CENTRO DE CONFIANÇA E SEGURANÇA

Segurança

Como uma empresa de software, a segurança é a base de tudo o que fazemos. Investimos pesadamente na segurança de nossos produtos de software e sistemas internos. Nosso modelo de segurança e controles são baseados em padrões internacionais e melhores práticas da indústria, como ISO 27001, ISO 27018 e OWASP Top 10.

​

Segurança da Infraestrutura

• Hospedamos nossos sistemas em múltiplas Zonas de Disponibilidade na Amazon Web Services (AWS), permitindo-nos fornecer um serviço confiável e manter seus dados disponíveis sempre que você precisar. Outra região da AWS é configurada como um local de recuperação de desastres.

• Os data centers da AWS implementam medidas de segurança física e ambiental para garantir uma infraestrutura altamente resiliente. Para mais informações sobre suas práticas de segurança, consulte a Segurança da AWS.

• Nossa infraestrutura usa Virtual Private Cloud (VPC) para isolar e segmentar ambientes de clientes e Listas de Controle de Acesso à Rede / Grupos de Segurança para controlar o tráfego de entrada e saída nos níveis de sub-rede e instância.

• Nosso site é protegido e monitorado pela solução sucuri.net contra remoção de malware e hacks, Firewall de Aplicação Web (WAF), monitoramento e remoção de listas de bloqueio, suporte e monitoramento de SSL, bloqueio de ataques DDoS em camadas 3, 4 e 7, Proteção de Firewall, Disponibilidade Alta/Balanceamento de Carga.

​

Controle de Acesso

• Todo acesso aos servidores é autenticado contra nosso Provedor de Identidade (IdP), totalmente auditado, e com um mecanismo de Autenticação Multifator (MFA). • É usado um modelo de Controle de Acesso Baseado em Função (RBAC) para garantir permissões apropriadas, com base no princípio do menor privilégio. • O acesso aos ativos de produção é concedido com base na função e de acordo com os princípios do necessário saber e do menor privilégio.

​

Segurança da Aplicação

• É utilizada a arquitetura de microsserviços, e nossas aplicações são totalmente containerizadas, com o Kubernetes usado para orquestração; proporcionando alta escalabilidade e confiabilidade.

• A infraestrutura-como-código é amplamente utilizada para garantir a auditabilidade e a manutenção dos recursos de infraestrutura.

• Nossas aplicações são desenvolvidas de acordo com o framework OWASP Top 10, e todo o código é revisado por pares antes da implantação na produção.

• Nossos processos de desenvolvimento e CI/CD incluem gerenciamento de licenças, verificações pré/pós-commit, varreduras de segredos, análise de código estático, varreduras de vulnerabilidades de dependências de terceiros, testes de ponta a ponta, testes unitários e varredura de códigos maliciosos. •

• As vulnerabilidades são classificadas com base em seu nível de risco e mitigadas de acordo com prazos predefinidos.

• Treinamento de segurança periódico é realizado para manter nossas equipes de P&D atualizadas com as melhores práticas e ferramentas de desenvolvimento seguro.

​

​

​

Garantia de Qualidade

• Teste de Autenticação e Autorização

  • Validar que todas as autenticações, funções de usuário e controles de acesso estão funcionando de forma segura.

• Testes de Gerenciamento de Sessão

  • Verificar problemas como fixação de sessão, sequestro, expiração e término.

• Testes de Validação de Dados

  • Testar campos de entrada para prevenir ataques de injeção como injeção de SQL, injeção de XML e injeção de comando. Validar os dados de entrada para garantir que atendam aos formatos e padrões esperados.

• Testes de Criptografia

  • Testar algoritmos de criptografia e protocolos usados para proteger dados sensíveis em trânsito e em repouso.

  • Verificar se as chaves de criptografia são gerenciadas e armazenadas de forma segura.

• Testes de Manipulação de Erros e Registro

  • Avaliar como o aplicativo lida com erros e exceções para prevenir vazamentos de informações. o Verificar se informações sensíveis não são registradas ou exibidas em mensagens de erro.

• Testes de Configuração de Segurança

  • Revisar configurações de servidor e aplicativo para melhores práticas de segurança.

  • Garantir que as configurações padrão sejam alteradas, que serviços desnecessários estejam desativados e que as atualizações de segurança estejam atualizadas.

• Testes de Segurança de API

  • Testar APIs em busca de vulnerabilidades, como referências a objetos diretos inseguros, autenticação insuficiente e exposição excessiva de dados.

  • Verificar se as APIs aplicam autorização e controles de acesso adequados.

​

Criptografia de Dados

• Dados em trânsito são criptografados usando TLS com uma suíte de cifras moderna.

