Segurança da organização

Implementamos um sistema de gestão da segurança da informação (ISMS) que leva em conta nossos objetivos de segurança, bem como os riscos e suas respectivas reduções para todas as partes interessadas. Utilizamos critérios e procedimentos rigorosos que incluem a segurança, a disponibilidade, o processamento, a integridade e a confidencialidade dos dados dos clientes.

Verificações sobre os antecedentes dos funcionários e colaboradores

Cada empregado ou colaborador è submetido a um processo de verificação do seu passado. Utilizamos agências externas renomadas para realizar este controle em nosso nome. Fazemos isso para verificar os antecedentes criminais, as experiências profissionais anteriores, se houver, e os diplomas acadêmicos. Até que esse controle seja realizado, o empregado ou colaborador não recebe atividades que possam envolver riscos para os usuários.

Consciência de segurança

Cada funcionário ou colaborador, no momento da contratação, assina um acordo de confidencialidade e uma política de uso aceitável, após o qual participa do treinamento relacionado à segurança da informação, à privacidade e à conformidade. Além disso, avaliamos o nível de formação do funcionário ou colaborador por meio de testes e questionários para determinar quais tópicos requerem um aprofundamento adicional. Fornecemos treinamento sobre aspectos específicos da segurança, dos quais o funcionário ou colaborador pode precisar com base em seu papel. Formamos continuamente nossos funcionários e colaboradores em matéria de segurança da informação, privacidade e conformidade em nossa comunidade interna, à qual nossos funcionários e colaboradores acessam regularmente, para a constante atualização pessoal sobre as práticas de segurança da organização. Além disso, organizamos eventos internos para aumentar a conscientização e promover a inovação em termos de segurança e privacidade.

Equipe dedicada à segurança e à privacidade

Dispomos de equipes dedicadas à segurança e à privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Essas equipes projetam e gerenciam nossos sistemas de defesa, desenvolvem processos de revisão para a segurança e monitoram constantemente nossas redes para detectar atividades suspeitas. Fornecem serviços de consultoria e diretrizes específicas para o domínio às nossas equipes de design.

Verificação interna e conformidade

Dispomos de uma equipe dedicada à conformidade que examina os procedimentos e políticas adotados por Framework360 a fim de alinhá-los aos padrões e determinar quais controles, processos e sistemas são necessários para atender aos padrões. Esta equipe também realiza auditorias internas periódicas e facilita controles e avaliações independentes por terceiros. Para mais detalhes, consulte nosso portfólio de conformidade.

Segurança dos endpoints

Todas as estações de trabalho fornecidas aos funcionários e colaboradores executam uma versão atualizada do sistema operacional e estão equipadas com software antivírus. Estão configuradas para atender aos nossos padrões de segurança, que exigem que todas as estações de trabalho estejam corretamente configuradas, instaladas com os patches aplicados e monitoradas pelas soluções de gerenciamento de endpoints de Framework360. Essas estações de trabalho são seguras por padrão, pois estão configuradas para criptografar dados em repouso, possuem senhas complexas e se bloqueiam quando inativas. Os dispositivos móveis utilizados para fins empresariais estão registrados no sistema de gerenciamento de dispositivos móveis, para garantir que atendam aos nossos padrões de segurança.

Segurança física no ambiente de trabalho

Controlamos o acesso aos nossos recursos (edifícios, infraestruturas e instalações), que inclui consumo, entrada e uso, por meio de cartões de acesso. Fornecemos a funcionários, contratados, fornecedores e visitantes diferentes cartões de acesso que permitem a entrada apenas para os fins específicos de acesso às instalações. A equipe de Recursos Humanos estabelece e gerencia propósitos específicos para os cargos. Mantemos registros de acesso para identificar e resolver anomalias.

Monitoramento

Monitoramos todos os movimentos de entrada e saída em todas as nossas sedes, em todos os nossos centros de negócios e data centers através de câmeras de circuito fechado distribuídas em conformidade com as normas locais. Uma cópia de backup das gravações está disponível por um determinado período de tempo, dependendo dos requisitos específicos da estrutura.

Segurança da infraestrutura segurança da rede

Nossas técnicas de segurança e monitoramento da rede são projetadas para fornecer mais níveis de proteção e defesa. Utilizamos firewalls para impedir acessos não autorizados à nossa rede e o tráfego indesejado. Nossos sistemas estão divididos em redes separadas para proteger os dados sensíveis. Os sistemas que suportam as atividades de teste e desenvolvimento estão hospedados em uma rede separada em relação aos sistemas que suportam a infraestrutura de produção de Framework360. Monitoramos o acesso ao firewall com um planejamento rigoroso e regular. Um técnico de rede examina todos os dias todas as modificações feitas no firewall. Além disso, a cada três meses essas modificações são analisadas para atualizar e revisar as regras. A equipe dedicada do nosso Centro de Operações de Rede monitora a infraestrutura e as aplicações para detectar quaisquer discrepâncias ou atividades suspeitas. Todos os parâmetros críticos são constantemente monitorados através da nossa ferramenta proprietária e notificações são ativadas em qualquer caso de atividade anômala ou suspeita em nosso ambiente de produção.

