Visão Geral da Plataforma
O Elven Assessment avalia a postura de segurança, conformidade e custo dos seus ambientes de TI, gerando um relatório detalhado com findings, score e plano de ação. Esta página explica os conceitos fundamentais que você encontrará em toda a plataforma.
Tipos de assessment
| Tipo | O que avalia | Requisito |
|---|---|---|
| Nuvem (AWS/GCP/Azure/OCI/Magalu) | Configuração de recursos: IAM, rede, storage, banco, Kubernetes, etc. | Credenciais de API da nuvem |
| Código-Fonte | Qualidade, segurança, testes, dependências, DevOps, observabilidade, etc. | Token de acesso ao repositório Git |
| Banco de Dados | Configuração, permissões, backups, criptografia, auditoria | Coletor executado na rede interna (Enterprise) |
Conceitos-chave
Finding
Um finding é um problema detectado durante o assessment — por exemplo, um bucket S3 público, uma senha fraca no banco de dados ou uma dependência com vulnerabilidade crítica.
Cada finding contém:
- Título — descrição curta e objetiva do problema
- Severidade — nível de risco (veja abaixo)
- Recurso afetado — qual serviço ou arquivo apresentou o problema
- Descrição — detalhes técnicos do que foi encontrado
- Impacto — o que pode acontecer se o problema não for corrigido
- Mapeamento de conformidade — quais controles de CIS, SOC2, PCI-DSS, LGPD ou OWASP são violados
- Guia de remediação — passo a passo para corrigir
Severidade
| Nível | Cor | Significado |
|---|---|---|
| Critical | Vermelho escuro | Risco imediato; exploração ativa possível. Corrija em até 24h. |
| High | Vermelho | Risco elevado; janela de exploração ampla. Corrija em até 7 dias. |
| Medium | Laranja | Risco moderado. Corrija em até 30 dias. |
| Low | Amarelo | Risco baixo; boas práticas não seguidas. Corrija conforme disponibilidade. |
| Info | Azul | Informativo; sem risco imediato. Considere como melhoria futura. |
Score (0–100)
O score representa a saúde geral do ambiente avaliado. É calculado com base no número e severidade dos findings encontrados, ponderado pelo tamanho do ambiente.
| Faixa | Interpretação |
|---|---|
| 90–100 | Excelente — ambiente bem configurado |
| 75–89 | Bom — poucos pontos de atenção |
| 50–74 | Regular — melhorias necessárias |
| 25–49 | Ruim — riscos significativos presentes |
| 0–24 | Crítico — ação imediata necessária |
O score é calculado por pilar (ex.: Segurança, Confiabilidade, Custo) e também de forma consolidada.
Pilares
Os findings são agrupados em pilares temáticos. Para nuvem, os principais pilares são:
- Segurança — IAM, criptografia, exposição de recursos, senhas
- Confiabilidade — backups, redundância, auto-scaling, recuperação
- Custo — recursos superdimensionados, instâncias ociosas, snapshots antigos
- Operações — logs, monitoramento, alertas, automação
- Conformidade — aderência a CIS, SOC2, PCI-DSS, LGPD
Para código-fonte, os pilares são: Qualidade, Segurança, Testes, Dependências, Arquitetura, DevOps, Observabilidade, Documentação, Governança, Performance/Resiliência.
Fluxo básico de uso
1. Configurar credenciais
↓
2. Executar o assessment
↓
3. Responder o questionário organizacional
↓
4. Visualizar os resultados
↓
5. Exportar relatório / criar plano de ação
Passo 1 — Credenciais: Forneça as chaves de acesso ao ambiente que será avaliado (IAM Role para AWS, Service Account para GCP, etc.).
Passo 2 — Execução: A plataforma se conecta via API às nuvens e coleta a configuração de todos os recursos selecionados. Para código-fonte, clona o repositório em um sandbox seguro.
Passo 3 — Questionário: 36 perguntas sobre controles organizacionais que não podem ser detectados automaticamente (ex.: "há processo de revisão de acesso semestral?").
Passo 4 — Resultados: Score, findings, compliance, rightsizing e sumário executivo ficam disponíveis na interface.
Passo 5 — Exportação: Baixe Excel completo, PowerPoint executivo, PDF ou exporte findings diretamente para Jira/GitHub Issues.
Papéis de usuário (RBAC)
| Papel | O que pode fazer |
|---|---|
| Admin | Acesso total: executar assessments, gerenciar usuários, agendamentos, log de auditoria, excluir histórico |
| Editor | Executar assessments, editar agendamentos e allowlists. Não gerencia usuários nem acessa auditoria |
| Viewer | Somente leitura: visualiza resultados, histórico e benchmark. Não executa novos assessments |
Modo single-tenant vs. multi-tenant
Em modo single-tenant (padrão), todos os usuários compartilham o mesmo workspace. Em modo multi-tenant, cada organização tem seu espaço isolado, e um usuário pode ser membro de múltiplos tenants com papéis diferentes em cada um.
Frameworks de conformidade suportados
| Framework | Descrição |
|---|---|
| CIS Benchmarks | Center for Internet Security — melhores práticas de configuração por serviço |
| SOC2 | Trust Services Criteria — confidencialidade, disponibilidade, integridade, privacidade |
| PCI-DSS | Payment Card Industry — requisitos para ambientes que processam cartões |
| LGPD | Lei Geral de Proteção de Dados — controles de privacidade e dados pessoais |
| OWASP-ASVS | Application Security Verification Standard — focado em código-fonte |
Dica para auditorias
Use a aba Compliance nos resultados para filtrar findings por framework e gerar evidências para auditores externos.