Padrões de Segurança
Última revisão em: 9 de maio de 2018

I.  Medidas técnicas e organizacionais

O nosso compromisso é de proteger as informações dos nossos clientes.  Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco para os direitos e as liberdades de pessoas naturais, realizamos as seguintes medidas técnicas e organizacionais.  Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Uma rápida recuperação após um incidente físico ou técnico é garantida.

Nosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.

1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”  

Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:   

Segurança física  

• Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.) 
• Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão  
• Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)  
• Gerenciamento de acesso ao visitante 
• Destruição de dados em mídia física e documento (trituração, neutralização etc.) 

Controle de acesso e Prevenção de acesso não autorizado

• Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos  
• Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.) 
• Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)   
• Acesso controlado a emails e à Internet 
• Gerenciamento de antivírus  
• Gerenciamento do sistema de prevenção contra intrusão  

Criptografia  

• Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes  
• Criptografia de dados de PII/SPII em repouso (bancos de dados, diretórios compartilhados etc.)   
• Criptografia completa de disco para PCs e laptops da empresa   
• Criptografia de mídia de armazenamento  
• Conexões remotas com as redes da empresa são criptografadas via VPN  
• Proteção do ciclo de vida das chaves de criptografia  

Minimização de dados

• Minimização de PII/SPI em logs de aplicativos, depuração e segurança  
• Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo 
• Segregação de dados armazenados por função (teste, preparação, ativação) 
• Segregação lógica de dados por função com base em direitos de acesso 
• Períodos de retenção de dados definidos para dados pessoais  

Teste de segurança

• Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais 
• Verificações regulares de rede e vulnerabilidade   

2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”  

Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:    

Gerenciamento de alteração e versão  

• Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc  
• Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção    

Registro de log e monitoramento

• Login de acesso e alterações nos dados  
• Auditoria centralizada e logs de segurança   
• Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)    

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”    

Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:    

• Testes regulares de failover aplicados a serviços críticos  
• Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos  
• Programa de resposta a incidentes  
• Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.) 
• Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)   
• Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes    
• Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede  
• Alarme, sistemas de segurança em uso  
• Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.) 
• Proteção DDOS para manter a disponibilidade   
• Teste de carga e estresse  

4. Instruções de processamento de dados. "As instruções de processamento de dados referem-se a garantir que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas da empresa relacionadas"  

Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.   

• Termos de privacidade e confidencialidade em vigor nos contratos de funcionários 
• Treinamentos regulares de privacidade e segurança de dados para funcionários 
• Disposições contratuais adequadas para os contratos com os subcontratantes para manter os direitos de controle instrucional 
• Verificações regulares de privacidade para provedores de serviço externos 
• Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados 
• Auditorias de segurança regulares