DECLARAÇÃO DE SEGURANÇA
Conformidade
|
Todos os produtos da INTOO LLC são certificados SOC2 Tipo 2 na categoria de Critérios de Serviços de Confiança de Segurança. Se você precisar de uma cópia do nosso relatório SOC2 Tipo 2 atual, entre em contato com o sucesso do cliente ou gerente de vendas para obter assistência. |
Controles de acesso e autenticação
INTOO LLC restringe o acesso a dados confidenciais e de clientes com base na necessidade de conhecimento da empresa. O acesso é concedido com base na função de cada um dentro da organização. Intoo LLC impõe autenticação multifator obrigatória para todos os acessos a dados confidenciais.
Manuseio de dados e privacidade de dados
A privacidade dos dados é levada a sério em INTOO LLC. Monitoramos regularmente as mudanças nas leis e regulamentos de privacidade de dados e atualizamos nossas políticas e procedimentos de acordo. O treinamento de privacidade de dados é fornecido a todos os funcionários no momento da contratação e regularmente depois disso. A privacidade dos dados é levada em consideração durante todas as fases de desenvolvimento do aplicativo.
- INTOO LLC mantém a conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
- Contamos com a UE. A Comissão aprovou cláusulas contratuais padrão para a transferência de dados do EEE para os Estados Unidos. Temos políticas e procedimentos em vigor para cumprir todas as leis de privacidade de dados aplicáveis.
Para obter mais informações sobre os tipos de dados e para que finalidade, consulte a guia do produto do nosso Política de privacidade.
Criptografia de dados
INTOO LLC utiliza criptografia completa de ponta a ponta. INTOO LLC requer HTTPS para todos os serviços usando TLS 1.2 com apenas os conjuntos de cifras mais seguros. INTOO LLC aproveita a AWS para criptografia de dados em trânsito (TLS) e em repouso (AES-GCM 256). INTOO LLC atualmente usa a política de segurança TLS-1-2-2017-01 em AWS Application Load Balancers e no AWS CloudFront. INTOO LLC usa o AWS Key Management Service (KMS) para habilitar a criptografia de dados em repouso em nossos produtos. Usamos isso para criptografar dados em bancos de dados (RDS) e dados armazenados no S3. O AWS KMS usa o algoritmo Advanced Encryption Standard (AES) no modo Galois/Counter (GCM) com chaves secretas de 256 bits.
Localização do Data Center
INTOO LLC opera na Amazon Web Services (AWS). A AWS segue o Modelo de Responsabilidade Compartilhada. A AWS é responsável pela segurança da nuvem e INTOO LLC é responsável pela segurança na nuvem. Informações sobre a conformidade dos data centers da AWS podem ser encontradas no site de conformidade da AWS aqui. Se você precisar revisar o relatório SOC do data center, poderá revisar o relatório SOC3 da AWS mais recente localizado aqui: Relatório SOC3 da AWS.
Você pode selecionar seu local de armazenamento de dados com base em seus requisitos de localização de dados. Atualmente, operamos data centers nos Estados Unidos e na Europa.
| Produto | Banco de dados de produção | Banco de dados de recuperação de desastres |
|---|---|---|
YourNextStep, INTOOCandidate, INTOOClient | Amazon AWS Data Center nos Estados Unidos, Virgínia do Norte (us-east-1) | Amazon AWS Data Center nos Estados Unidos, Ohio (us-east-2) |
Sua-Latitude (Opção 1)Para clientes que desejam que seus dados residam nos Estados Unidos |
Amazon AWS Data Center nos Estados Unidos, Virgínia do Norte (us-east-1) | Amazon AWS Data Center nos Estados Unidos, Ohio (us-east-2) |
Sua-Latitude (Opção 2)Para clientes que desejam que seus dados residam na UE |
Amazon AWS Data Center na Itália, Milão (eu-south-1) | Amazon AWS Data Center na Alemanha, Frankfurt (eu-central-1) |
Backups e retenção de dados
INTOO LLC mantém um ano de backups de banco de dados, auditoria e logs de aplicativos. Esses backups são armazenados criptografados de acordo com a seção Criptografia de dados listada acima. Para enviar uma solicitação de exclusão de dados, use o Gerenciador de direitos individuais localizado no rodapé de todas as páginas do nosso site..
Conscientização e treinamento
Todos os funcionários da INTOO LLC completam o treinamento obrigatório de conscientização sobre segurança e privacidade no momento da contratação e pelo menos uma vez por ano de forma contínua e regular. Todos os INTOO LLC funcionários e contratados assinam acordos de confidencialidade e não divulgação no momento da contratação e antes do acesso aos dados da empresa ou do cliente.
Continuidade de Negócios / Recuperação de Desastres
Os engenheiros daINTOO LLC projetaram uma arquitetura de produto altamente escalável e resiliente na AWS. Nosso produto resiste a ataques sofisticados e é altamente adaptável. O desempenho de nossos sistemas dentro da arquitetura do produto é monitorado para as principais métricas, garantindo que a carga em qualquer sistema esteja dentro de uma faixa aceitável. Caso algum componente fique sobrecarregado ou sofra uma falha, processos automatizados serão executados para colocar sistemas temporários adicionais on-line ou para substituir sistemas existentes por novos. A automação é incorporada à arquitetura INTOO LLC, para que o monitoramento do sistema, as atualizações e as ações corretivas possam ocorrer conforme necessário com o mínimo ou nenhum tempo de inatividade.
INTOO LLC mantém um ambiente de DR completo e testa o Plano de DR anualmente para garantir que os objetivos de RPO e RTO possam ser atendidos.
Segurança e atualizações de código
O INTOO LLC departamento de engenharia aproveita um pipeline de integração contínua/entrega contínua (CI/CD) para gerenciar implantações de código. O código do aplicativo é armazenado em um repositório de código seguro com controle total de versão. As alterações de código são revisadas por pares e testadas em um ambiente de teste antes de serem enviadas para a produção. Os ambientes de preparo e produção são separados logicamente e nenhum dado é compartilhado entre eles.
Registro e monitoramento:
INTOO LLC coleta logs de auditoria e aplicativos de todos os sistemas. Esses logs são armazenados criptografados em um local de log centralizado, separado do sistema que gera os logs. As entradas de log estão de acordo com os padrões do setor para trilhas de auditoria. INTOO LLC mantém esses logs por um período de um ano para fins comerciais de investigação de atividades anteriores do sistema.
Gerenciamento de dispositivos móveis e remotos (RMM/MDM)
Protegemos as máquinas e laptops de nossos funcionários usando ferramentas de gerenciamento de remoção e gerenciamento de dispositivos móveis para garantir que cada dispositivo siga nossos padrões de segurança de informações, incluindo criptografia, gerenciamento de patches e controles de dispositivos.
Teste de penetração/verificação de vulnerabilidade
INTOO LLC realiza testes de penetração externos de nossos produtos anualmente. Além disso, INTOO LLC executa verificações semanais usando uma ferramenta de verificação de vulnerabilidades líder do setor. Quaisquer vulnerabilidades encontradas durante esses processos são adicionadas ao nosso programa de rastreamento de vulnerabilidades. As vulnerabilidades de segurança são corrigidas de acordo com o seguinte cronograma:
| Prioridade | Crítico (P0) | Alto (P1) | Médio (P2) | Baixo (P3) |
|---|---|---|---|---|
Cronograma de correção | 7 dias | 14 dias | 90 dias | Discricionário |
[Última atualização da página: 28/02/2023]