Ridundância de rede

Todos os componentes da nossa plataforma são redundantes. Utilizamos uma arquitetura de rede distribuída para proteger nosso sistema e nossos serviços de possíveis falhas nos servidores. Nesse caso, os usuários podem continuar a trabalhar normalmente porque seus dados e os serviços Framework360 estarão disponíveis. Além disso, utilizamos mais switches, roteadores e gateways de segurança para garantir a redundância em nível de dispositivo. Dessa forma, evitam-se falhas em pontos únicos da rede interna.

Prevenção de ataques DDoS

Utilizamos tecnologias de fornecedores de serviços consolidados e confiáveis para prevenir ataques DDoS aos nossos servidores. Essas tecnologias oferecem múltiplas funcionalidades de mitigação de ataques DDoS, para evitar interrupções causadas pelo tráfego prejudicial, permitindo ao mesmo tempo o tráfego bom. Dessa forma, nossos sites, nossas aplicações e nossas APIs estão sempre disponíveis e com bom desempenho.

Proteção avançada dos servidores

Todos os servidores submetidos a provisionamento para as atividades de desenvolvimento e teste são reforçados (desativando portas e contas não utilizadas, removendo senhas padrão, etc.). A imagem do sistema operacional (SO) base é equipada com um aprimoramento de servidor integrado e a imagem deste sistema operacional é fornecida nos servidores para garantir a consistência entre os servidores.

Detecção e prevenção de intrusões

O nosso mecanismo de detecção de intrusões registra os sinais baseados em host em dispositivos individuais e sinais baseados na rede, provenientes de pontos de monitoramento dentro dos nossos servidores. O acesso administrativo, o uso de comandos privilegiados e as chamadas de sistema em todos os servidores da nossa rede de produção são registrados. As regras e a inteligência das máquinas baseadas nesses dados fornecem aos técnicos de segurança alertas sobre possíveis incidentes. A nível de aplicação, temos nosso WAF proprietário que opera com regras de whitelist e blacklist. A nível de provedor de serviços de Internet (ISP), foi implementada uma abordagem de segurança em múltiplos níveis com scrubbing, roteamento de rede, limitação de velocidade e filtragem para combater ataques em todos os níveis, desde a rede até a aplicação. Este sistema garante tráfego limpo, serviço proxy confiável e notificação imediata sobre eventuais ataques. 

Segurança dos dados Segurança desde o projeto

Todas as modificações e novas funções são regulamentadas por uma política de gestão de mudanças, para garantir que todas as alterações nas aplicações sejam autorizadas antes da implementação no ambiente de produção. O nosso ciclo de desenvolvimento de software (SDLC) impõe a conformidade com as diretrizes sobre codificação segura, bem como a triagem das alterações no código para potenciais problemas de segurança com nossas ferramentas de análise de código, os scanners de vulnerabilidades e os processos de revisão manual. Nossa sólida estrutura de segurança baseada nos padrões OWASP, implementada em nível de aplicação, fornece funcionalidades para reduzir ameaças como injeção SQL, Cross-Site Scripting e ataques DOS em nível de aplicação.

Isolamento de dados

Nossa estrutura distribui e mantém o espaço na nuvem para nossos clientes. Os dados relacionados ao suporte de cada cliente são separados logicamente em relação aos dados de outros clientes, utilizando uma série de protocolos seguros na estrutura. Isso garante que nenhum dos dados relacionados ao suporte dos clientes será acessível a outro cliente. Os dados relacionados ao suporte são armazenados em nossos servidores quando você utiliza nossos serviços. Seus dados são de sua propriedade e não do Marketing Studio. Não compartilhamos esses dados com terceiros sem seu consentimento.

