Pular para o conteúdo principal
PT Deutsch English Español Français Italiano

Medidas de segurança

A lista abaixo representa as medidas técnicas e organizacionais da Dudaem 29 de julho de 2024. A Duda se reserva o direito de revisar essas medidas técnicas e organizacionais a qualquer momento, sem aviso prévio, desde que tais revisões não reduzam ou enfraqueçam materialmente a proteção fornecida aos dados pessoais que a Empresa processa ao fornecer seus diversos serviços. A Duda tomará as seguintes medidas de segurança técnicas e organizacionais para proteger os dados pessoais:

Medidas organizacionais

  • Governança da segurança da informação

    • A empresa é certificada pela ISO 27001:2022.

    • A empresa nomeou um gerente de segurança da informação que se reporta diretamente a um executivo sênior da empresa.

    • Um conjunto de políticas e padrões de segurança da informação é documentado, aprovado e mantido regularmente.

    • A empresa tem seguro cibernético.

    • Um plano de resposta a incidentes é documentado e testado rotineiramente para garantir uma resposta eficaz e a recuperação mais rápida no caso de um incidente de segurança.

  • Controle de RH

    • Todos os funcionários da empresa passam por sessões rotineiras de treinamento de conscientização sobre segurança.

    • As verificações de antecedentes de novos funcionários estão em uso quando legal de acordo com a legislação local.

    • Os funcionários da empresa estão comprometidos com a conformidade com os princípios de proteção à privacidade e segurança da informação.

    • Os funcionários com acesso a dados pessoais estão sujeitos à confidencialidade com base em acordos de confidencialidade (NDA) ou cláusulas equivalentes.

    • Após a rescisão, os direitos de acesso dos funcionários são revogados e um lembrete sobre suas obrigações de segurança é feito.

  • Treinamento e conscientização sobre segurança da informação

    • A empresa define metas relacionadas à segurança como metas da empresa e atua para aumentar a conscientização sobre questões de segurança e privacidade da informação.

    • Sessões periódicas de treinamento e conscientização sobre segurança e privacidade são realizadas para todos os funcionários.

Medidas técnicas

  • Segurança de rede e nuvem

    • O ambiente de nuvem da empresa é hospedado e suportado pela AWS. Para obter mais informações sobre segurança física, consulte os controles de segurança da AWS.

    • Os dados em repouso e em trânsito são criptografados com algoritmos de criptografia de nível industrial.

    • Uso de firewalls (tanto de rede quanto de aplicativos) e sistemas de autenticação.

    • O acesso administrativo à infraestrutura em nuvem é protegido com senhas fortes, 2FA habilitado e acesso remoto via VPN e tunelamento SSH.

    • Segregação total da rede de produção e dos ativos de nuvem (VPC) dos ambientes de teste e desenvolvimento.

    • O uso de sistemas de detecção de intrusão, baseados em rede (NIDS) e baseados em host (HIDS).

    • Toda comunicação de saída TCP é criptografada por TLS.

  • Confidencialidade dos dados pessoais processados

    • Os dados pessoais armazenados e processados pela empresa são adequadamente protegidos de acordo com as melhores práticas de negócios, de acordo com empresas semelhantes em setores semelhantes.

    • O acesso aos dados pessoais do cliente é limitado à necessidade de conhecimento.

    • Senhas fortes são aplicadas, e as senhas das lojas são totalmente criptografadas e com hash.

    • Anonimização/pseudonimização de dados pessoais e/ou confidenciais, sempre que aplicável, de acordo com as necessidades técnicas ou comerciais para fornecer o serviço e/ou cumprir a lei.

    • A empresa não fornecerá PII e/ou dados comerciais dos usuários, a menos que a verificação adequada da identidade do proprietário da conta seja estabelecida.

    • Os Dados do Cliente somente serão armazenados enquanto a Empresa e o Cliente tiverem um contrato ativo e enquanto servirem aos propósitos para os quais os dados foram coletados.

    • Processo seguro para exclusão de dados pessoais até o final do período de retenção e/ou sob demanda.

    • Os subprocessadores passam por uma análise de segurança e privacidade das informações do fornecedor com base na confidencialidade dos dados e/ou dos dados pessoais que eles acessam e são obrigados a cumprir os requisitos de segurança do fornecedor.

  • Segurança, integridade e disponibilidade dos sistemas de processamento

    • Os laptops da empresa são equipados com software antimalware e antivírus.

    • Os laptops da empresa são equipados com uma solução de gerenciamento que reforça a política de segurança de laptops da empresa.

    • Verificações regulares de vulnerabilidades de pacotes de código aberto (SCA), código (SAST), aplicativos web (DAST) e infraestrutura em nuvem.

    • Processo de atualização de software (ou seja, gerenciamento de patches) implementado para corrigir as vulnerabilidades identificadas em tempo hábil, de acordo com a avaliação de risco.

    • O uso de sistemas de registro, monitoramento e alerta.

    • Sistemas avançados para mitigar ataques de negação de serviço (DoS/DDoS).

  • Restaure a disponibilidade de sistemas e dados em caso de incidente físico ou técnico

    • O uso de zonas de computação em nuvem de alta disponibilidade em várias localizações geográficas.

    • Os procedimentos de recuperação de desastres (DR) são bem documentados e regularmente revisados e atualizados.

    • Os backups regulares são armazenados com segurança em um ambiente de nuvem separado e podem ser restaurados conforme necessário.

  • Avaliação da eficácia das medidas técnicas e organizacionais

    • Testes de penetração periódicos e sob demanda.

Was this article helpful?

Voltar ao topo