Conscientização sobre segurança

Cada funcionário admitido na SULTS assina um contrato de confidencialidade e uma política de uso, passando em seguida por treinamento em segurança da informação, privacidade e conformidade. Oferecemos treinamentos específicos de segurança que podem ser exigidos em determinadas funções.

Estamos sempre instruindo nossos funcionários sobre a segurança da informação, privacidade e conformidade, realizando treinamentos periódicos para que todos fiquem por dentro das práticas de segurança mais recentes da organização.

Todas as estações de trabalho fornecidas aos funcionários da SULTS executam a versão atualizada do sistema operacional e são configuradas com softwares antivírus, afim de cumprir nossos padrões de segurança. Todas as estações de trabalho são ajustadas e corrigidas periodiamente e, além disso, são rastreadas e monitoradas pelas soluções de gerenciamento. Esses dispositivos são seguros por padrão, pois são configuradas para criptografar dados em repouso, ter senhas fortes e serem bloqueados quando estiverem ociosos.

Nossa infraestrutura de data centers é hospedada na AWS Amazon. A infraestrutura de nuvem global da AWS é a mais segura, abrangente e confiável do mercado e oferece mais de 175 serviços completos de data centers em todo o mundo.

Todos nossos data centers utilizam e usufruem da segurança de alto nível da AMAZON AWS - uma infraestrutura segura, resiliente, eficiente e de alto desempenho para as nossas aplicações. O acesso aos data centers é feito de forma remota e é restrito a um pequeno grupo de pessoas autorizadas.

A Infraestrutura da AWS Amazon foi criada especificamente para a nuvem e projetada para atender aos requisitos de segurança mais rigorosos do mundo. Sua infraestrutura é monitorada 24 horas por dia, 7 dias por semana para ajudar a garantir a confidencialidade, a integridade e a disponibilidade dos seus dados.

Segurança de rede

Cada cliente possui seu próprio subdomínio, sendo nomedocliente.sults.com.br, isso garante a segurança, a escalabilidade e a integridade dos dados do cliente. Cada cliente pode estar instalado em uma instância dedicada escalável ou em servidores balanceados escaláveis.

Utilizamos o AWS Elastic Load Balancing para gerenciar o tráfego em uma frota de instâncias do Amazon EC2, distribuindo o tráfego para instâncias em todas as zonas de disponibilidade em uma região. Através dos recursos de segurança AWS VPC possuímos grupos de segurança, ACLs de rede, tabelas de roteamento e gateways externos.

Cada um desses itens é complementar ao fornecimento de uma rede segura e isolada que é estendida por meio da habilitação seletiva de acesso direto à Internet ou conectividade privada a outra rede.

Proteção do servidor

Utilizamos um firewall da Amazon Web Services de solução completa, permitindo a filtragem no tráfego de entrada e saída de uma instância. O acesso a nossa infraestrutura AWS é restringido a IPs específicos da SULTS, sendo permitido apenas a um grupo seleto de pessoas internas da empresa com a chave de autorização a computadores seguros.

Isolamento de dados

Nossa estrutura distribui e mantém o espaço na nuvem para os clientes. Os dados de serviço de cada cliente são logicamente separados dos dados de outros clientes usando um conjunto de protocolos seguros na estrutura. Isso garante que nenhum dado de serviço do cliente se torne acessível a outro usuário.

Quando você usa nossos serviços, os dados são armazenados em nossa infraestrutura. Esses dados são de sua propriedade, não da SULTS. E nós não os compartilhamos com terceiros sem o seu consentimento.

Criptografia

Todos os dados de clientes transmitidos para nossos servidores pelas redes públicas são protegidos por meio de protocolos avançados de criptografia. Criptografamos todo o tráfego de ponta a ponta usando TLS nas redes que usam conexões HTTP seguras (HTTPS). Ativamos o cabeçalho HTTP Strict Transport Security (HSTS) para todas as nossas conexões via Web. Isso informa a todos os navegadores modernos que só é possível estabelecer conosco conexão criptografada, mesmo que o usuário digite um URL que aponte para uma página não segura em nosso site. Além disso, na Web, sinalizamos todos os nossos cookies de autenticação como seguros.

Possuímos controles de acesso técnico e políticas internas para proibir que os colaboradores acessem arbitrariamente os dados do usuário. Aderimos aos princípios de privilégios mínimos e permissões baseadas em função para minimizar o risco de exposição de dados.

O acesso a ambientes de produção é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por senha. Além disso, facilitamos esse acesso por meio de uma rede separada com regras mais rígidas e dispositivos mais protegidos.

Registro e monitoramento

Monitoramos e analisamos as informações coletadas de serviços, tráfego interno em nossa rede e uso de dispositivos e terminais. Gravamos essas informações em registros de evento, de auditoria, de falhas, de administrador e de operador. Esses registros são automaticamente monitorados e analisados de forma que nos ajudam a identificar anomalias. Para gerenciar o controle de acesso centralmente e garantir a disponibilidade, armazenamos esses registros em um servidor seguro, isolado do acesso total ao sistema. Em todos os serviços da SULTS, está disponível uma opção de registro detalhado de auditoria em log que inclui todas as operações de atualização e exclusão realizadas pelo usuário.

Proteção Contra Malware e Spam

A SULTS é compatível com o protocolo DMARC como uma forma de evitar spam. O DMARC usa SPF e DKIM para verificar se as mensagens são autênticas.

Backup

Fazemos backups completos uma vez por semana e backups incrementais todos os dias usando o AWS Backup. Todos os dados de backup são mantidos por um período de três meses. Caso um cliente solicite uma recuperação de dados dentro do período de retenção, temos como restaurá-los e garantir o acesso seguro a eles. O cronograma para restauração de dados depende do volume de dados e da complexidade envolvida.

Até este ponto, discutimos o que fazemos para oferecer segurança em várias frentes para nossos clientes. Agora vamos falar sobre o que você, como cliente, pode fazer para garantir a segurança:

• Escolha uma senha forte e exclusiva e proteja-a;
• Use as versões mais recentes do navegador, o sistema operacional móvel e os aplicativos móveis atualizados para garantir que estejam corrigidos contra vulnerabilidades e para usar os recursos de segurança mais recentes;
• Tome precauções razoáveis ao compartilhar dados do nosso ambiente de nuvem;
• Classifique suas informações como pessoais ou confidenciais e identifique-as adequadamente;
• Monitore os dispositivos vinculados à sua conta, as sessões da Web ativas e o acesso de terceiros para identificar anomalias nas atividades e gerenciar funções e privilégios da conta.