Crittografia Em trânsito: Todos os dados dos clientes transmitidos para nossos servidores em redes públicas são protegidos por rigorosos protocolos de criptografia. Impomos o uso da criptografia Transport Layer Security (TLS 1.2/1.3) com chaves de criptografia complexas a todas as conexões com nossos servidores, incluindo acesso Web, acesso API, aplicativos para dispositivos móveis e acesso a clientes de e-mail IMAP/POP/SMTP. Isso garante uma conexão segura, permitindo a autenticação de ambas as partes envolvidas na conexão e a criptografia dos dados a serem transferidos. Além disso, para o e-mail, nossos serviços utilizam por padrão o TLS oportunístico. O TLS criptografa e entrega o e-mail de forma segura, reduzindo a interceptação entre os servidores de e-mail onde os serviços pares suportam esse protocolo. Temos suporte completo para Perfect Forward Secrecy (PFS) em nossas conexões criptografadas, o que nos garante que, mesmo em caso de comprometimento futuro, nenhuma comunicação anterior seria decifrada. Habilitamos o cabeçalho HTTP Strict Transport Security (HSTS) em todas as nossas conexões Web. Isso indica a todos os navegadores modernos que se conectem a nós apenas por meio de uma conexão criptografada, mesmo que no nosso site seja inserido o URL de uma página não segura. Além disso, na Web, todos os nossos cookies de autenticação são marcados como seguros.

A repouso: Os dados sensíveis inativos dos clientes são criptografados usando o Advanced Encryption Standard (AES) de 256 bits. Os dados criptografados em repouso variam com base nos serviços que você escolher. Possuímos e gerenciamos as chaves por meio do nosso serviço interno de gerenciamento de chaves (KMS). Fornecemos níveis adicionais de segurança criptografando as chaves de criptografia dos dados com chaves mestres. As chaves mestres e as chaves de criptografia dos dados estão fisicamente separadas e armazenadas em servidores diferentes com acesso limitado.

Conservação e descarte de dados

Mantemos os dados na sua conta pelo período em que você escolher usar Framework360. Após fechar sua conta de usuário Framework360, seus dados serão eliminados do banco de dados ativo durante a próxima limpeza, que é realizada uma vez a cada 6 meses. Os dados eliminados do banco de dados ativo serão excluídos dos backups após 1 mês. Um fornecedor verificado e autorizado realiza a eliminação dos dispositivos inutilizáveis. Até lá, iremos classificá-los e mantê-los em um local seguro. Qualquer informação contida dentro dos dispositivos será eliminada antes da eliminação.

Gestão das vulnerabilidades

Dispomos de um processo dedicado para a gestão das vulnerabilidades, que executa a varredura ativa das ameaças à segurança utilizando uma combinação de ferramentas de varredura certificadas de terceiros e ferramentas internas, com atividades automatizadas e execução de testes de penetração manuais. Além disso, nossa equipe responsável pela segurança examina ativamente os relatórios de segurança recebidos e monitora listas de discussão públicas, postagens em blogs e wikis para identificar incidentes de segurança que possam afetar a infraestrutura da empresa. Em caso de identificação de uma vulnerabilidade a ser corrigida, esta é registrada e recebe uma prioridade com base na gravidade e um proprietário. Identificamos ainda os riscos associados e monitoramos a vulnerabilidade até sua resolução, aplicando patches aos sistemas vulneráveis ou controles pertinentes.

Proteção contra malware e spam

Realizamos a varredura de todos os arquivos de usuários com nosso sistema de varredura automatizado, projetado para impedir a disseminação de malware no ecossistema Framework360. Nosso motor anti-malware personalizado recebe atualizações periódicas de fontes externas de inteligência sobre ameaças e realiza a varredura dos arquivos em busca de assinaturas em blacklist e padrões perigosos. Além disso, nosso motor de detecção proprietário, em combinação com técnicas de aprendizado de máquina, garante a proteção dos dados dos clientes contra malware. Framework360 suporta o protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance) como método para evitar spam. DMARC utiliza SPF e DKIM para verificar se as mensagens são autênticas. Utilizamos também nosso motor de detecção proprietário para identificar abusos dos serviços Framework360, por exemplo, atividades de phishing e spam. Além disso, dispomos de uma equipe anti-spam dedicada para monitorar os sinais provenientes do software e gerenciar as reclamações de abuso.

Backup

Realizamos backups incrementais diários e backups completos semanais de nossos bancos de dados para os data centers (DC) de Framework360. Os dados de backup no DC são armazenados na mesma localização e criptografados usando o algoritmo AES de 256 bits. Os dados são arquivados no formato tar.gz. Todos os dados de backup são mantidos por 1 mês. Se um cliente solicitar a recuperação dos dados dentro do período de retenção, restauraremos os dados e os tornaremos disponíveis com acesso seguro. Os tempos de recuperação dos dados dependem do tamanho e da complexidade dos próprios dados. Para garantir a segurança dos dados de backup, nos servidores de backup é utilizado um array redundante de discos independentes (RAID). Todos os backups são agendados e monitorados regularmente. Em caso de erro, uma nova execução é iniciada e o problema é resolvido imediatamente. Recomendamos fortemente agendar backups regulares dos dados exportando-os dos respectivos serviços Framework360 e armazenando-os localmente em sua própria infraestrutura.

