Versões traduzidas de políticas e contratos jurídicos são fornecidas apenas como uma conveniência para facilitar a leitura e o entendimento das versões em inglês. O objetivo de fornecer traduções das políticas e contratos jurídicos não é criar um vínculo jurídico, e elas não são um substituto da validade legal das versões em inglês. Em caso de qualquer disputa ou conflito, as versões em inglês das políticas e contratos jurídicos regem, em qualquer caso, nossas relações e prevalecerão sobre os termos em qualquer outro idioma.
Padrões de Segurança
Última revisão em: 9 de maio de 2018
I. Medidas técnicas e organizacionais
O nosso compromisso é de proteger as informações dos nossos clientes. Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco para os direitos e as liberdades de pessoas naturais, realizamos as seguintes medidas técnicas e organizacionais. Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Uma rápida recuperação após um incidente físico ou técnico é garantida.
II. Programa de privacidade de dadosNosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.
1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”
Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:
Segurança física
- Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.)
- Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão
- Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)
- Gerenciamento de acesso ao visitante
- Destruição de dados em mídia física e documento (trituração, neutralização etc.)
Controle de acesso e Prevenção de acesso não autorizado
- Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos
- Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.)
- Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)
- Acesso controlado a emails e à Internet
- Gerenciamento de antivírus
- Gerenciamento do sistema de prevenção contra intrusão
Criptografia
- Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes
- Criptografia de dados de PII/SPII em repouso (bancos de dados, diretórios compartilhados etc.)
- Criptografia completa de disco para PCs e laptops da empresa
- Criptografia de mídia de armazenamento
- Conexões remotas com as redes da empresa são criptografadas via VPN
- Proteção do ciclo de vida das chaves de criptografia
Minimização de dados
- Minimização de PII/SPI em logs de aplicativos, depuração e segurança
- Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo
- Segregação de dados armazenados por função (teste, preparação, ativação)
- Segregação lógica de dados por função com base em direitos de acesso
- Períodos de retenção de dados definidos para dados pessoais
Teste de segurança
- Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais
- Verificações regulares de rede e vulnerabilidade
2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”
Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:
Gerenciamento de alteração e versão
- Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc
- Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção
Registro de log e monitoramento
- Login de acesso e alterações nos dados
- Auditoria centralizada e logs de segurança
- Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)
3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”
Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:
- Testes regulares de failover aplicados a serviços críticos
- Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos
- Programa de resposta a incidentes
- Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.)
- Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)
- Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes
- Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede
- Alarme, sistemas de segurança em uso
- Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.)
- Proteção DDOS para manter a disponibilidade
- Teste de carga e estresse
4. Instruções de processamento de dados. "As instruções de processamento de dados referem-se a garantir que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas da empresa relacionadas"
Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.
- Termos de privacidade e confidencialidade em vigor nos contratos de funcionários
- Treinamentos regulares de privacidade e segurança de dados para funcionários
- Disposições contratuais adequadas para os contratos com os subcontratantes para manter os direitos de controle instrucional
- Verificações regulares de privacidade para provedores de serviço externos
- Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados
- Auditorias de segurança regulares
Versões traduzidas de políticas e contratos jurídicos são fornecidas apenas como uma conveniência para facilitar a leitura e o entendimento das versões em inglês. O objetivo de fornecer traduções das políticas e contratos jurídicos não é criar um vínculo jurídico, e elas não são um substituto da validade legal das versões em inglês. Em caso de qualquer disputa ou conflito, as versões em inglês das políticas e contratos jurídicos regem, em qualquer caso, nossas relações e prevalecerão sobre os termos em qualquer outro idioma.