• Dados em repouso são criptografados usando AES-256. As chaves de criptografia são gerenciadas no AWS Key Management Service.

• Credenciais são hashadas e salgadas usando uma função de hash segura.

​

Proteção de Endpoint

• A tecnologia de Detecção e Resposta de Endpoint (EDR) é implantada em todos os endpoints para garantir detecção proativa de ameaças e capacidades de resposta rápida.

• A solução de EDR fornece visibilidade em tempo real das atividades de nossos endpoints, permitindo a detecção rápida e contenção de comportamentos suspeitos ou possíveis violações de segurança.

• O monitoramento contínuo dos endpoints por um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) gerenciado junto com um Centro de Operações de Segurança (SOC) garante vigilância 24 horas por dia contra ameaças cibernéticas e garante que incidentes de segurança sejam prontamente identificados, investigados e remediados para minimizar impactos e proteger dados sensíveis.

• A integração do EDR com a infraestrutura de SIEM/SOC gerenciada aprimora a correlação de inteligência de ameaças, permitindo estratégias avançadas de caça e mitigação de ameaças.

• Com capacidades de monitoramento e resposta 24/7, defendemos proativamente contra ameaças cibernéticas em constante evolução, proporcionando tranquilidade a nossos stakeholders e clientes.

​

Auditorias de Segurança e Testes de Penetração

• Auditorias de segurança são realizadas anualmente tanto no nível de aplicação quanto no nível de infraestrutura.

• Testes de penetração são realizados na versão final antes da implantação no ambiente de produção.

• Estamos passando por auditorias externas como parte das certificações ISO e outras auditorias externas.

​

Recuperação de Desastres e Backups

• Fazemos backup dos dados do usuário a cada X minutos.

• Todos os backups são criptografados e distribuídos para vários locais.

• Mantemos um Plano de Recuperação de Desastres (DRP) para lidar com desastres que afetam nosso ambiente de produção, que inclui a restauração da funcionalidade central do serviço a partir de nosso local dedicado de DR.

• Testes de DR são realizados pelo menos anualmente. Os testes de DR podem ser na forma de uma simulação, um desastre simulado ou teste de componentes.

​

Resposta a Incidentes

• Nosso plano de resposta a incidentes (IRP) estabelece diretrizes para detectar incidentes de segurança e privacidade, escalá-los para o pessoal relevante, comunicação (interna e externa), mitigação e análise pós-mortem.

• Nossa Equipe de Resposta a Incidentes (IRT) é composta por representantes de Segurança, P&D, Jurídico e, se necessário, uma empresa de resposta a incidentes de terceiros.

​

Conscientização e Treinamento em Segurança

• Nossos funcionários passam por treinamento completo de conscientização em segurança da informação.

• Além disso, treinamento em segurança é fornecido periodicamente.

​

Transparência

A transparência é a força orientadora por trás de nossos princípios de segurança e privacidade. Compartilhamos todas as nossas políticas com nossos clientes para que você sempre saiba como mantemos suas informações seguras e cumprimos com as leis, normas e regulamentos locais e internacionais.

• Política de Segurança da Informação 

• Política de Plano de Recuperação de Desastres

​

Privacidade

Estamos totalmente comprometidos em proteger a privacidade de nossos clientes, bem como os dados sensíveis dos funcionários que nossos produtos coletam e analisam. Alguns aspectos-chave do nosso programa de privacidade:

• Coletamos apenas os dados mínimos dos funcionários necessários para que nosso software funcione efetivamente.

• Todos os dados dos funcionários são criptografados em trânsito e em repouso. Utilizamos protocolos e técnicas de criptografia padrão do setor.

• O acesso aos dados dos funcionários é limitado apenas aos engenheiros que precisam deles para desenvolvimento, teste e solução de problemas.

• Nossa política de privacidade comunica claramente quais dados coletamos, como são usados, por quanto tempo são retidos, etc.

​

​

Cumprimento e certificações.

​

Adaptar-se aos requisitos legais, regulatórios e contratuais é vital para o nosso negócio.

• Nossos produtos RISK-HR e EmoRisk permitem que os clientes atendam às suas obrigações de conformidade no local de trabalho em torno da triagem e monitoramento de funcionários.

• Acompanhamos continuamente as leis de privacidade e de emprego em todas as nossas jurisdições de operação. Nossos produtos e políticas são projetados para estar em conformidade.

• Nosso programa de conformidade inclui auditorias, avaliações de risco e revisões de políticas. Temos responsabilidade clara pelas atividades de conformidade.

• A Logical Commander segue os padrões internacionais da ISO (Organização Internacional de Normalização) e gerencia sua segurança da informação, serviço em nuvem e privacidade de acordo.

Somos auditados por uma terceira parte independente anualmente e mantemos os seguintes certificados: