A RUPTELA toma todas as medidas organizacionais e técnicas necessárias para garantir a segurança dos dados que processa e para proteger os dados pessoais que processa contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos.
Políticas e procedimentos de segurança de dados pessoais. A segurança dos dados pessoais e seu processamento na organização são documentados como parte da política de segurança da informação. A política de segurança é revisada anualmente.
Confidencialidade. Antes de assumir suas funções, os funcionários devem revisar e concordar com a política de segurança da organização e assinar os respectivos acordos de confidencialidade e não divulgação.
Treinamento. A organização garante que todos os colaboradores entendam suas responsabilidades e obrigações relacionadas ao processamento de dados pessoais. Funções e responsabilidades são claramente comunicadas durante o processo de seleção e/ou contratação.
A organização garante que todos os funcionários estejam adequadamente informados sobre os controles de segurança do sistema de TI que se relacionam com seu trabalho cotidiano. Os colaboradores envolvidos no processamento de dados pessoais também são informados sobre os requisitos relevantes de proteção de dados e obrigações legais por meio de campanhas regulares de conscientização.
Além disso, temos um Chefe de Proteção de Dados que é nomeado e responsável pela proteção de dados na organização, pela disseminação do conhecimento e pela garantia do cumprimento do LGPD. O Oficial de Proteção de Dados pode ser contatado por e-mail: [email protected].
Política de controle de acesso. Os direitos específicos de controle de acesso são atribuídos a cada funcionário, que está envolvido no processamento de dados pessoais, seguindo o princípio de “saber apenas o necessário”. A política de controle de acesso é detalhada e documentada. A organização determina as regras adequadas de controle de acesso, direitos de acesso e restrições aos colaboradores para os processos e procedimentos relacionados aos dados pessoais durante a reorganização da organização, demissão de funcionários ou mudança de funções.
Gerenciamento de controle de acesso. O acesso aos recursos internos da Ruptela é protegido e gerenciado através do Active Directory. A autenticação multifatorial O365 está habilitada para todos os usuários. Além dos sistemas O365 que contêm dados de clientes, os sistemas que contêm dados do cliente são acessíveis apenas a partir da rede interna por funcionários autorizados com suas contas exclusivas. O acesso é removido imediatamente após a rescisão do contrato do funcionário em caso de demissão. A cada 6 meses, a auditoria da empresa é realizada para garantir que não existam contas não autorizadas.
Gestão de mudanças. Todas as alterações no sistema de TI são registradas e monitoradas por funcionário designado.
Criptografia. As soluções Ruptela usam protocolos SSL/TLS com algoritmos de criptografia de alto grau para garantir a segurança dos serviços expostos externamente. Além disso, a Ruptela também utiliza uma VPN IPSec com criptografia de alto grau para proteger a comunicação entre sites remotos ou pontos de serviço.
Backups. Os backups são realizados pelo menos uma vez por dia. Todos os dados armazenados em bancos de dados de produção têm réplicas. O banco de dados de coordenadas é replicado para três nós separados (quórum). Os usuários finais não são elegíveis para excluir informações diretamente em um nível de banco de dados.
Registro de Logs. A Ruptela usa a solução de registro de log que restreia as alterações que foram realizadas em máquinas virtuais. As ações dos usuários do sistema (logins/logins, exclusão, entrada) também são monitoradas e podem ser identificadas através do endereço IP dos usuários.
Continuidade de negócios. A Ruptela estabeleceu os principais procedimentos e controles a serem seguidos para garantir o nível necessário de continuidade e disponibilidade do sistema de TI que processa dados pessoais no caso de um incidente de violação de dados. O plano de continuidade de negócios é regularmente testado para avaliar se será possível garantir um serviço ininterrupto em caso de incidente.
Violações de dados e incidentes. A Ruptela estabeleceu um plano de resposta a incidentes de segurança que garante uma gestão eficaz de incidentes relacionados à segurança de dados pessoais. Incidentes e violações de dados são registrados. Eles são denunciados à gerência com a devida celeridade. São estabelecidos procedimentos de notificação para o relato das violações às autoridades competentes e aos sujeitos dos dados.
Processadores de dados. São definidas diretrizes formais e procedimentos que cobrem o processamento de dados pessoais por processadores de dados (fornecedores/terceirizados) e acordados antes do início das atividades de processamento.
Avaliação do impacto na proteção de dados. Ao escolher os sistemas de informação necessários para as atividades da organização, avalia-se o impacto na proteção de dados de acordo com a LGPD. Apenas software certificado é usado, que é atualizado regularmente.
Controle de acesso físico. O acesso ao local é protegido por um sistema de controle de acesso.
Proteção contra malware. Todas as estações de trabalho são protegidas por antivírus, tem o Sistema Operacional Microsoft Windows 10 com todas as atualizações de segurança mais novas e são gerenciadas centralmente. Os discos rígidos da estação de trabalho estão criptografados.
Gestão de consultas. Todas as consultas de clientes são registradas em um sistema centralizado especificando o tempo de consulta. O login no sistema é controlado por senha. O sistema gerencia incidentes, mudanças e consultas. A gestão centralizada de problemas e mudanças também é garantida. A qualidade da operação dos sistemas de clientes é garantida por meio de monitoramento contínuo onde cada evento é registrado e analisado em um sistema centralizado. Os incidentes são gerenciados de acordo com um plano estabelecido de resposta a incidentes, informando os responsáveis e, se necessário, formando uma Equipe de Gestão de Continuidade de Negócios. São realizados testes e treinamentos periódicos, estabelecidos no plano de continuidade de negócios
Software. Correções críticas e importantes para vulnerabilidades de segurança de software são implementadas para todos os softwares.
Data centers. A Ruptela armazena seus servidores em dois data centers certificados nível 3 e com Design certificado nível 3. Os dados são armazenados na Área Econômica Europeia e não são transferidos para os países terceiros.