A UAB “Ruptela” adota todas as medidas organizacionais e técnicas necessárias para garantir a segurança dos dados tratados e proteger os dados pessoais processados contra qualquer destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidental ou ilícito, aos dados pessoais transmitidos.
A segurança dos dados pessoais e do seu tratamento na organização está documentada como parte da política de segurança da informação. A política de segurança é revisada e atualizada anualmente.
Antes de assumirem suas funções, os colaboradores são solicitados a revisar e concordar com a política de segurança da organização e a assinar os respectivos acordos de confidencialidade e de não divulgação.
A organização garante que todos os colaboradores compreendam suas responsabilidades e obrigações relacionadas ao tratamento de dados pessoais. Papéis e responsabilidades são claramente comunicados durante o processo de pré-contratação e/ou integração.
A organização também assegura que todos os colaboradores estejam devidamente informados sobre os controles de segurança do sistema de TI relacionados ao seu trabalho diário. Os colaboradores envolvidos no tratamento de dados pessoais recebem ainda informações sobre os requisitos de proteção de dados e obrigações legais aplicáveis por meio de campanhas regulares de conscientização.
Além disso, foi nomeado um Encarregado de Proteção de Dados (Data Protection Officer – DPO), responsável pela proteção de dados na organização, pela disseminação de conhecimento e por garantir a conformidade com o GDPR. O Encarregado de Proteção de Dados pode ser contatado pelo e-mail: dpo@ruptela.com.
Direitos específicos de controle de acesso são atribuídos a cada colaborador envolvido no tratamento de dados pessoais, seguindo o princípio da necessidade de conhecimento (need to know). Uma política de controle de acesso detalhada é definida e documentada. A organização estabelece regras, direitos e restrições de acesso adequados para os colaboradores em relação aos processos e procedimentos ligados a dados pessoais, especialmente em casos de reorganização, desligamento de colaboradores ou mudança de funções.
O acesso aos recursos internos da Ruptela é protegido e gerenciado por meio do Active Directory. A autenticação multifator do O365 está habilitada para todos os usuários. Sistemas que não sejam O365 e que contenham dados de clientes só são acessíveis a partir da rede interna por colaboradores autorizados, utilizando contas individuais. O acesso é removido imediatamente após o término do contrato do colaborador. Auditorias de contas são realizadas a cada 6 meses para garantir que não existam contas não autorizadas.
Todas as alterações no sistema de TI são registradas e monitoradas pelo colaborador designado.
As soluções da Ruptela utilizam SSL/TLS com algoritmos de criptografia de alto nível para proteger endpoints de serviços expostos externamente. Além disso, a Ruptela utiliza VPN IPSec com criptografia de alto nível para proteger a comunicação entre sites remotos ou endpoints de serviço.
Os backups são realizados pelo menos uma vez ao dia. Todos os dados armazenados em bancos de dados de produção possuem réplicas. O banco de dados de coordenadas é replicado em três nós separados (quórum). Os usuários finais não têm permissão para excluir informações diretamente no nível do banco de dados.
A Ruptela utiliza soluções de registro que acompanham as alterações realizadas em máquinas virtuais. As ações dos usuários do sistema (logins/logouts, exclusões, inserções) também são monitoradas e podem ser identificadas por meio do endereço IP do usuário.
A Ruptela estabeleceu os principais procedimentos e controles a serem seguidos para garantir o nível necessário de continuidade e disponibilidade do sistema de TI que processa dados pessoais em caso de incidente ou violação de dados pessoais. O plano de continuidade de negócios é testado regularmente para avaliar se é possível garantir a prestação ininterrupta dos serviços em caso de incidente.
A Ruptela estabeleceu um plano de resposta a incidentes de segurança que assegura a gestão eficaz de incidentes relacionados à segurança de dados pessoais. Incidentes e violações de dados são registrados e reportados à gestão sem atrasos indevidos. Existem procedimentos definidos para a notificação das violações às autoridades competentes e aos titulares dos dados.
Diretrizes e procedimentos formais que abrangem o tratamento de dados pessoais por operadores de dados (prestadores de serviço/terceirizados) são definidos, documentados e acordados antes do início das atividades de tratamento.
Ao selecionar os sistemas de informação necessários para as atividades da organização, o impacto sobre a proteção de dados, de acordo com o GDPR, é avaliado. Apenas softwares certificados são utilizados, sendo atualizados regularmente.
O acesso às instalações é protegido por um sistema de controle de acesso.
Todas as estações de trabalho possuem proteção antivírus, utilizam o sistema operacional Microsoft Windows 10 com as atualizações de segurança mais recentes e são gerenciadas centralmente. Os discos rígidos das estações de trabalho são criptografados.
Todas as solicitações de clientes são registradas em um sistema centralizado, com indicação do horário da solicitação. O acesso ao sistema é protegido por senha. O sistema gerencia incidentes, mudanças e consultas. A gestão centralizada de problemas e alterações é garantida. A qualidade da operação dos sistemas dos clientes é assegurada por meio de monitoramento contínuo, no qual cada evento é registrado e analisado em um sistema centralizado. Incidentes são gerenciados de acordo com um plano de resposta estabelecido, com a notificação das pessoas responsáveis e, quando necessário, a formação de uma Equipe de Gestão de Continuidade de Negócios. Testes e treinamentos periódicos, definidos no plano de continuidade de negócios, são realizados.
Correções críticas e importantes para vulnerabilidades de segurança de software são implementadas em todos os sistemas.
A Ruptela hospeda seus servidores em dois data centers com certificação Tier 3 e Tier 3 Design. Os dados são armazenados no Espaço Econômico Europeu (EEE) e não são transferidos para países terceiros.