O presente documento tem como foco principal apresentar como a Política de Segurança Cibernética da DataforAll está estruturada, esta é a principal política desta temática e nela são apresentadas as principais diretrizes dessa área. É importante comentar que podem existir outras políticas relacionadas onde algum tema pode ser melhor detalhado, mas a nova política especializada será referenciada neste documento.
Este documento deve ser lido em conjunto com os nossos Termos de Uso, que contém uma visão geral do nosso site. Caso tenha dúvidas ou precise tratar de qualquer assunto relacionado a esta Política, entre em contato conosco através do contato@dataforall.com.br.
Para facilitar sua compreensão, a presente Política está dividida da seguinte forma:
1 . OBJETIVO
2 . VIGÊNCIA
3 . PRINCÍPIO DE SEGURANÇA DA INFORMAÇÃO
4 . CONFIDENCIALIDADE DAS INFORMAÇÕES
5 . GESTÃO DE ACESSOS ÀS INFORMAÇÕES
5.1.Autenticação
5.2. Gestão de Incidentes de Segurança da Informação
5.3.Prevenção a Vazamento de Informação
5.4.Teste de Intrusão
5.5.Varredura de Vulnerabilidade
5.6.Controle Contra Software Malicioso
5.7.Criptografia
5.8.Rastreabilidade
5.9.Segmentação de Rede
5.10Desenvolvimento Seguro
5.11.Cópia de Segurança (Backup)
6 . CONTINUIDADE DOS NEGÓCIOS
7 . PROCESSAMENTO, ARMAZENAMENTO DE DADOS E COMPUTAÇÃO EM NUVEM
8 . PRINCIPAIS RECOMENDAÇÕES DE SEGURANÇA AOS CLIENTES E PARCEIROS
8.1.Autenticação e Senha
8.2.Antivírus
8.3.Engenharia Social
8.4.Phishing
8..5.SPAM
9 . COMUNICAÇÃO
10 . DEFINIÇÕES
11 . COMO VOCÊ PODE ENTRAR EM CONTATO CONOSCO?
A seção a seguir descreve o(s) principal(is) objetivo(s) deste documento e como ele pode influenciar o dia a dia da DataforAll.
1 . OBJETIVO
A Política de Segurança Cibernética (PSC) da DataforAll tem como objetivo garantir a proteção, integridade, disponibilidade, privacidade e confidencialidade dos dados e informações que estão sob propriedade e/ou guarda nos seus repositórios de dados. Também se tem como foco detectar e reduzir vulnerabilidades a incidentes em ambientes digitais (cibernéticos), bem como atuar na sua prevenção.
Para que seja possível atingir os objetivos apresentados foram definidos regras, políticas, métodos e procedimentos que são aplicadas em todos os níveis organizacionais e que demonstram os princípios fundamentais incorporados pela DataforAll para a obtenção dos princípios de segurança da informação.
É importante mencionar que este documento não é focado em atender a pré-requisitos da Lei Geral de Proteção de Dados (LGPD), mas a utiliza como embasamento para a construção das suas definições, se mantendo totalmente alinhado com a mesma.
2 . VIGÊNCIA
A presente Política entra em vigor em 01 de abril de 2022 e possui prazo indeterminado, é revisada anualmente, sempre no mês de dezembro ou, quando necessário, caso exista qualquer tipo de mudança nas normas e regras adotadas pela DataforAll, bem como em alterações nos aspectos regulatórios.
3 . PRINCÍPIO DE SEGURANÇA DA INFORMAÇÃO
A DataforAll é uma empresa que tem como objetivo a entrega de inteligência de dados através da nossa Plataforma Web (DataforAll Platform) e Professional Services, e para isso se faz necessário todos os dados e informações sejam tratados como ativos, tratando-os com muita responsabilidade para que se possa fazer uma entrega de dados, informações e inteligências de forma segura para os seus clientes e parceiros.
A Segurança da Informação é um assunto levado a sério pela DataforAll e estamos fundamentados nos princípios da segurança da informação e da Lei Geral de Proteção de Dados (LGPD) bem como nas ISO 27001 e 27002, de tal modo que a integridade, confidencialidade e disponibilidade dos dados sejam tratadas, além de ter o monitoramento de toda a infraestrutura de servidores para minimizar impactos em caso de ataques cibernéticos.
4 . CONFIDENCIALIDADE DAS INFORMAÇÕES
O acesso aos dados e as informações dos clientes, incluindo dados pessoais, fica restrito aos colaboradores previamente autorizados e acordados com o cliente. Esse acesso está ligado ao processo de manutenção da infraestrutura de dados contratada e/ou com os serviços disponibilizados.
Os dados entendidos como sensíveis e/ou pessoais são devidamente criptografados para que não seja possível visualizá-los num possível acesso aos bancos de dados. O uso dessas informações é restrito para a realização de uma tarefa e/ou serviço ligado à DataforAll.
