Política de segurança
Nossa política de segurança da informação se adequa à realidade de nossos clientes, aos custos associados ao nosso trabalho, e à necessidade no trato seguro de sistemas de informação, de acordo com nosso modo de operação. Para tanto, tornamos pública parte desta política de segurança de forma a explicitar nosso profissionalismo sem comprometer nossos processos de segurança.
Sobre políticas de segurança para prepostos
- Todos os nossos prepostos, inclusive os terceirizados, são orientados a realizar as melhores práticas de segurança da informação, inclusive e principalmente no uso de seus respectivos dispositivos digitais (fixos ou móveis) utilizados em ambiente doméstico (home office). Isso inclui, sem se limitar a:
- Nossos colaboradores devem usar dispositivos de uso exclusivo para trabalho, se comprometendo a seguir regras de segurança estabelecidas pela empresa.
- Os dispositivos dos colaboradores devem estar com sistema operacional atualizado constantemente e fazer uso de antivírus e firewall.
- Os acessos aos softwares hospedados na nuvem são feitos a partir de conexões criptografadas.
- É vedado aos prepostos da GFarias:
- Acessar os softwares e sistemas internos através de dispositivos de terceiros.
- Acessar os softwares e sistemas internos com o uso de conexões públicas de dados.
- Publicizar, repassar para terceiros, usar, ou proceder de qualquer forma senão aquela pela qual teve acesso aos dados do cliente. (termo de confidencialidade)
- Quando houver a necessidade de tratamento de dados do cliente em computador local, como é o caso de montagem de cursos, upgrade de versão de software, entre outros procedimentos, ao final o trabalho deve apagar completamente os dados do cliente no dispositivo local.
- Nossa equipe de gerenciamento de infraestrutura tecnológica também é responsável pela determinação das políticas de segurança da informação, bem como pela instrução dos demais prepostos na implementação desta política.
Sobre política de acesso
- O acesso de nossos prepostos aos dados de nossos clientes é segmentado de acordo com uma rígida política de segurança da informação. Cada preposto tem acesso apenas aos dados necessários ao seu respectivo trabalho.
- Todos os acessos e passos dados pelos nossos prepostos, seja no Helpdesk, no Moodle™ ou nos softwares de base da infraestrutura, são registrados em logs, de modo que se possa auditar o que foi feito dos acessos permitidos.
- É terminantemente proibido o compartilhamento de acessos. Cada um de nossos prepostos tem sua própria credencial de acesso aos nossos sistemas internos.
- Há possibilidade de alteração da senha de um preposto, o que delata tal mudança para o usuário correspondente. Entretanto, ninguém tem credenciais para acessar os sistemas internos em nome de outrem sem que haja consciente (e proibido) compartilhamento de credencial de acesso.
Sobre a segurança da infraestrutura e dos dados
- Nossos sistemas críticos encontram-se na nuvem, materializada por datacenters de grande porte que fazemos uso, todos com certificação 27.001 e SOC2 tipo 2. Fazemos uso de nuvem pública (como AWS ou Digital Ocean) ou nossa própria nuvem privada, localizada no Brasil, além de servidores bare metal para hospedagens mais simples.
- A infraestrutura disponibilizada para nossos clientes conta com sistemas de firewall para monitoramento de tráfego suspeito, prevenção e detecção de invasão, e que também bloqueia atividades maliciosas e de tentativas de exploração de vulnerabilidades do sistema. Por motivos de segurança, maiores detalhes sobre nossas práticas de segurança da informação no que diz respeito a sistemas de proteção não são tornadas públicas.
- Contamos com backup de dados diário e local (na mesma estrutura computacional do software de produção), onde se estoca o backup do dia anterior; além de um backup semanal, com o backup de um dia dos últimos 7 dias, armazenado em estrutura computacional diferente daquela de produção. Esta política de backup é automatizada e auditada diariamente pela equipe técnica.
Sobre tratamento de dados pessoais
- Nós somos controladores e operadores de dados pessoais de prepostos de nossos clientes, que nos informam dados pessoais dos quais são titulares, como nome, telefone (quando pessoal) e email. Todos os dados são armazenados em nuvem, cadastrados em nosso Helpdesk, protegido pelas melhores práticas de segurança da informação ao nosso alcance. A nossa política de privacidade pode ser consultada em gfarias.com/privacidade.
- Quando se envolve o tratamento de dados dos usuários do software que hospedamos, é o nosso cliente que é o controlador de dados pessoais. Além de controlador, também é operador de tais dados, pois o software envolvido permite ao cliente, de forma autônoma e à nossa revelia, tratar os dados pessoais dos seus usuários. Desta forma, é o cliente que deve eleger um Encarregado de Proteção de Dados ou DPO (Data Protection Officer).
- Somos integradores de tecnologias com baseada em software de terceiros (Moodle™, BigBlueButton, OJS, Wordpress, entre outros). Não desenvolvemos software e, por isso, nos resta praticar uma política de atualização de segurança de tais softwares tão logo sejamos avisados pelo desenvolvedor e autorizados pelo cliente.
- Em caso de incidente de segurança da informação, violação de segurança, perda de dados, ou qualquer outro evento relacionado com segurança da informação, nosso protocolo sequencia: (i) a solução do problema de segurança, com bloqueios que sejam necessários; (ii) o diagnóstico da ocorrência, para dimensionamento do dano ocorrido; e então (iii) a comunicação do evento para o cliente.
Sobre encerramento de relação
- Quando há desligamento de um preposto, imediatamente todos os acessos a todos os sistemas internos cessam. A conta do Helpdesk, embora bloqueada, remanesce durante 12 meses, para fins de possíveis auditorias, caso necessário. Convém observar que temos baixíssima rotatividade de pessoal.
- Quando um contrato com um cliente se encerra, o cliente deve solicitar seus dados, que são disponibilizados para download, obedecendo prazo estabelecido em contrato. Um link é fornecido e o cliente tem prazo para baixar e testar seus dados. Findo o prazo, os dados são permanentemente apagados, salvo se o cliente denunciar algum problema com a restauração dos dados baixados. Os dados podem ter seu apagamento definitivo caso o cliente confirme a adequada restauração dos dados em outro hospedeiro ou localmente.
Caso necessite maiores esclarecimentos, entre em contato conosco, através de um dos canais de comunicação que disponibilizamos para tal.
- Nossos colaboradores devem usar dispositivos de uso exclusivo para trabalho, se comprometendo a seguir regras de segurança estabelecidas pela empresa.
- Os dispositivos dos colaboradores devem estar com sistema operacional atualizado constantemente e fazer uso de antivírus e firewall.
- Os acessos aos softwares hospedados na nuvem são feitos a partir de conexões criptografadas.
- Acessar os softwares e sistemas internos através de dispositivos de terceiros.
- Acessar os softwares e sistemas internos com o uso de conexões públicas de dados.
- Publicizar, repassar para terceiros, usar, ou proceder de qualquer forma senão aquela pela qual teve acesso aos dados do cliente. (termo de confidencialidade)
Receba um email bimestral com coletânea de novidades e nossas publicações com conhecimento sobre ideias, metodologias e tecnologia voltadas para Educação.
Tratamos seu email de acordo com a LGPD.
Vide nossa política de privacidade.
