Política de segurança

Política de segurança

Última modificação: 4 de julho de 2023

Descarregar esta política em PDF
A Electrotechnik Pty Ltd ("ELEK") está empenhada em fornecer aos nossos clientes de software proteção contra ameaças cibernéticas, evitando a perda de dados e cumprindo os requisitos de conformidade.

Adoptámos os princípios da ISO/IEC 27001, que é a norma mais conhecida do mundo para sistemas de gestão da segurança da informação (ISMS). Com esta abordagem, podemos gerir os riscos relacionados com a segurança dos dados detidos e tratados pela nossa empresa, assegurando simultaneamente a adoção das melhores práticas e princípios para evitar potenciais impactos negativos devido à cibercriminalidade e às novas ameaças que estão constantemente a surgir.

Como garantimos a segurança das informações

Estamos empenhados na segurança da informação para garantir a existência de sistemas e controlos rigorosos para manter a segurança da informação para a nossa empresa e clientes. Começamos com a integração do nosso pessoal, que envolve processos e políticas da empresa que sublinham a importância de garantir que todos os dados dos utilizadores permanecem confidenciais e que o acesso a esses dados se destina apenas à realização de tarefas relacionadas com o seu trabalho, incluindo a prestação de serviços aos nossos utilizadores. A nossa Política de Segurança da Informação também refere a importância de manter a confidencialidade de todos os dados dos utilizadores e os mecanismos de eliminação adequados de quaisquer dados pessoais armazenados localmente ou impressos.
Os nossos funcionários comprometem-se a manter a confidencialidade e a segurança da informação como parte dos seus contratos de trabalho e frequentam uma formação de sensibilização para a cibersegurança, com actualizações regulares.
Para além do processo, política e formação da ELEK, temos pontos de entrada rigorosos para aceder a sistemas que contêm dados sensíveis do utilizador. Consulte a nossa Política de Privacidade para obter mais informações.

Gestão da identidade e do acesso

Utilizamos a Microsoft como fornecedor de identidade empresarial e aplicamos políticas de palavras-passe altamente seguras. Todos os funcionários são obrigados a utilizar a autenticação de dois factores (2FA) para iniciar sessão.
O acesso aos nossos serviços de nuvem na Amazon Web Services (AWS) é concedido com o AWS Identity and Access Management (IAM) com base na função e nos princípios da necessidade de conhecer e do menor privilégio.
É efectuada uma revisão trimestral do acesso dos utilizadores, sendo retirado o acesso que já não é necessário. Quando os funcionários terminam o seu contrato de trabalho, todo o acesso aos sistemas é revogado imediatamente após a saída.

Proteção do correio eletrónico

Utilizamos o Microsoft 365 como fornecedor de correio eletrónico da nossa equipa, o Amazon Simple Email Service (SES) para enviar mensagens de correio eletrónico a partir da nossa aplicação e o sistema de emissão de bilhetes de correio eletrónico para enviar mensagens de correio eletrónico de apoio ao cliente. DMARC e SPF estão em vigor para os nossos domínios de correio eletrónico.
Os funcionários são continuamente informados e instruídos sobre as melhores práticas para evitar o phishing.

Segurança da rede

As estações de trabalho do nosso pessoal estão numa rede local virtual (VLAN) dedicada, que é de utilização restrita ao nosso pessoal.

Acesso aos dados do utilizador

Tratamos todos os dados que os utilizadores submetem a qualquer um dos nossos serviços de software, que são processados por nós apenas em nome do utilizador, como uma "caixa negra". Isto significa que os dados do utilizador não são geralmente acedidos para o desempenho do serviço e que tratamos todos os dados do utilizador submetidos com o mais elevado nível de segurança e com sensibilidade e confidencialidade.
O acesso aos dados do utilizador pelo nosso pessoal é limitado de acordo com os nossos Termos de Utilização ou com o respetivo acordo com o utilizador, numa base caso a caso.

Gestão de vulnerabilidades

Efectuamos regularmente auditorias de segurança ao nosso website e à base de código do software para encontrar e corrigir vulnerabilidades conhecidas em dependências que possam causar perda de dados, interrupções de serviço, acesso não autorizado a informações sensíveis ou outros problemas de segurança. Todas as vulnerabilidades identificadas são registadas num registo de desenvolvimento e classificadas com base na nossa avaliação do seu impacto na confidencialidade, integridade e disponibilidade do serviço e dos dados do utilizador. Os nossos engenheiros efectuam qualquer correção de acordo com a nossa Política de Gestão de Patches interna.

Ciclo de vida do desenvolvimento de software

Utilizamos produtos de controlo de problemas com um fluxo de trabalho bem documentado que envolve um processo de revisão por pares. O nosso código fonte está protegido em repositórios privados e altamente seguros para controlo de versões e segurança. As alterações à nossa base de código passam por uma série de testes automatizados e manuais (com planos detalhados). As alterações ao código que são aprovadas são primeiro transferidas para um servidor de teste onde os nossos funcionários podem testar as alterações antes de uma eventual transferência para servidores de produção e para a nossa base de utilizadores. O nosso processo de Integração Contínua / Implementação Contínua (CI/CD) é restringido por um processo de aprovação integrado.