A DataforAll segue os princípios do mínimo privilégio necessário da segurança da informação, ou seja, todo colaborador parte sem acesso ao ambiente e aos dados de cliente, esse privilégio só será dado se o mesmo for necessário para a execução da sua tarefa e/ou serviço.
5 . GESTÃO DE ACESSOS ÀS INFORMAÇÕES
Os dados internos da DataforAll são mantidos dentro do ambiente Google Workplace, tendo o Confluence como gerenciador das coleções de documentos como: atas de reuniões, planos de ação, políticas relacionadas com segurança e/ou dados, planos de ações, manuais e documentos de especificações.
A plataforma da DataforAll hoje está hospedada na AWS e são disponíveis usuários para cada um dos colaboradores que necessitam ter acesso ao ambiente, sempre utilizando a máxima do mínimo privilégio necessário, onde todos os acessos são mapeados e monitorados a partir de ferramentas de log.
5.1 Autenticação
A DataforAll possui políticas de senhas construídas para guiar os colaboradores na construção de senhas fortes e utilização de cofres de senha para apoiar a gestão de senhas fortes.
Os acessos aos ambientes são feitos a partir de credenciais individuais que esteja respeitando as políticas de senhas e com a função de rastreio (logs de acesso e operações) atividades, para que seja possível a identificação de acesso de pessoas não autorizadas, ou possíveis vazamentos de senha entre outras ações.
Todas as senhas devem ser renovadas a cada 6 meses, sendo que são aceitas apenas senhas fortes, todo acesso às informações e ao ambiente são imediatamente revogadas em casa de desligamento ou afastamento, bem como devidamente ajustadas em caso de mudança de função.
5.2 Gestão de Incidentes de Segurança da Informação
A gestão de incidentes de segurança da informação é realizada com o monitoramento e ações preventivas para evitar que incidentes venham a ocorrer, caso algum incidente dessa natureza ocorra, existem Planos de Ação de Incidentes (PAI) previamente planejados para que os impactos dos incidentes sejam contidos, os dados possam ser recuperados e lições são aprendidas para que a recorrência seja evitada.
Os Planos de Ação de Incidentes possuem pessoas específicas para a sua execução e eles são divulgados para toda a organização, de modo que seja de conhecimento de todos o local do seu armazenamento e quem são os colaboradores responsáveis pela sua execução.
A seguir são listados os Planos de Ação de Incidentes (PAI) desenvolvidos e disponíveis para os colaboradores:
5.3 Prevenção a Vazamento de Informação
Controles são utilizados para prevenir que informações, sejam elas confidenciais ou não, sejam mal utilizadas, perdidas, roubadas, adulteradas ou venham a se tornar informações públicas.
Os controles utilizados englobam desde treinamentos e conscientização de colaboradores a ferramentas automatizadas de prevenção.
5.4 Teste de Intrusão
Testes de intrusão na infraestrutura na nuvem e na aplicação devem ser realizados por uma equipe externa, contratada para a tarefa seguindo cronograma de testes, escopo e demais detalhes para a execução do teste de intrusão definido em contrato.
Todo teste de intrusão deve gerar no mínimo dois relatórios, um com teor técnico e outro com teor gerencial. São executados pelo menos um teste de intrusão por ano para garantir que os recursos de segurança permanecem efetivos, tanto para acessar a plataforma de dados como o próprio ambiente.
5.5 Varredura de Vulnerabilidade
As varreduras de vulnerabilidades são executadas em conjunto com os testes de intrusão, ou isoladamente, garantindo a mitigação de possíveis vulnerabilidades que possam ser encontradas em procedimentos de enumeração de vulnerabilidades executados por um criminoso.
As vulnerabilidades encontradas serão classificadas e tratadas de acordo com o nível de criticidade que forem classificadas.
5.6 Controle Contra Software Malicioso
Os colaboradores da DataforAll, bem como os terceiros, devem adequar os seus equipamentos às políticas de antivírus e de controle contra software maliciosos, levando em consideração o Sistema Operacional utilizado e a natureza das atividades que desempenha.
Além dos softwares, que devem ser instalados nas máquinas de trabalho dos colaboradores, se faz necessário a elaboração e aplicação recorrente de treinamentos para disseminar as boas práticas e a necessidade de se ter um ambiente de desenvolvimento protegido.
5.7 Criptografia
Para dados sensíveis e/ou pessoais são aplicados algoritmos de criptografia (AES-256) no processo do seu armazenamento em banco de dados, de modo que esse dado não possa ser consumido a partir de um acesso direto.
Todo o acesso às APIs da DataforAll são via protocolo HTTPS, tendo o seu canal aplicado certificados SSL/TLS, tornando o processo criptografado e seguro. Caso o cliente deseje uma camada extra de segurança para acesso e sincronização dos dados, pode-se aplicar um tunelamento de VPN P2P com criptografia dos dados.
