Security Policy - Brazilian Portuguese
Esta Política de Segurança aplica-se aos produtos, serviços, sites e aplicativos oferecidos pela Problem Free Limited. Referimo-nos a esses produtos, serviços, sites e aplicativos coletivamente como os “Serviços” nesta Declaração. Esta Política de Segurança também faz parte dos acordos de usuário para os clientes do FreeOnlineSurveys, KwikSurveys e Shout.
Segurança de recursos humanos
Um programa abrangente de treinamento de conscientização é realizado continuamente para todos os funcionários da Problem Free Limited para enfatizar a necessidade de proteger adequadamente os dados na nuvem dos clientes. Também exigimos que nossos contratados forneçam treinamento de conscientização apropriado para todos os funcionários relevantes, e eles são informados sobre os requisitos específicos.
Criptografia
As transações entre o usuário (incluindo administradores) e o ambiente de nuvem são criptografadas usando TLS 1.2+ por padrão. Se removidos de um datacenter fisicamente seguro, os dados do cliente serão criptografados em repouso. Quaisquer dados enviados entre nossos servidores de produção (como para um banco de dados) serão comunicados apenas por meio de sua própria rede privada, LAN virtual privada ou por um canal criptografado.
Segurança física
Nosso banco de dados primário e servidores web estão localizados em datacenters renomados no Reino Unido. Nossos datacenters possuem segurança no local 24/7, monitoramento por CCTV e controle de acesso por cartões RF. O datacenter possui certificações de gestão de segurança da informação ISO 27001. Backups são criptografados antes de serem transferidos para a nuvem Amazon S3 (UE). Todos os datacenters que usamos terão segurança física adequada.
Controle de acesso e registro
Utilizamos o princípio de “autenticação em todos os lugares” para todos os sistemas administrativos internos. Os funcionários só têm acesso a sistemas e dados pessoais se for necessário para o desempenho de suas funções. Registramos logs de auditoria de qualquer acesso a contas de clientes (incluindo nossa própria equipe), bem como operações importantes que ocorrem em suas contas para fins legais e de segurança. O acesso dos funcionários aos sistemas da empresa será revogado dentro de 24 horas após a rescisão. Políticas de senhas complexas são aplicadas. Logs de servidores são enviados para um agregador de logs externo.
Gestão de ativos
Todos os discos rígidos da empresa são criptografados com criptografia de disco completo. Somente dispositivos devidamente seguros pela empresa poderão acessar redes da empresa. PCs dos funcionários possuem firewalls instalados como padrão, bem como software anti-malware que verifica sistemas em busca de vulnerabilidades pelo menos uma vez por semana.
Desenvolvimento
Nosso serviço é construído na plataforma Microsoft .NET MVC de nível empresarial e usa um ORM para interagir com o banco de dados do cliente. Isso previne muitas das vulnerabilidades de segurança mais comuns (como injeção de SQL). Utilizamos sistemas de automação de implantação para mover o código do sistema de controle de fonte distribuído para ambientes de staging para revisão e teste antes de implantar no ambiente de produção. Sistemas de staging e produção são sempre separados.
Teste de vulnerabilidades e gerenciamento de patches
Realizamos periodicamente varreduras de vulnerabilidades em nossos servidores para identificar quaisquer problemas relevantes. Patches de segurança são revisados regularmente e aplicados aos nossos servidores quando apropriado.
Firewall de aplicativo web e proxy de segurança
Nossos servidores são protegidos pela Cloudflare, que fornece defesa especializada contra ataques DDOS, um firewall de aplicativo web para filtrar atividades suspeitas ou perigosas, bloquear endereços IP/usuários conhecidos como “mal-intencionados” e oferecer várias melhorias criptográficas. Nossas pesquisas e formulários são distribuídos para os servidores de borda da Cloudflare para garantir alto desempenho para os usuários finais.
Gestão de incidentes de segurança da informação
Onde acreditarmos ser apropriado informar o cliente sobre um evento de segurança da informação (antes de ser determinado se deve ser tratado como um incidente), ele será comunicado ao administrador designado pelo cliente. Da mesma forma, o cliente pode relatar eventos de segurança ao nosso serviço de suporte, onde serão registrados e ações apropriadas serão decididas. Informações sobre o progresso de tais eventos podem ser obtidas no serviço de suporte. Relataremos incidentes de segurança da informação ao cliente quando acreditarmos que o serviço ou dados do cliente foram ou serão afetados.
Faremos isso ao administrador designado pelo cliente ou substituto assim que razoavelmente possível e compartilharemos o máximo de informações sobre o impacto e a investigação do incidente que acreditarmos ser apropriado para sua resolução eficaz e oportuna. Um gerente de incidentes será nomeado em cada caso, que atuará como ponto de contato da Problem Free Limited para o incidente, incluindo questões relacionadas à captura e preservação de evidências digitais, se necessário. Priorizamos atividades de gestão de incidentes para garantir que os requisitos de tempo do GDPR, para notificação de violações que afetam dados pessoais, sejam atendidos.
Aspectos de segurança da informação da gestão de continuidade de negócios
Nossos datacenters de produção estão distribuídos por várias cidades para fornecer redundância em caso de uma interrupção generalizada. Backups de logs de transações de banco de dados são agendados a cada 15 minutos e são automaticamente criptografados e transferidos para a nuvem de armazenamento Amazon S3. Backups completos e diferenciais adicionais são realizados periodicamente e transferidos para o mesmo local seguro. O código-fonte é armazenado em controle de versão distribuído.
```