Resposta a incidentes

Levamos a gestão de incidentes a sério e temos um Procedimento de Resposta a Incidentes que descreve a forma como os incidentes são geridos. Um incidente é definido como um evento não planeado, como uma violação de dados, uma interrupção do serviço ou uma redução da qualidade de um serviço. Um incidente é também um problema que foi levantado quando o serviço funcionava anteriormente e agora não funciona como esperado. O procedimento descreve a forma como avaliamos, contemos, avaliamos, notificamos, revemos e monitorizamos os incidentes.
Todos os incidentes são registados no Registo de Resposta a Incidentes e os ensinamentos retirados dos incidentes são utilizados para melhorar os nossos processos, procedimentos, sistemas e ferramentas, como parte do nosso compromisso de melhoria contínua.

Recuperação de desastres e continuidade das actividades

Mantemos um Plano de Continuidade de Negócios para lidar com desastres que afectem o nosso escritório físico (onde nenhuma parte da nossa infraestrutura de produção é mantida).
Além disso, mantemos um Plano de Recuperação de Desastres (DRP) para lidar com desastres que afectem o nosso ambiente de produção, que foram avaliados como eventos críticos não planeados como parte do processo de Resposta a Incidentes, que inclui o restabelecimento da funcionalidade principal do serviço a partir de outra localização. O nosso centro de dados principal está alojado no AWS em Sydney (Austrália), com redundância na mesma região do AWS. Em caso de perda de um único centro de dados da AWS, os procedimentos de recuperação activariam nós noutro centro de dados sem intervenção humana. Os testes são efectuados pelo menos uma vez por ano. O nosso teste de recuperação de desastres pode ser efectuado sob a forma de um passeio, de um desastre simulado ou de um teste de componentes.

Conservação e eliminação de dados

Retenção de dados

Conservamos informações limitadas sobre o utilizador que controlamos exclusivamente para os fins e pelo período necessário para cumprir os objectivos descritos na nossa Política de Privacidade. Os dados que os nossos sistemas retêm em nome dos nossos utilizadores serão retidos de acordo com a nossa Política de Termos de Utilização e outros acordos comerciais com esses clientes.
Fornecemos produtos de software baseados na nuvem e instalados nativamente em PC. Com os nossos produtos de software baseados na nuvem, os dados do cliente são armazenados nos nossos sistemas seguros baseados na nuvem (aqui descritos). Por outro lado, com os nossos produtos de software baseados em PC, os dados do cliente são armazenados localmente na sua infraestrutura de TI.

Eliminação de dados

Os nossos clientes mantêm o controlo total dos dados que enviam, podendo modificá-los, exportá-los ou eliminá-los, quer através dos meios disponíveis no nosso software, quer contactando-nos.
Após a cessação de uma conta, os utilizadores podem solicitar a eliminação dos seus dados como parte do procedimento de encerramento da conta. Os dados do utilizador serão então eliminados no prazo de 90 dias após o pedido, o que inclui um período de 30 dias para permitir a reversão e mais 60 dias para prosseguir com o processo de eliminação.
Em alternativa, os utilizadores podem optar por manter os dados da conta na plataforma, caso em que podemos continuar a conservá-los, mas também podemos eliminá-los a qualquer momento, se assim o entendermos.

Destruição de dados

Os nossos serviços na nuvem estão alojados na AWS, que implementa estratégias seguras de distribuição e eliminação de dados para permitir o armazenamento seguro de dados sensíveis num ambiente multi-tenant. O desmantelamento dos suportes de armazenamento é efectuado pela AWS de acordo com a norma NIST 800-88.

Controlo

Recolhemos e monitorizamos registos de rede utilizando registos de tráfego de localizações de extremidade e equilibradores de carga, registos ao nível da aplicação para rastreio e auditoria de eventos e registos ao nível do sistema para auditoria de acesso e operações com privilégios elevados. Todos os registos são armazenados de forma segura no Amazon S3 ou no Amazon CloudWatch e são conservados.
Monitorizamos a utilização da capacidade dos recursos de infraestrutura para garantir que a prestação de serviços corresponde aos acordos de nível de serviço. Além disso:
  • Os serviços da Amazon são utilizados para acionar mensagens automatizadas baseadas em eventos para alertas de infra-estruturas críticas.
  • Utilizamos um serviço próprio de registo e acompanhamento de erros com mensagens automáticas baseadas em eventos para alertas de aplicações.

Privacidade

Consulte a nossa Política de privacidade.

Segurança do escritório

O acesso ao nosso espaço de escritórios e aos elevadores é restringido através de cartões de acesso. A segurança do edifício dispõe de vários procedimentos para monitorizar regularmente o acesso ao edifício e aos pisos. O sistema de segurança incorporado em cada piso regista a utilização das portas e pode ser obtido um relatório de acesso junto da segurança do edifício. Os espaços de trabalho estão cobertos por CCTV 24 horas por dia e as instalações também têm guardas de segurança itinerantes em todo o recinto. Os registos de vídeo do CCTV são armazenados e conservados durante 18 meses. O Diretor Comercial é responsável por atualizar a Equipa de Gestão do Edifício relativamente a quaisquer alterações nos empregados para obter ou revogar o acesso a um cartão de acesso ao edifício.

Segurança dos centros de dados

Confiamos nos controlos do centro de dados da AWS, como a seleção do local, a redundância, a disponibilidade e o planeamento da capacidade, para manter um nível de segurança adequado. Não alojamos nenhum dos seus próprios servidores.

Actualizações de políticas

Esta política pode ser alterada periodicamente e está disponível no nosso sítio Web www.elek.com

Contactar-nos

Para mais informações ou para nos contactar, visite a nossa página de contactos.