A DataforAll adota em seus processos a criptografia em trânsito, que visa proteger as informações durante o seu transporte ou transmissão pela internet ou por redes de comunicação. Essa técnica consiste em codificar os dados de forma que somente o remetente e o destinatário legítimos possam entender o seu conteúdo, mantendo-os seguros contra interceptações e ataques de terceiros.
Ao utilizar a criptografia em trânsito, os dados são convertidos em uma forma ilegível durante o envio e são decodificados apenas pelo destinatário autorizado, que possui a chave de descriptografia correta. Isso garante a confidencialidade e integridade das informações, impedindo que sejam acessadas ou modificadas por indivíduos não autorizados.
Ressaltamos que os dados em repouso também são criptografados, isso quer dizer que a DataforAll também adota a criptografia para proteger as informações quando estão armazenadas ou “em repouso” em seus sistemas.
Isso implica que os dados são codificados e transformados em um formato ilegível antes de serem armazenados em dispositivos de armazenamento, como servidores, bancos de dados ou unidades de armazenamento em nuvem. Dessa forma, mesmo que alguém consiga acesso aos dados armazenados, eles não poderão ser compreendidos ou utilizados sem a chave de descriptografia correta.
A criptografia em repouso adiciona uma camada adicional de segurança para proteger os dados contra acesso não autorizado, caso haja violações de segurança física ou digital. Ela é especialmente importante em casos de roubo de dispositivos de armazenamento ou acesso não autorizado a servidores, pois os dados permanecem protegidos e ilegíveis para qualquer pessoa que não possua as chaves de descriptografia apropriadas.
5.8 Rastreabilidade
Todos os acessos geram logs demonstrando claramente a rastreabilidade de acesso aos dados e à infraestrutura, sendo possível facilmente implementar rotinas de monitoramento e alertas para tentativas de acesso indevido e operações executadas de maneiras erradas.
A persistência dos logs de acesso é garantida por pelo menos 6 meses, mas esse período pode ser tratado de maneira específica por projeto levando em consideração o cenário de segurança em questão.
5.9 Segmentação de Rede
Todos os colaboradores da DataforAll e terceiros são devidamente orientados e recebem treinamentos relacionados ao uso e equipamento de forma segura, não fazendo acesso a nenhum tipo de rede pública, nenhum site, software ou aplicativo que possa colocar em risco a segurança da comunicação dos demais colaboradores e terceiros com o Google Workspace da DataforAll ou a Infraestrutura na nuvem, bem como tornar tanto o Google Workspace ou a Infraestrutura na nuvem inseguros.
5.10 Desenvolvimento Seguro
A DataforAll pauta os seus processos de desenvolvimento nas boas práticas de programação e na busca pela conformidade com a metodologia OWASP, para garantir que a segurança da informação seja um pilar de todas as suas soluções desenvolvidas.
O acesso ao código-fonte e aos itens relacionados ao desenvolvimento de software na DataforAll é controlado com o intuito de prevenir a introdução de funcionalidades não autorizadas, bem como evitar mudanças não intencionais e manter a confidencialidade da propriedade intelectual.
As áreas de desenvolvimento, testes e produção devem ser bem estruturadas e os procedimentos que garantem essa estrutura devem ser seguidos para que os riscos de acessos ou modificações não autorizadas no ambiente de produção venham a acontecer.
5.11 Cópia de Segurança (Backup)
Todas as informações armazenadas no Google Workspace da DataforAll devem ser configuradas de modo que possam ser recuperadas em até 30 dias no caso de perda ou exclusão acidental.
As instâncias da infraestrutura na nuvem possuem snapshots dos últimos 15 dias para restauração e os dados armazenados são salvos em glacier por 1 ano.
Todas as atividades realizadas nas cópias de segurança devem gerar logs que devem possuir as informações necessárias para serem utilizados para auditoria ou estudo para uma possível recuperação dos dados perdidos.
6 . CONTINUIDADE DOS NEGÓCIOS
O processo de continuidade de negócios é implementado com o intuito de reduzir os impactos e perdas de ativos da informação após um incidente crítico a um nível aceitável, por meio do mapeamento de processos críticos, análise de impacto nos negócios e testes periódicos de recuperação de desastres.
Incluem-se nesse processo, a continuidade de negócios relativos aos serviços contratados na nuvem e os testes previstos para os cenários de ataques cibernéticos.
Procedimentos de segurança da informação estão inseridos nos planos de continuidade de negócios da DataforAll e devem ser seguidos, para garantir a segurança da informação mesmo em situações de crise ou de desastre.
