinhado às prioridades da empresa.

sem problemas, me manda assim q possível o contato de alguém q administra o Git, e outros acessos necessários.

que a gente implementa🫡

É assim q o mercado funciona, entende? Você pode até conversar com outra pessoa, mas vc terá 3 opções: -Ou um profissional Especializado em Segurança da Informação (no caso eu) -Ou um mentiroso que diz que sabe fazer tudo e so quer seu dinheiro (Diz q sabe segurança, diz q sabe programação, sabe absolutamente td, e isso n existe em tecnologia) -Ou um cara de 30 anos d mercado q vai cobrar 100 dólares há hora no mínimo Inclusive no meu projeto de criptomoeda teve um Dev q so mentiu, diz q fazia td e etc, mas noi final so tirou nossa capital

quando eu disse sobre eu poder chamar um colega Devops, é pq é apenas uma sugestão rsrs entende? Sugestão de alguém com essa experiencia em mercado

maaaaaaaaaaaas se não da, n tem problema! Nós jogamos com as cartas que tenho

so preciso dos acessos que vejo o que da pra ser feito 🫡 Consegue hoje ainda?

‎Seu código de segurança com Mauricio mudou.

Oii Rodrigo

Aqui é o Mauricio de Cyber, está lembrado?

Preciso falar ctg

‎Mensagem apagada