BUMBA Segurança Organizacional
Programa de Segurança da Informação
Temos um Programa de Segurança da Informação implementado e comunicado em toda a organização. Nosso Programa segue os critérios estabelecidos pelo SOC 2 Framework. O SOC 2 é um procedimento de auditoria de segurança da informação amplamente conhecido, criado pelo American Institute of Certified Public Accountants.
Auditorias de Terceiros
Nossa organização passa por avaliações independentes de terceiros para testar nossos controles de segurança e conformidade.
Testes de Penetração por Terceiros
Realizamos testes de penetração independentes por terceiros, pelo menos uma vez ao ano, para garantir que a postura de segurança dos nossos serviços não esteja comprometida.
Funções e Responsabilidades
As funções e responsabilidades relacionadas ao nosso Programa de Segurança da Informação e à proteção dos dados dos nossos clientes estão bem definidas e documentadas. Nossos colaboradores devem revisar e aceitar todas as políticas de segurança.
Treinamento de Conscientização em Segurança
Todos os nossos colaboradores passam por treinamentos de conscientização em segurança, que cobrem as práticas padrão do setor e tópicos de segurança da informação, como phishing e gerenciamento de senhas.
Confidencialidade
Todos os colaboradores devem assinar e cumprir um acordo de confidencialidade padrão da indústria antes do seu primeiro dia de trabalho.
Segurança na Nuvem
Segurança da Infraestrutura na Nuvem
Todos os nossos serviços são hospedados na Amazon Web Services (AWS), que possui um programa robusto de segurança com diversas certificações. Para mais informações sobre os processos de segurança do nosso provedor, consulte a página de Segurança da AWS.
Segurança de Hospedagem de Dados
Todos os nossos dados são armazenados em bancos de dados da Amazon Web Services (AWS), localizados nos Estados Unidos. Consulte a documentação específica do fornecedor para mais detalhes.
Criptografia em Repouso
Todos os bancos de dados são criptografados em repouso.
Criptografia em Trânsito
Nossas aplicações criptografam os dados em trânsito utilizando somente TLS/SSL.
Varredura de Vulnerabilidades
Realizamos varreduras de vulnerabilidades e monitoramos ativamente possíveis ameaças.
Registro e Monitoramento
Monitoramos e registramos ativamente diversos serviços na nuvem.
Continuidade de Negócios e Recuperação de Desastres
Utilizamos os serviços de backup do nosso provedor de hospedagem de dados para reduzir o risco de perda de informações em caso de falha de hardware. Também utilizamos serviços de monitoramento para alertar nossa equipe em caso de falhas que afetem os usuários.
Resposta a Incidentes
Dispomos de um processo para tratamento de incidentes de segurança da informação, que inclui procedimentos de escalonamento, mitigação rápida e comunicação.
Segurança de Acesso
Permissões e Autenticação
O acesso à infraestrutura na nuvem e a outras ferramentas sensíveis é limitado aos colaboradores autorizados que necessitam desses recursos para suas funções. Sempre que possível, utilizamos Single Sign-On (SSO), autenticação de dois fatores (2FA) e políticas rigorosas de senhas para proteger o acesso aos serviços na nuvem.
Controle de Acesso pelo Princípio do Menor Privilégio
Seguimos o princípio do menor privilégio na gestão de identidade e acesso.
Revisões Trimestrais de Acesso
Realizamos revisões trimestrais de acesso para todos os colaboradores que têm acesso a sistemas sensíveis.
Requisitos de Senha
Todos os colaboradores devem cumprir um conjunto mínimo de requisitos e complexidade de senha para acesso.
Gestão de Fornecedores e Riscos
Avaliações Anuais de Risco
Realizamos avaliações de risco, pelo menos uma vez ao ano, para identificar possíveis ameaças, incluindo riscos de fraude.
Gestão de Risco de Fornecedores
O risco associado a fornecedores é avaliado e as revisões apropriadas são realizadas antes de autorizarmos um novo fornecedor.
Contate-nos
Se você tiver qualquer dúvida, comentário ou preocupação, ou se desejar relatar um possível problema de segurança, entre em contato pelo e-mail: [email protected]
Baixar Política de Segurança