política de segurança

A segurança é uma das partes mais vitais na oferta de uma solução de software em nuvem para nossos clientes. A proteção de dados confidenciais é fundamental para nossos valores na Accept Mission. É por isso que implementamos políticas de segurança rigorosas que continuamos revisando, atualizando e desenvolvendo. Como organização e nas soluções de software que entregamos.

“Estamos comprometidos com a segurança e privacidade da informação”

A Accept Mission mantém um programa abrangente de segurança da informação que inclui medidas técnicas e organizacionais apropriadas projetadas para proteger os dados de cluster de nossos clientes contra acesso, modificação ou exclusão não autorizados.

Isolamos os clientes uns dos outros
Todos os clientes Enterprise são isolados com seu próprio banco de dados com credenciais exclusivas e geradas aleatoriamente, protegidas e criptografadas usando o Serviço Azure Kubernetes. Todos os clientes ficam isolados dentro de seu próprio namespace no Kubernetes, com políticas de rede, funções e outras medidas de segurança em vigor para garantir que cada locatário esteja realmente isolado.

Fornecemos acesso SSO à plataforma
Os administradores do espaço de trabalho têm a opção de habilitar o acesso seguro de Logon único à plataforma. Fornecemos muitas maneiras diferentes de conseguir isso: SAML, Azure B2B, OpenID e criamos integrações com provedores de SSO de terceiros.

Monitoramos proativamente o serviço
Verificamos regularmente nossos painéis de monitoramento de serviços e temos alertas configurados para notificar nossa equipe se algo parecer fora do lugar.

Mantemos o software atualizado
Usamos prazos de correção rápidos para vulnerabilidades críticas e altas. A cada duas semanas, novas atualizações de software são instaladas quando disponíveis, seguras e estáveis para nossa solução SaaS.

Monitoramos e agimos em caso de comportamento suspeito
Padrões de rede incomuns ou comportamento suspeito são monitorados. Os sistemas de detecção e prevenção de intrusão da infraestrutura do Microsoft Azure (IDS/IPS) contam com segurança baseada em assinatura e segurança baseada em algoritmo para identificar padrões de tráfego semelhantes aos métodos de ataque conhecidos. O IDS/IPS envolve o controle rígido do tamanho e da composição da superfície de ataque, empregando controles de detecção inteligentes nos pontos de entrada de dados e desenvolvendo e implantando tecnologias que corrigem automaticamente situações perigosas, além de impedir que ameaças conhecidas acessem o sistema no primeiro Lugar, colocar.

A Accept Mission não fornece acesso direto à análise forense de eventos de segurança, mas fornece acesso às equipes de engenharia e suporte ao cliente durante e após qualquer tempo de inatividade não programado.

Nós auditamos continuamente durante o processo de desenvolvimento
Aceite as mudanças de auditorias da Missão em nosso aplicativo durante todo o ciclo de vida de desenvolvimento por meio de revisões de arquitetura e processos rigorosos de revisão de código automatizados e manuais.

Incluímos controles de segurança
Tomamos medidas significativas para garantir que os dados do cliente da Accept Mission não possam ser lidos, copiados, modificados ou excluídos durante a transmissão eletrônica, transporte ou armazenamento por meios não autorizados.
Para reduzir a probabilidade de incidentes relacionados a vulnerabilidades, a equipe Accept Mission implanta posturas com base nos kernels mais recentes do sistema operacional e corrige a “frota” de computação sempre que um CVE crítico (ou seja, “Vulnerabilidade e exposição comuns”, em linguagem de segurança) é descoberto em qualquer software componente.

Usamos as versões mais recentes do Encryption TLS v1.3
Os clusters são implantados atrás de proxies e não são visíveis para a verificação da Internet. A comunicação criptografada do Transport Layer Security (TLS) da Internet é fornecida na configuração padrão (versão 1.3). Os nós Accept Mission são executados em contêineres isolados, configurados de acordo com o princípio de privilégio mínimo e com restrições em chamadas de sistema e operações de root permitidas. Os nós de missão de aceitação se comunicam usando TLS. Os dados do cluster são criptografados em repouso. O acesso à API é limitado a APIs Accept Mission e nenhum acesso remoto à instância ou contêiner no nível do Linux é permitido. Os contêineres não têm meios de configurar a comunicação com contêineres de outro cluster.

