Nossa política de segurança da informação se adequa à realidade de nossos clientes, aos custos associados ao nosso trabalho, e à necessidade no trato seguro de sistemas de informação, de acordo com nosso modo de operação.  Para tanto, tornamos pública parte desta política de segurança de forma a explicitar nosso profissionalismo sem comprometer nossos processos de segurança. .

Sobre políticas de segurança para prepostos

1. Todos os nossos prepostos, inclusive os terceirizados, são orientados a realizar as melhores práticas de segurança da informação, inclusive e principalmente no uso de seus respectivos dispositivos digitais (fixos ou móveis) utilizados em ambiente doméstico (home office). Isso inclui, sem se limitar a: 
   1. Nossos colaboradores devem usar dispositivos de uso exclusivo para trabalho, se comprometendo a seguir regras de segurança estabelecidas pela empresa. 
   2. Os dispositivos dos colaboradores devem estar com sistema operacional atualizado constantemente e fazer uso de antivírus e firewall. 
   3. O acesso aos softwares hospedados na nuvem são feitos a partir de conexões criptografadas. 
2. É vedado aos prepostos da GFarias:
   1. Acessar os softwares e sistemas internos através de dispositivos de terceiros.
   2. Acessar os softwares e sistemas internos com o uso de conexões públicas de dados.
   3. Publicizar, repassar para terceiros, usar, ou proceder de qualquer forma senão aquela pela qual teve acesso aos dados do cliente. (termo de confidencialidade)
3. Quando houver a necessidade de tratamento de dados do cliente em computador local, como é o caso de montagem de cursos, upgrade de versão de software, entre outros procedimentos, ao final o trabalho deve apagar completamente os dados do cliente no dispositivo local. 
4. Nossa equipe de gerenciamento de infraestrutura tecnológica também é responsável pela determinação das políticas de segurança da informação, bem como pela instrução dos demais prepostos na implementação desta política. 

Sobre política de acesso

1. O acesso de nossos prepostos aos dados de nossos clientes é segmentado de acordo com uma rígida política de segurança da informação. Cada preposto tem acesso apenas aos dados necessários ao seu respectivo trabalho. 
2. Todos os acessos e passos dados pelos nossos prepostos, seja no Helpdes, no Moodle ou nos softwares de base da infraestrutura, são registrados em logs, de modo que se possa auditar o que foi feito dos acessos permitidos.
3. É terminantemente proibido o compartilhamento de acessos. Cada um de nossos prepostos tem sua própria credencial de acesso aos nossos sistemas internos. 
4. Há possibilidade de alteração da senha de um preposto, o que delata tal mudança para o usuário correspondente. Entretanto, ninguém tem credenciais para acessar os sistemas internos em nome de outrem sem que haja consciente (e proibido) compartilhamento de credencial de acesso. 

Sobre a segurança da infraestrutura e dos dados

1. Nossos sistemas críticos encontram-se na nuvem, materializada por datacenters de grande porte que fazemos uso, todos com certificação 27.001 e SOC2 tipo 2. Fazemos uso de nuvem pública (como AWS ou Digital Ocean) ou nossa própria nuvem privada, localizada no Brasil, além de servidores bare metal para hospedagens mais simples.
2. A infraestrutura disponibilizada para nossos clientes conta com sistemas de firewall para monitoramento de tráfego suspeito, prevenção e detecção de invsão, e que também bloqueia atividades maliciosas e de tentativas de exploração de vulnerabilidades do sistema. Por motivos de segurança, maiores detalhes sobre nossas práticas de segurança da informação no que diz respeito a sistemas de proteção não são tornadas públicas. 
3. Contamos com backup de dados diário e local (na mesma estrutura computacional do softwae de produção), onde se estoca o backup do dia anterior; além de um backup semanal, com o backup de um dia dos últimos 7 dias, armazenado em estrutura computacional diferente daquela de produção. Esta política de backup é automatizada e auditada diariamente pela equipe técnica. 

Sobre tratamento de dados pessoais

1. Nós somos controladores e operadores de dados pessoais de prepostos de nossos clientes, que nos informam dados pessoais dos quais são titulares, como nome, telefone (quando pessoal) e email. Todos os dados são armazenados em nuvem, cadastrados em nosso Helpdesk, protegido pelas melhores práticas de segurança da informação ao nosso alcance. A nossa política de privacidade pode ser consultada em gfarias.com/privacidade. 
2. Quando se envolve o tratamento de dados dos usuários do software que hospedamos, é o nosso cliente que é o controlador de dados pessoais. Além de controlador, também é operador de tais dados, pois o software envolvido permite ao cliente, de forma autônoma e à nossa revelia, tratar os dados pessoais dos seus usuários. Desta forma, é o cliente que deve eleger um Encarregado de Proteção de Dados ou DPO (Data Protection Officer).
3. Somos integradores de tecnologias com baseada em software de terceiros (Moodle, BigBlueButton, OJS, Wordpress, entre outros). Não desenvolvemos software e, por isso, nos resta praticar uma política de atualização de segurança de tais softwares tão logo sejamos avisados pelo desenvolvedor e autorizados pelo cliente.
4. Em caso de incidente de segurança da informação, violação de segurança, perda de dados, ou qualquer outro evento relacionado com segurança da informação, nosso protocolo sequencia: (i) a solução do problema de segurança, com bloqueios que sejam necessários; (ii) o diagnóstico da ocorrência, para dimensionamento do dano ocorrido; e então (iii) a comunicação do evento para o cliente.

Sobre encerramento de relação

1. Quando há desligamento de um preposto, imediatamente todos os acessos a todos os sistemas internos cessam. A conta do Helpdesk, embora bloqueada, remanesce durante 12 meses, para fins de possíveis auditorias, caso necessário. Convém observar que temos baixíssima rotatividade de pessoal. 
2. Quando um contrato com um cliente se encerra, o cliente deve solicitar seus dados, que são disponibilizados para download, obedecendo prazo estabelecido em contrato. Um link é fornecido e o cliente tem prazo para baixar e testar seus dados. Findo o prazo, os dados são permanentemente apagados, salvo se o cliente denunciar algum problema com a restauração dos dados baixados. Os dados podem ter seu apagamento definitivo caso o cliente  confirme a adequada restauração dos dados em outro hospedeiro ou localmente. 

Caso necessite maiores esclarecimentos, entre em contato conosco, através de um dos canais de comunicação que disponibilizamos para tal.