Restauro de emergência e continuidade do serviço

Os dados das aplicações são armazenados em um repositório resiliente que é replicado nos data centers. Os dados no DC primário são replicados no secundário quase em tempo real. Em caso de falha do DC primário, o DC secundário assume o controle e as operações são executadas de forma fluida, com uma perda de tempo mínima ou nenhuma. Ambos os centros possuem mais de um ISP. Dispomos de sistemas de backup de energia, controle de temperatura e prevenção contra incêndios, além de medidas físicas para garantir a continuidade dos negócios. Essas medidas nos ajudam a garantir a resiliência. Além da redundância dos dados, temos um plano de continuidade dos negócios para nossas operações principais, como suporte e gerenciamento da infraestrutura.

Gestão de incidentes Sinalização

Dispomos de uma equipe dedicada à gestão de incidentes. Informamos sobre os incidentes em nosso ambiente que lhe dizem respeito, indicando as ações que você pode precisar tomar. Monitoramos e resolvemos os incidentes com as devidas ações corretivas. Se aplicável, comprometemo-nos a identificar, coletar, adquirir e fornecer as evidências necessárias na forma de registros de aplicações e verificações para os incidentes que lhe dizem respeito. Além disso, implementamos controles para evitar que situações semelhantes se repitam. Respondemos com a máxima prioridade aos incidentes de segurança ou privacidade relatados pelos usuários no endereço assistencia@marketingstudio.it. Em caso de incidentes genéricos, avisaremos os usuários através dos nossos blogs, fóruns e mídias sociais. Em caso de incidentes específicos de um único usuário ou de uma organização, notificaremos a parte interessada por e-mail (usando seu endereço de e-mail principal ou do administrador da organização registrado em nosso sistema).

Notificação de violação

Na qualidade de titulares do tratamento de dados, comunicamos à autoridade competente em matéria de proteção de dados uma violação dentro de 72 horas após a sua detecção, nos termos do Regulamento Geral sobre a Proteção de Dados (GDPR). Dependendo dos requisitos específicos, também informamos os clientes, se necessário. Na qualidade de responsáveis pelo tratamento de dados, informamos os titulares do tratamento de dados afetados sem atrasos injustificados.

Gestão de fornecedores e prestadores de serviços terceirizados

Avaliamo e qualificamos nossos fornecedores com base em nossa política de gestão de fornecedores. Integramos novos fornecedores após compreender seus processos de fornecimento do serviço e realizar as avaliações de riscos. Adotamos as medidas apropriadas para garantir a manutenção de nossa posição de segurança, estabelecendo acordos que imponham aos fornecedores o cumprimento dos compromissos de confidencialidade, disponibilidade e integridade que assumimos em relação aos nossos clientes. Monitoramos o funcionamento efetivo dos processos e das medidas de segurança da organização realizando revisões periódicas dos controles.

Controles de segurança do cliente

Até agora, descrevemos o que fazemos para garantir aos nossos clientes a segurança em várias frentes. A seguir estão indicadas as coisas que você pode fazer como cliente para garantir a segurança:

  • Escolha uma senha única e complexa e proteja-a.
  • Utiliza a autenticação em múltiplos fatores.
  • Utilize as versões mais recentes dos navegadores e dos sistemas operacionais móveis e aplicativos móveis atualizados, para garantir que sejam aplicadas as correções de segurança contra vulnerabilidades e que sejam utilizadas as funções de segurança mais recentes.
  • Adote precauções razoáveis ao compartilhar dados do nosso ambiente em nuvem.
  • Classifique suas informações em dados pessoais ou sensíveis e rotule-os de acordo.
  • Monitora os dispositivos conectados à sua conta, as sessões da Web ativas e o acesso de terceiros para identificar anomalias nas atividades da sua conta e gerenciar funções e privilégios correspondentes.
  • Esteja ciente das ameaças de phishing e malware, preste atenção a endereços de e-mail, sites da Web e links desconhecidos que podem explorar suas informações sensíveis se passando por Framework360 ou por outros serviços em que você confia.

Conclusão

A segurança dos seus dados è um direito seu e uma missão sem fim para o Marketing Studio. Continuaremos a trabalhar arduamente para manter seus dados seguros, como sempre fizemos. Para mais perguntas sobre este assunto, escreva-nos para o endereço assistenza@marketingstudio.it.   

Você quer aprender a usar o Framework360?

Entre no grupo
Guarde os tutoriais

Você gosta deste site? Este site web è foi criado com Framework360.

Termos e condições SegurançaPolítica anti-spamTipos de abusoViolação de direitos autoraisRegulamento de afiliaçãoPrivacidadePolítica de CookiesPreferências GDPR

Marketing Studio Srl Unipersonale © Todos os direitos reservados.
P.IVA/C.F 12717710011 - Corso Re Umberto 8, 10121 Torino (TO) - REA 1311172 - Capital social € 10.000,00 I.V.