Política de segurança

Nossa política de segurança da informação se adequa à realidade de nossos clientes, aos custos associados ao nosso trabalho, e à necessidade no trato seguro de sistemas de informação, de acordo com nosso modo de operação.  Para tanto, tornamos pública parte desta política de segurança de forma a explicitar nosso profissionalismo sem comprometer nossos processos de segurança.

Sobre políticas de segurança para prepostos:

Todos os nossos prepostos, inclusive os terceirizados, são orientados a realizar as melhores práticas de segurança da informação, inclusive e principalmente no uso de seus respectivos dispositivos digitais (fixos ou móveis) utilizados em ambiente doméstico (home office). Isso inclui, sem se limitar a:

    1. Nossos colaboradores devem usar dispositivos de uso exclusivo para trabalho, se comprometendo a seguir regras de segurança estabelecidas pela empresa.
    2. Os dispositivos dos colaboradores devem estar com sistema operacional atualizado constantemente e fazer uso de antivírus e firewall.
    3. Os acessos aos softwares hospedados na nuvem são feitos a partir de conexões criptografadas.
  • É vedado aos prepostos da GFarias:
    1. Acessar os softwares e sistemas internos através de dispositivos de terceiros.
    2. Acessar os softwares e sistemas internos com o uso de conexões públicas de dados.
    3. Publicizar, repassar para terceiros, usar, ou proceder de qualquer forma senão aquela pela qual teve acesso aos dados do cliente. (termo de confidencialidade)
  • Quando houver a necessidade de tratamento de dados do cliente em computador local, como é o caso de montagem de cursos, upgrade de versão de software, entre outros procedimentos, ao final o trabalho deve apagar completamente os dados do cliente no dispositivo local.
  • Nossa equipe de gerenciamento de infraestrutura tecnológica também é responsável pela determinação das políticas de segurança da informação, bem como pela instrução dos demais prepostos na implementação desta política.

Sobre política de acesso

  • O acesso de nossos prepostos aos dados de nossos clientes é segmentado de acordo com uma rígida política de segurança da informação. Cada preposto tem acesso apenas aos dados necessários ao seu respectivo trabalho.
  • Todos os acessos e passos dados pelos nossos prepostos, seja no Helpdesk, no Moodle™ ou nos softwares de base da infraestrutura, são registrados em logs, de modo que se possa auditar o que foi feito dos acessos permitidos.
  • É terminantemente proibido o compartilhamento de acessos. Cada um de nossos prepostos tem sua própria credencial de acesso aos nossos sistemas internos.
  • Há possibilidade de alteração da senha de um preposto, o que delata tal mudança para o usuário correspondente. Entretanto, ninguém tem credenciais para acessar os sistemas internos em nome de outrem sem que haja consciente (e proibido) compartilhamento de credencial de acesso.

Sobre a segurança da infraestrutura e dos dados

  • Nossos sistemas críticos encontram-se na nuvem, materializada por datacenters de grande porte que fazemos uso, todos com certificação 27.001 e SOC2 tipo 2. Fazemos uso de nuvem pública (como AWS ou Digital Ocean) ou nossa própria nuvem privada, localizada no Brasil, além de servidores bare metal para hospedagens mais simples.
  • A infraestrutura disponibilizada para nossos clientes conta com sistemas de firewall para monitoramento de tráfego suspeito, prevenção e detecção de invasão, e que também bloqueia atividades maliciosas e de tentativas de exploração de vulnerabilidades do sistema. Por motivos de segurança, maiores detalhes sobre nossas práticas de segurança da informação no que diz respeito a sistemas de proteção não são tornadas públicas.
  • Contamos com backup de dados diário e local (na mesma estrutura computacional do software de produção), onde se estoca o backup do dia anterior; além de um backup semanal, com o backup de um dia dos últimos 7 dias, armazenado em estrutura computacional diferente daquela de produção. Esta política de backup é automatizada e auditada diariamente pela equipe técnica.

Sobre tratamento de dados pessoais

  • Nós somos controladores e operadores de dados pessoais de prepostos de nossos clientes, que nos informam dados pessoais dos quais são titulares, como nome, telefone (quando pessoal) e email. Todos os dados são armazenados em nuvem, cadastrados em nosso Helpdesk, protegido pelas melhores práticas de segurança da informação ao nosso alcance. A nossa política de privacidade pode ser consultada em gfarias.com/privacidade.
  • Quando se envolve o tratamento de dados dos usuários do software que hospedamos, é o nosso cliente que é o controlador de dados pessoais. Além de controlador, também é operador de tais dados, pois o software envolvido permite ao cliente, de forma autônoma e à nossa revelia, tratar os dados pessoais dos seus usuários. Desta forma, é o cliente que deve eleger um Encarregado de Proteção de Dados ou DPO (Data Protection Officer).
  • Somos integradores de tecnologias com baseada em software de terceiros (Moodle™, BigBlueButton, OJS, WordPress, entre outros). Não desenvolvemos software e, por isso, nos resta praticar uma política de atualização de segurança de tais softwares tão logo sejamos avisados pelo desenvolvedor e autorizados pelo cliente.
  • Em caso de incidente de segurança da informação, violação de segurança, perda de dados, ou qualquer outro evento relacionado com segurança da informação, nosso protocolo sequencia: (i) a solução do problema de segurança, com bloqueios que sejam necessários; (ii) o diagnóstico da ocorrência, para dimensionamento do dano ocorrido; e então (iii) a comunicação do evento para o cliente.

Sobre encerramento de relação

  • Quando há desligamento de um preposto, imediatamente todos os acessos a todos os sistemas internos cessam. A conta do Helpdesk, embora bloqueada, remanesce durante 12 meses, para fins de possíveis auditorias, caso necessário. Convém observar que temos baixíssima rotatividade de pessoal.
  • Quando um contrato com um cliente se encerra, o cliente deve solicitar seus dados, que são disponibilizados para download, obedecendo prazo estabelecido em contrato. Um link é fornecido e o cliente tem prazo para baixar e testar seus dados. Findo o prazo, os dados são permanentemente apagados, salvo se o cliente denunciar algum problema com a restauração dos dados baixados. Os dados podem ter seu apagamento definitivo caso o cliente confirme a adequada restauração dos dados em outro hospedeiro ou localmente.

Caso necessite maiores esclarecimentos, entre em contato conosco, através de um dos canais de comunicação que disponibilizamos para tal.