# Acesso Remoto para Terceiros

Este guia descreve o procedimento para configurar e utilizar o acesso remoto de terceiros (fornecedores, prestadores de serviço e parceiros) através do DataDike PAM (FSafer). O objetivo é garantir que o acesso de usuários externos seja controlado, monitorado e aderente às políticas de segurança da organização.

{% hint style="info" %}
O acesso remoto de terceiros no DataDike PAM permite que usuários externos acessem recursos internos da organização (servidores, bancos de dados, aplicações) de forma segura, sem necessidade de VPN, utilizando sessões controladas, gravadas e com princípio de menor privilég
{% endhint %}

### Pré-Requisitos

1. O DataDike PAM (FSafer) está instalado e acessível via navegador web.
2. Você possui privilégios de administrador (SysAdmin) no PAM.
3. Os dispositivos/credenciais alvo já estão cadastrados no PAM.
4. O terceiro possui um e-mail corporativo válido para receber o link de acesso.
5. O módulo de autenticação multifator (MFA) está habilitado.

### Fluxo Geral do Acesso de Terceiros

| Etapa | Ação                                                          | Responsável              |
| ----- | ------------------------------------------------------------- | ------------------------ |
| 1     | Solicitação de acesso pelo gestor ou área responsável         | Gestor / Solicitante     |
| 2     | Aprovação da solicitação no workflow do PAM                   | Aprovador (TI/Segurança) |
| 3     | Cadastro do usuário terceiro e configuração de permissões     | Administrador PAM        |
| 4     | Envio do link de acesso seguro ao terceiro (e-mail/SMS)       | Sistema (automático)     |
| 5     | Terceiro acessa o link, autentica via MFA e inicia a sessão   | Usuário Terceiro         |
| 6     | Sessão é gravada e monitorada em tempo real                   | Sistema / Auditor        |
| 7     | Acesso é encerrado (expiração automática ou revogação manual) | Sistema / Administrador  |

### Configuração pelo Administrador

#### Cadastrar o Usuário Terceiro

1. Acesse o DataDike PAM via navegador e faça login com suas credenciais de administrador.
2. Navegue até **Configurações > PAM > Usuários > Criar**
3. Preencha os dados do terceiro: **Nome completo**, **E-mail corporativo**, **Telefone**, **Empresa** de origem e **Perfil de acesso**.
4. Defina o tipo de usuário como **"Terceiro"** ou **"Externo"**.
5. Salve o cadastro.

#### Configurar Permissões e Restrições de Acesso

Após o cadastro, associe o usuário terceiro aos dispositivos e credenciais que ele poderá acessar. Defina as restrições:

| Restrição             | Descrição                                                                |
| --------------------- | ------------------------------------------------------------------------ |
| **Período de acesso** | Data de início e fim do acesso (ex: 07/04/2026 a 14/04/2026)             |
| **Horário permitido** | Faixa de horário em que o acesso é permitido (ex: 08:00 às 18:00)        |
| **Dias da semana**    | Dias específicos em que o acesso é liberado (ex: segunda a sexta)        |
| **Geolocalização**    | Restrição por IP de origem ou localização geográfica                     |
| **Protocolos**        | Tipos de sessão permitidos: SSH, RDP, VNC, HTTPS, Database               |
| **Duração máxima**    | Tempo máximo por sessão (ex: 4 horas). Sessão encerrada automaticamente. |

Habilite a **gravação de sessão** (recomendado: obrigatório para terceiros) e salve.

#### Gerar e Enviar o Link de Acesso

1. No perfil do usuário terceiro, clique em **"Gerar Link de Acesso Remoto"**.
2. O sistema gerará um link único e temporário de acesso.
3. Selecione o método de envio: **E-mail** ou **SMS**.
4. O terceiro receberá o link com instruções de acesso. O link expira conforme o período definido.

### Acesso pelo Usuário Terceiro

#### Acessar o Link Recebido

1. Abra o e-mail recebido do DataDike PAM com o assunto "Acesso Remoto — DataDike".
2. Clique no link de acesso ou copie e cole a URL no navegador.
3. Navegadores compatíveis: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera e Safari.

#### Autenticar-se

1. Na tela de login do DataDike PAM, insira o token recebido via e-mail ou SMS.
2. Complete a autenticação multifator (MFA) conforme solicitado.
3. Após autenticar, você será direcionado ao painel de acesso remoto do DataDike.

#### Iniciar uma Sessão Remota

1. No painel, você verá a lista de dispositivos e credenciais disponibilizados para você.
2. Selecione o dispositivo desejado e o tipo de sessão (SSH, RDP, VNC, Database, etc.).
3. A sessão remota será iniciada diretamente no navegador. Não é necessário instalar nenhum agente ou software adicional.
4. Ao finalizar o trabalho, encerre a sessão utilizando o botão "Encerrar Sessão" no painel.

#### Tipos de Sessão Suportados

| Protocolo      | Uso Típico                                 | Acesso Via                     |
| -------------- | ------------------------------------------ | ------------------------------ |
| **SSH**        | Servidores Linux, equipamentos de rede     | Navegador web (terminal)       |
| **RDP**        | Servidores e estações Windows              | Navegador web (desktop remoto) |
| **VNC**        | Desktops remotos                           | Navegador web                  |
| **Database**   | SQL Server, Oracle, MySQL, PostgreSQL      | Navegador web (query)          |
| **HTTPS**      | Aplicações web e consoles de gerenciamento | Navegador web                  |
| **Kubernetes** | Clusters Kubernetes                        | Navegador web (kubectl)        |

### Monitoramento e Auditoria

Todas as sessões de terceiros são automaticamente monitoradas e gravadas pelo DataDike PAM:

* **Gravação de sessão em vídeo** — todas as ações são gravadas e podem ser reproduzidas para auditoria.
* **Monitoramento em tempo real** — administradores podem acompanhar sessões ativas e encerrá-las imediatamente se necessário.
* **Logs de auditoria** — registro de comandos executados, arquivos acessados e tentativas de acesso.
* **Alertas de atividade anômala** — notificações automáticas para atividades fora do padrão.
* **Revogação imediata** — possibilidade de revogar todas as sessões ativas de um terceiro a qualquer momento.

### Encerramento e Revogação de Acesso

O acesso do terceiro é encerrado automaticamente nas seguintes situações:

* Expiração do período de acesso definido na configuração.
* Atingimento do tempo máximo de sessão.
* Revogação manual pelo administrador.
* Detecção de atividade suspeita pelo sistema.

Para revogar manualmente, acesse o painel de sessões ativas do PAM, localize o usuário terceiro e clique em **"Revogar Acesso"**.

### Boas Práticas de Segurança

* Sempre aplique o **princípio de menor privilégio**: conceda apenas os acessos estritamente necessários.
* Defina períodos de acesso com prazo determinado (**Just-In-Time**). Evite acessos permanentes para terceiros.
* Exija **autenticação multifator (MFA)** para todos os acessos externos.
* Habilite a **gravação de sessão obrigatória** para todas as conexões de terceiros.
* Realize **revisões periódicas** dos acessos concedidos a terceiros.
* Restrinja o acesso por **horário, dia da semana e geolocalização** sempre que possível.
* Monitore os **alertas de atividade anômala** e investigue quaisquer notificações.