O plano de continuidade de negócios da DataforAll contém procedimentos para a análise dos requisitos de segurança da informação e deve ser determinado, quando aplicável, os devidos ajustes para que os requisitos de segurança da informação possam ser usados como ferramenta para continuidade do negócio.
7 . PROCESSAMENTO, ARMAZENAMENTO DE DADOS E COMPUTAÇÃO EM NUVEM
Hoje todos os serviços de nuvem estão concentrados na AWS, todo o processo de armazenamento e processamento dos dados estão em conformidade com a Lei Geral de Processamento de Dados (LGPD). Como já mencionado para dados sensíveis e/ou pessoais é aplicado criptografia AES256 (ou compatível), o processo de obtenção do aceite para o armazenamento e processamento de dados pessoais devem ser garantidos pelo próprio cliente da DataforAll.
8 . PRINCIPAIS RECOMENDAÇÕES DE SEGURANÇA AOS CLIENTES E PARCEIROS
8.1 Autenticação e Senha
O cliente e parceiro é responsável pelos atos executados com suas credenciais (login / e-mail), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia.
Os seguintes cuidados quanto a segurança da da autenticação e segurança das senhas devem ser tomados pelos clientes e parceiros da DataforAll:
8.2 Antivírus
Os parceiros e clientes devem manter uma solução de antivírus instalada e atualizada nos equipamentos utilizados para acesso aos serviços oferecidos pela DataforAll. Além disso, manter o sistema operacional instalado nesses equipamentos atualizado com as últimas atualizações disponíveis.
8.3 Engenharia Social
A engenharia social, no contexto de segurança da informação, refere-se à técnica pela qual uma pessoa procura persuadir outra, muitas vezes abusando da ingenuidade ou confiança do usuário, objetivando ludibriar, aplicar golpes ou obter informações sigilosas.
Para evitar que um profissional ligado ao parceiro ou cliente da DataforAll seja persuadido com uma técnica de engenharia social, os clientes e parceiros devem efetuar treinamentos e/ou fornecer materiais de conscientização para prevenir esse tipo de acontecimento.
8.4 Phishing
É técnica utilizada por cibercriminosos para enganar usuários, através de envio de e-mails maliciosos, para obter informações pessoais e/ou confidenciais. As abordagens dos e-mails de phishing podem ocorrer das seguintes maneiras:
Para evitar que um profissional ligado ao parceiro ou cliente da DataforAll seja persuadido com uma técnica de phishing, os clientes e parceiros devem efetuar treinamentos e/ou fornecer materiais de conscientização para prevenir esse tipo de acontecimento
8.5 SPAM
São e-mails não solicitados, os quais geralmente são enviados para muitas pessoas, possuindo tipicamente conteúdo com fins publicitários. Além disso, os Spams estão diretamente associados a ataques de segurança, sendo eles um dos principais responsáveis pela propagação de códigos maliciosos, venda ilegal de produtos e disseminação de golpes.
Os parceiros e clientes da DataforAll devem fazer uso de todas as ferramentas disponíveis para que o recebimento desse tipo de e-mail seja bloqueado e que os profissionais ligados aos parceiros e clientes sejam orientados para agir de forma adequada quando receberem esse tipo de e-mail.
9 . COMUNICAÇÃO.
Qualquer indício de irregularidade no cumprimento das determinações desta Política serão alvo de investigação interna e deve ser comunicada imediatamente para a área de segurança da informação.
10 . DEFINIÇÕES
Informação Confidencial: Toda e qualquer informação patenteada ou não, verbal ou de qualquer modo apresentada, tangível ou intangível, podendo incluir, mas não se limitando a, de natureza técnica, operacional, comercial, financeira, jurídica, know-how, invenções, processos, fórmulas e desenhos, patenteáveis ou não, planos de negócios (business plans), métodos de contabilidade, técnicas e experiências acumuladas, planos comerciais, orçamentos, preços, planos de expansão, estratégias comerciais, descobertas, ideias, conceitos, técnicas, projetos, especificações, diagramas, modelos, amostras, fluxogramas, programas de computador, códigos, dados, códigos fonte, discos, disquetes, fitas, planos de marketing e vendas, qualquer informação de clientes, e quaisquer outras informações técnicas, financeiras, jurídicas e/ou comerciais relacionadas a DataforAll, seus clientes, parceiros, fornecedores e colaboradores.
11 . COMO VOCÊ PODE ENTRAR EM CONTATO CONOSCO?
Estaremos sempre à disposição para atendê-lo. Se você desejar obter mais informações, ou caso tenha restado alguma dúvida sobre essa Política, por favor, entre em contato conosco:
DataforAll Soluções Inteligentes LTDA
CNPJ: 28.489.410/0001-67
E-mail: contato@dataforall.com.br
Site: www.dataforall.com.br
Dados são nosso core
Tecnologia nossa ferramenta
Inteligência de negócios nossa expertise.
