Default logo
ProdutoPreçosEntrarExperimente grátis
Home/legal/Medidas Técnicas e Organizacionais (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Medidas Técnicas e Organizacionais (TOM)

Introdução

Deskhero AB (“nós,” “nos,” ou “nosso“) compromete-se a implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco associado ao processamento de dados pessoais para nossos Clientes (“você” ou “Cliente“), Usuários e Clientes do Cliente, em conformidade com o Regulamento Geral de Proteção de Dados da UE (GDPR) e outras leis de proteção de dados aplicáveis.

Este documento descreve as medidas técnicas e organizacionais que implementamos para proteger os dados pessoais processados por nossa plataforma Software-as-a-Service (SaaS) (“Serviço“), utilizando nossa infraestrutura AWS.

1. Medidas Organizacionais

1.1 Governança de Proteção de Dados

  • Encarregado de Proteção de Dados (DPO):
    • Nome: Klas Karlsson
    • E-mail: dpo@deskhero.com
    • Telefone: +46 70 601 13 22

Responsabilidade:

  • Supervisionar a estratégia de proteção de dados e a conformidade.
  • Monitorar a adesão às políticas e procedimentos de proteção de dados.
  • Atuar como ponto de contato para titulares de dados e autoridades de supervisão.

1.2 Políticas e Procedimentos

  • Políticas de Proteção de Dados:
    • Estabelecimento de políticas internas de proteção de dados, que são revisadas e atualizadas regularmente.
    • As políticas abrangem o tratamento de dados, resposta a violações, controle de acesso e responsabilidades dos colaboradores.
  • Treinamento de Colaboradores:
    • Programas de treinamento obrigatórios para todos os colaboradores sobre proteção de dados, privacidade e segurança da informação.
    • Atualizações regulares sobre ameaças emergentes e melhores práticas.
  • Acordos de Confidencialidade:
    • Funcionários e prestadores de serviço devem assinar acordos de confidencialidade e não divulgação.

1.3 Gerenciamento de Acesso

  • Política de Controle de Acesso:
    • O acesso a dados pessoais é concedido apenas quando estritamente necessário.
    • Revisões regulares dos direitos de acesso dos usuários.ac
  • Mecanismos de Autenticação:
    • Uso de senhas fortes e autenticação multifator (MFA) para acesso ao sistema.
    • Políticas de bloqueio de conta após várias tentativas de login fracassadas.

1.4 Resposta a Incidentes

  • Plano de Resposta a Incidentes:
    • Procedimentos para detectar, relatar e responder a incidentes de segurança.
    • Equipe designada de resposta a incidentes.
  • Procedimentos de Notificação:
    • Obrigação de notificar Clientes e autoridades sobre violações de dados pessoais sem demora injustificada.

1.5 Gerenciamento de Fornecedores

  • Due Diligence:
    • Avaliação de Subprocessadores quanto à conformidade com padrões de proteção de dados.
  • Contratos:
    • Garantir que os contratos com Subprocessadores incluam obrigações de proteção de dados.

2. Medidas Técnicas

2.1 Criptografia de Dados

  • Em Trânsito:
    • Dados pessoais são criptografados durante a transmissão em redes públicas usando TLS 1.2 ou superior.
  • Em Repouso:
    • Dados pessoais armazenados em bancos de dados e backups são criptografados usando os serviços de criptografia da AWS (por exemplo, criptografia AES-256 para volumes EBS, criptografia RDS).