Não realizamos testes de penetração baseados na Internet contra ofertas de produção da Accept Mission, no entanto, usamos terceiros para realizar avaliações de segurança de aplicativos em relação aos componentes do software Accept Mission usados para fornecer esses serviços.

Praticamos a Gestão Responsável de Vulnerabilidades
A Accept Mission reconhece que o desenvolvimento de software inclui inerentemente a possibilidade de introduzir vulnerabilidades. Aceitamos e divulgamos vulnerabilidades descobertas em nosso software de maneira transparente.

Atuamos em Conformidade com os Princípios do GDPR
A Accept Mission está operando em conformidade com os princípios do GDPR. Os clientes da Accept Mission são cobertos pelo Adendo de Processamento de Dados da Missão de Aceitação (DPA).

Protegendo seu conta
Na Accept Mission, sabemos que a segurança é responsabilidade de todos. É por isso que colocamos a segurança no desenvolvimento de nossos produtos e na base do Accept Mission Cloud. A segurança e a privacidade de seus dados SaaS do Accept Mission Cloud também dependem de você manter a confidencialidade de suas credenciais de login do Accept Mission Cloud.

Aqui está uma lista de verificação rápida:

  • Não compartilhe suas credenciais com outras pessoas.
  • Atualize o perfil da sua conta para garantir que as informações estejam corretas e atualizadas.
  • Certifique-se de definir senhas seguras.
  • Se você acredita que uma conta foi comprometida, entre em contato conosco.
  • Se você precisar fazer uma solicitação de apagamento, entre em contato conosco.

Nossa Declaração de Privacidade é Transparente e Clara
A Accept Mission respeita os direitos de privacidade dos indivíduos. Nossa Política de Privacidade deixa muito claro quando coletamos dados pessoais e como os usamos. Escrevemos nossa política de privacidade em linguagem simples para ser transparente para nossos usuários e clientes.

Operamos em uma plataforma SaaS em nuvem moderna
Usamos a infraestrutura do Microsoft Azure para nosso datacenter em nuvem, o que significa que nossos clientes se beneficiam das práticas de segurança abrangentes e das certificações de conformidade do GCP. Padrão, todos os nossos servidores estão localizados na Europa Ocidental. Os clientes corporativos podem optar por colocar seu servidor de banco de dados em outro local do mundo. Não hospedamos dados de clientes em nossas instalações nem armazenamos dados de clientes com quaisquer outros serviços de terceiros. O GCP é um provedor de nuvem líder que possui as melhores certificações de segurança do setor, como SOC2 e ISO 27001, e fornece criptografia em trânsito e em repouso.

O Accept Mission Cloud está hospedado na infraestrutura que controlamos via Microsoft Azure Kubernetes. Para permitir que ele se comunique com seus sistemas, executamos um único NAT pelo qual todo o tráfego vinculado à Internet flui. Não persistimos nenhum de seus dados e todos os cálculos são executados em contêineres de curta duração que terminam após a conclusão das tarefas. Nosso cluster e bancos de dados são todos hospedados em uma VPC privada com todos os IPs privados. Conectamos ao cluster via SSH a um bastion node configurado com redes autorizadas.

Controle de acesso físico
A missão de aceitação está hospedada na infraestrutura do Microsoft Azure Cloud. Os data centers do Azure apresentam um modelo de segurança em camadas, incluindo amplas proteções, como:

  • Cartões de acesso eletrônico personalizados
  • Alarmes
  • Barreiras de acesso de veículos
  • Cerca de perímetro
  • Detectores de metal
  • Biometria

De acordo com o Microsoft Security Whitepaper: “O piso do data center apresenta detecção de intrusão de feixe de laser. Os data centers são monitorados 24 horas por dia, 7 dias por semana, por câmeras internas e externas de alta resolução que podem detectar e rastrear intrusos. Logs de acesso, registros de atividades e filmagens de câmeras são revisados caso ocorra um incidente. Os data centers também são patrulhados rotineiramente por guardas de segurança profissionais que passaram por rigorosas verificações de antecedentes e treinamento.”

Os funcionários da Accept Mission não têm acesso físico aos data centers, servidores, equipamentos de rede ou armazenamento do Microsoft Azure.

Controle de acesso à rede
A Accept Mission é o administrador atribuído de sua infraestrutura na infraestrutura do Microsoft Azure Cloud, e apenas os membros autorizados da equipe de operações da Accept Mission têm acesso para configurar a infraestrutura conforme necessário por trás de uma rede privada virtual autenticada de dois fatores. Chaves privadas específicas são necessárias para servidores individuais e as chaves são armazenadas em um local seguro e criptografado.

Teste de penetração
A Accept Mission passa por avaliação de vulnerabilidade e testes de penetração, conduzidos por uma agência terceirizada independente anualmente. Para nossos clientes de nível empresarial, estamos felizes em fornecer os resultados de suas descobertas e a mitigação que aplicamos.

Auditoria de terceiros
A infraestrutura do Microsoft Azure Cloud passa por várias auditorias independentes de terceiros regularmente e pode fornecer verificação de controles de conformidade para seus data centers, infraestrutura e operações. Isso inclui, mas não está limitado, à certificação SOC 2 compatível com SSAE 16 e à certificação ISO 27001.

Continuidade de Negócios e Recuperação de Desastres

Alta disponibilidade
Cada parte do serviço Accept Mission usa servidores redundantes adequadamente provisionados (por exemplo, vários balanceadores de carga, servidores web, bancos de dados de réplica) em caso de falha. Como parte da manutenção regular, os servidores são retirados de operação sem afetar a disponibilidade.

Continuidade de Negócios
A Accept Mission mantém backups criptografados contínuos de dados na infraestrutura do Microsoft Azure Cloud. Embora nunca esperado, no caso de perda de dados de produção (ou seja, perda de armazenamentos de dados primários), restauraremos os dados organizacionais desses backups.

Recuperação de desastres
No caso de uma interrupção em toda a região, o Accept Mission apresentará um ambiente duplicado em uma infraestrutura diferente do Microsoft Azure Cloud. Sempre respeitamos a localização dos dados com base no acordo dos clientes.

Objetivo do ponto de recuperação (RPO)
A idade máxima aceitável dos dados que podem ser restaurados (ou ponto de recuperação) e a versão dos dados perdidos. RPO: '24 horas'.

Objetivo de tempo de recuperação (RTO)
O tempo máximo aceitável necessário para uma organização recuperar dados perdidos e voltar a funcionar. RTO: '72 horas'.

Trânsito de dados

Dados em servidores
Todas as conexões de entrada para nossos servidores devem ser criptografadas com criptografia SSL padrão do setor. O relatório mais recente do SSL Labs pode ser encontrado aqui.

Dados entre nossos servidores
As conexões entre nossos servidores (ou seja, servidores web <-> bancos de dados) são criptografadas via TLS v1.3 com um método de criptografia AES-256bit. Segredos como senha de banco de dados, segredos de API são criptografados usando o mesmo método AES-256bit.

Dados de nossos servidores
Depois que a solicitação é processada, a resposta é enviada de volta usando a mesma conexão HTTPs SSL criptografada.

Segurança e privacidade de dados

Criptografia de dados
Todos os dados nos servidores Accept Mission são criptografados automaticamente em repouso. A infraestrutura do Microsoft Azure Cloud armazena e gerencia chaves de criptografia de dados em seu Key Management Service redundante e distribuído globalmente. Assim, se um intruso fosse capaz de acessar qualquer um dos dispositivos de armazenamento físico, os dados da Missão de Aceitação contidos nele ainda seriam impossíveis de descriptografar sem as chaves, tornando as informações uma confusão inútil de caracteres aleatórios.

A criptografia em repouso também permite medidas de continuidade, como backup e gerenciamento de infraestrutura, sem comprometer a segurança e a privacidade dos dados. A Accept Mission envia dados exclusivamente por meio de conexões criptografadas de segurança da camada de transporte HTTPS (TLS) para segurança adicional à medida que os dados transitam de e para o aplicativo.

Retenção e Remoção de Dados
Armazenamos todos os dados por até 6 anos, a menos que sua conta seja excluída. Nesse caso, descartamos todos os dados de acordo com nossos Termos de Serviço e Política de Privacidade, em até 60 dias. As informações sobre transações legais entre clientes e Accept Mission serão armazenadas por até 5 anos.

Treinamento de segurança
Todos os novos funcionários recebem treinamento de integração e sistemas, incluindo configuração de ambiente e permissões, treinamento formal de desenvolvimento de software (se pertinente), revisão de políticas de segurança, revisão de políticas da empresa e treinamento em valores corporativos e ética.

Todos os engenheiros revisam as políticas de segurança como parte da integração e são incentivados a revisar e contribuir com as políticas por meio de documentação interna. Qualquer alteração na política que afete o produto é comunicada como um pull request, para que todos os engenheiros possam revisar e contribuir antes da publicação interna. As principais atualizações são comunicadas por e-mail a todos os funcionários.

Política de divulgação
A Accept Mission segue o processo de tratamento e resposta a incidentes recomendado pelo SANS, que inclui identificar, conter, erradicar, recuperar, comunicar e documentar eventos de segurança. A Accept Mission notifica os clientes sobre quaisquer violações de dados em até 2 dias úteis por e-mail ou telefone, seguido de atualizações periódicas, abordando o progresso e o impacto.

Relatório ao vivo do status dos sistemas
A Accept Mission mantém um relatório ao vivo de tempo de atividade operacional e problemas em nosso página de status.

Plano de resposta a incidentes
No caso de um incidente de segurança, é melhor ter um plano e responsabilidades claramente definidos. Abaixo, você encontrará mais detalhes sobre o plano de resposta que a Accept Mission possui no caso improvável de uma violação de segurança.

Responsabilidades
Nível 1: dependendo de como o incidente é relatado/descoberto, geralmente temos o primeiro nível de suporte técnico que provavelmente fará a triagem/encaminhamento do problema. Normalmente, essa função é reservada para quem está no turno de suporte técnico de nível 1 no momento.

Nível 2: É um engenheiro sênior ou CTO que classifica o impacto do incidente de segurança.

Nível 3: CTO ou CEO é responsável pela comunicação com as partes afetadas sobre os detalhes da violação.

Processo de triagem
Antes de escalar o incidente para o próximo nível, a pessoa que primeiro descobrir sobre ele precisa verificar o incidente e seu impacto inicial.

Processo de encaminhamento
Uma vez verificado o processo de escalonamento deve ser imediato para o nível 2 e depois para o nível 3 verbalmente, por telefone, e-mail, qualquer que seja o meio disponível.

Processo de classificação
Uma vez escalado, a classificação/gravidade do incidente deve ser determinada. Afeta todos os clientes? Uma única empresa? Um indivíduo? Que tipo de dados foi afetado, se houver? Foi criptografado? Se sim, como?

Processo de investigação
Analise todos os elementos do incidente para identificar todas as causas ou onde ocorreu uma falha, incluindo software, hardware, pessoas e processos internos.

Lições aprendidas
Com base no resultado da investigação, determine o que pode ser feito para evitar esse ataque e quais mecanismos de defesa falharam e tome medidas imediatas para remediar a causa e melhorar o processo futuro.

Entrando em contato com a Aceitar Missão

Se você tiver alguma dúvida sobre a Política de Segurança, entre em contato conosco.

Aceitar Missão
Van Nelleweg 1,
3044 aC, Roterdã

Esta Política de Segurança entra em vigor a partir de 01 de janeiro de .