A Simplifee valoriza a segurança da informação e a proteção dos dados de seus clientes. Esta política estabelece diretrizes para assegurar a confidencialidade, integridade e disponibilidade das informações tratadas pela nossa plataforma de análise de custos de bandeiras.
Objetivo
Garantir a proteção dos dados contra acessos não autorizados, violações e outras ameaças, promovendo a confiança e segurança para nossos clientes.
Escopo
Aplica-se a todos os colaboradores, contratados, estagiários e outras partes que tenham acesso às informações e sistemas da Simplifee.
Diretrizes Gerais
Tratamento da Informação
Confidencialidade: Asseguramos que informações confidenciais sejam acessadas somente por pessoas autorizadas.
Integridade: Monitoramos e registramos alterações nos dados e sistemas para garantir a integridade.
Disponibilidade: Sistemas e dados estão disponíveis conforme necessário, com medidas de redundância e backup semanais.
Todos os contratos com fornecedores e parceiros incluem cláusulas específicas para garantir a confidencialidade, integridade e disponibilidade das informações, assegurando que todos os envolvidos estejam comprometidos com nossas práticas de segurança da informação.
Controle de Acesso
O acesso aos sistemas da Simplifee é controlado por autenticação via Google Firebase Authentication e autenticação multifator (MFA).
Senhas devem conter pelo menos 8 caracteres, incluindo letras, números e caracteres especiais.
Existem diversos níveis de usuários dentro da Simplifee, cada um com acesso apenas aos dados pertinentes. Desenvolvedores têm acesso restrito ao código fonte, e os usuários são criados e excluídos conforme o processo de admissão e desligamento.
O código fonte da aplicação é controlado via GitHub, acessível apenas por desenvolvedores autorizados.
Gestão de Vulnerabilidades
Adotamos um programa dinâmico, tanto propositivo como reativo, identificando e corrigindo vulnerabilidades conforme descobertas. Realizamos testes regulares de segurança e revisão de código para identificar e mitigar possíveis falhas.
Atualizações e Patches
Atualizamos continuamente a plataforma para melhorar a segurança e a funcionalidade, submetendo todas as mudanças a testes de qualidade e homologação antes da implementação em produção.
Criptografia
Dados armazenados no OneDrive são criptografados com AES 256-bit, e a comunicação entre sistemas é protegida por TLS.
Utilizamos AWS Key Management para gestão de chaves criptográficas, garantindo alta disponibilidade e controle de acesso robusto.
Logs e Monitoramento
Registramos ações dos usuários na plataforma e chamadas à API através do Firebase e monitoramento da AWS e das ferramentas da Microsoft, como OneDrive e PowerBI.
Gestão de Mudanças
O gerenciamento de mudanças segue um processo documentado:
Solicitação de Mudança: Registro da mudança proposta.
Análise de Impacto: Avaliação dos impactos na segurança, operação e usuários.
Autorização: Aprovação por um responsável pela segurança da informação.
Implementação: Testes em ambiente de homologação antes da produção.
Documentação: Registro detalhado de todas as etapas do processo.
Revisão Pós-Implementação: Avaliação das mudanças implementadas.
Plano de Resposta a Incidentes
Preparação: Avaliação de riscos, aplicação de baselines de segurança e educação em segurança.
Identificação do Incidente: Confirmação de comportamento anômalo como incidente.
Contenção, Erradicação e Recuperação: Coleta de evidências, avaliação do impacto e restauração das salvaguardas.
Atividades Pós-Incidente: Coleta de aprendizados e melhorias nos controles de segurança.
Educação e Conscientização
Mantemos um programa contínuo de educação sobre segurança da informação, incluindo treinamentos regulares, simulações de phishing e campanhas de conscientização.
Segurança dos Dados
Dados são classificados e protegidos conforme a criticidade, com medidas rigorosas para garantir sua proteção durante todo o ciclo de vida.
Não consumimos dados pessoais de clientes. Dados utilizados para criação dos modelos do produto são hospedados no OneDrive com backup semanal, acessíveis apenas para os fundadores com autenticação multifator (2FA).
Dados consumidos pela aplicação são enviados via API privada, necessitando identificação do usuário via Google Firebase Authentication, operando na AWS, com gateway de acesso para controle dos endereços que podem requisitar à API.
Não utilizamos variáveis de ambiente no código fonte, com chaves públicas e privadas sendo acessadas pela API via AWS Secret Manager.
Critérios e Níveis de Classificação: As informações são classificadas de acordo com sua criticidade. Os dados são removidos de forma segura conforme a necessidade:
1. Contas na Plataforma: Removemos contas de usuários inativos ou conforme solicitado, garantindo que todos os dados associados sejam excluídos de nossos sistemas.
2. Dados no PowerBI: Dados são excluídos ou atualizados conforme as necessidades do cliente e a manutenção dos relatórios.
3. Dados no OneDrive: Backup semanal e remoção segura de dados antigos ou não mais necessários, com controle de acesso restrito aos fundadores.
Mecanismos de Disponibilização dos Dados: Dados são disponibilizados através de acessos controlados e autenticados, garantindo que somente usuários autorizados possam acessar informações pertinentes.
Soluções de Proteção Contra Software Malicioso
Todos os computadores utilizados pelos colaboradores da Simplifee possuem soluções de anti-malware instaladas e configuradas para realizar varreduras regulares e proteger contra ameaças conhecidas.
Tecnologias de Proteção
A Simplifee adota diversas tecnologias de proteção oferecidas pelos serviços que utilizamos:
Vercel: Firewall, proteção contra DDoS (L3/L4, L7), Web Application Firewall (WAF), Rate Limiting.
AWS: AWS Shield (proteção contra DDoS), AWS WAF (Web Application Firewall), Amazon GuardDuty (detecção de ameaças), Amazon Inspector (avaliação de vulnerabilidades).
Microsoft OneDrive e PowerBI: TLS Encryption (proteção dos dados em trânsito), AES-256 Encryption (criptografia dos dados em repouso), controles de acesso rigorosos, monitoramento contínuo e resposta a incidentes.
Responsabilidades
Todos os colaboradores devem cumprir esta política e reportar incidentes de segurança.
A gerência é responsável por garantir a comunicação e entendimento da política por todos.
Revisão da Política
Revisões periódicas são realizadas para refletir mudanças nas práticas de segurança e no ambiente de ameaças.
Auditorias internas e externas regulares são conduzidas para avaliar a conformidade e identificar melhorias.
Contato
Para dúvidas ou mais informações, entre em contato com o Departamento de Segurança da Informação da Simplifee pelo e-mail: seguranca@simplifee.com.
Simplifee, comprometida com a segurança e proteção das suas informações.