2.2 Segurança de Rede

  • Infraestrutura AWS:
    • Nosso Serviço é hospedado na Amazon Web Services (AWS), utilizando sua infraestrutura e serviços seguros.
  • Firewalls e Security Groups:
    • AWS Security Groups são usados para controlar o tráfego de entrada e saída dos recursos, atuando como firewalls virtuais no nível da instância.
  • Virtual Private Cloud (VPC):
    • A AWS VPC é configurada para isolar e proteger o tráfego de rede.
    • Sub-redes privadas são usadas para recursos internos, garantindo que bancos de dados e caches não fiquem expostos à internet pública.
  • AWS CloudFront e Application Load Balancer (ALB):
    • AWS CloudFront atua como rede de distribuição de conteúdo (CDN) e ponto de entrada, oferecendo distribuição segura e eficiente.
    • O AWS ALB distribui o tráfego de entrada para contêineres do Amazon ECS (Elastic Container Service) que hospedam a aplicação.
  • Detecção de Intrusão e Monitoramento de Ameaças:
    • Embora sistemas IDS/IPS dedicados não sejam utilizados, os serviços da AWS oferecem recursos de monitoramento de tráfego de rede.

2.3 Segurança de Sistema

  • Gerenciamento de Configuração Segura:
    • A infraestrutura é gerenciada com Terraform, permitindo configurações consistentes e seguras em todos os ambientes.
  • Segregação de Ambientes:
    • Ambientes separados para desenvolvimento (“sandbox”), homologação (staging) e produção são mantidos para testar alterações de código e infraestrutura antes da implantação.
  • Gerenciamento de Patches:
    • Atualizações e patches regulares são aplicados a sistemas operacionais e aplicações, aproveitando serviços e automação da AWS quando aplicável.

2.4 Segurança de Aplicações

  • Práticas de Desenvolvimento Seguro:
    • Adoção dos princípios do Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC).
    • Revisões de código, análise de código estático e testes de segurança são realizados regularmente.
  • Testes de Penetração:
    • Avaliações de segurança periódicas e varreduras de vulnerabilidade são realizadas, incluindo testes de penetração de terceiros quando apropriado.

2.5 Controle de Acesso

  • AWS Identity and Access Management (IAM):
    • O controle de acesso baseado em funções (RBAC) é aplicado usando funções e políticas do AWS IAM.
    • O acesso aos recursos da AWS é concedido com base no princípio do menor privilégio.
  • Autenticação Multifator (MFA):
    • MFA é obrigatório para todo acesso administrativo às interfaces de gerenciamento da AWS.
  • Registro e Monitoramento:
    • O AWS CloudTrail é usado para registrar chamadas de API e ações dentro do ambiente AWS.
    • O AWS CloudWatch monitora logs e métricas para detectar anomalias.

2.6 Backup e Recuperação de Dados

  • Backups Regulares:
    • Backups automáticos dos bancos de dados são realizados usando os recursos de backup automatizado do AWS RDS.
  • Backups Criptografados:
    • Os dados de backup são criptografados em repouso usando o AWS Key Management Service (KMS).
  • Plano de Recuperação de Desastres:
    • Procedimentos documentados para restauração de dados e continuidade do serviço estão implementados.
  • Testes dos Processos de Recuperação:
    • Testes regulares de restauração de backup e procedimentos de recuperação são realizados.

2.7 Segurança Física

  • Data Centers da AWS:
    • Os controles de segurança física são gerenciados pela AWS, incluindo:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • Conformidade AWS:
    • Os data centers da AWS obedecem a padrões do setor, como ISO 27001 e SOC 1/2/3, o que sustenta nossos esforços de conformidade.

2.8 Segurança de Endpoint

  • Políticas de Segurança de Dispositivos:
    • Os dispositivos da empresa são protegidos com:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Acesso Remoto:
    • Conexões VPN seguras são obrigatórias para acesso remoto a sistemas internos, quando aplicável.
  • Capacidade de Apagamento Remoto:
    • Capacidade de apagar remotamente dispositivos da empresa em caso de perda ou roubo.

2.9 Registro e Monitoramento

  • Registro Abrangente:
    • Logs detalhados de atividades do sistema, logs de acesso e logs de erro são mantidos.
  • Monitoramento de Segurança:
    • Monitoramento em tempo real de eventos de segurança usando serviços da AWS como CloudWatch e GuardDuty.
  • Alertas:
    • Alertas automáticos são configurados para atividades suspeitas ou incidentes de segurança.

2.10 Minimização e Pseudonimização de Dados

  • Minimização de Dados:
    • Coleta e processamento apenas dos dados pessoais necessários para os fins especificados.
  • Pseudonimização e Anonimização:
    • Quando apropriado, os dados pessoais são pseudonimizados ou anonimizados para reduzir o risco aos titulares.

3. Testes e Avaliações Regulares

  • Varredura de Vulnerabilidade:
    • Varredura automatizada regular dos sistemas para detectar vulnerabilidades, utilizando ferramentas compatíveis com ambientes AWS.
  • Auditorias de Segurança:
    • Auditorias e avaliações de segurança periódicas são realizadas para avaliar a eficácia das medidas de segurança.
  • Revisões AWS Well-Architected:
    • Revisões regulares utilizando o AWS Well-Architected Framework para garantir a adoção de melhores práticas.

4. Conformidade com Padrões

  • Conformidade Regulatória:
    • Conformidade com o GDPR e outras leis de proteção de dados aplicáveis.
  • Alinhamento às Melhores Práticas:
    • Alinhamento das práticas de segurança às melhores práticas e diretrizes do setor, incluindo:
  • Melhores Práticas de Segurança da AWS.
    • NIST Cybersecurity Framework.

5. Proteção de Dados por Concepção e por Padrão

  • Avaliações de Impacto na Privacidade (PIAs):
    • Realizado para novas atividades de processamento ou mudanças significativas em processos existentes.
  • Configurações Seguras Padrão:
    • Sistemas e aplicações são configurados para garantir que, por padrão, apenas os dados pessoais necessários sejam processados.

6. Conscientização e Treinamento

  • Educação dos Colaboradores:
    • Sessões de treinamento regulares sobre políticas, procedimentos e melhores práticas de proteção de dados, incluindo treinamento de segurança específico da AWS.
  • Programas de Conscientização em Segurança:
    • Iniciativas contínuas para promover uma cultura de segurança e privacidade dentro da organização.

7. Segurança de Subprocessadores

  • Modelo de Responsabilidade Compartilhada da AWS:
    • Compreensão e adesão ao Modelo de Responsabilidade Compartilhada da AWS, no qual a AWS é responsável pela segurança 'da' nuvem e nós somos responsáveis pela segurança 'na' nuvem.
  • Gestão de Fornecedores:
    • Avaliação regular dos Subprocessadores para garantir que cumpram nossos requisitos de segurança e conformidade.

8. Gerenciamento de Incidentes

  • Detecção e Relato:
    • Sistemas implementados para detectar prontamente incidentes de segurança usando serviços de monitoramento da AWS.
  • Procedimentos de Resposta:
    • Etapas definidas para contenção, erradicação, recuperação e comunicação.
  • Obrigações de Notificação:
    • Procedimentos para notificar Clientes e autoridades sobre violações de dados pessoais sem demora injustificada.

9. Retenção e Exclusão de Dados

  • Políticas de Retenção de Dados:
    • Os dados pessoais são retidos apenas pelo tempo necessário para os fins para os quais foram coletados ou conforme exigido por lei.
  • Exclusão Segura:
    • Ao término do período de retenção, os dados pessoais são excluídos ou anonimizados de forma segura.
  • Solicitações de Exclusão de Dados:
    • Processos implementados para atender solicitações de exclusão de titulares de dados em conformidade com o GDPR.

10. Informações de Contato

Para quaisquer dúvidas ou preocupações sobre nossas medidas técnicas e organizacionais, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

  • Nome: Klas Karlsson
  • E-mail: dpo@deskhero.com
  • Telefone: +46 70 601 13 22

Observação: Este documento pode ser atualizado periodicamente para refletir mudanças em nossas práticas de segurança. Notificaremos os Clientes sobre alterações significativas conforme descrito em nossa Política de Privacidade e Acordo de Processamento de Dados.