🗝 Segurança da Informação

Overview de segurança - Convenia

Segurança


A Convenia fornece produtos de Software como Serviço (SaaS) para milhares de usuários resolverem seus problemas de RH. A segurança é um componente Chave em nosso produto e se reflete em nossos colaboradores, processos e plataforma. Esta página aborda tópicos como segurança de dados, segurança operacional e segurança da plataforma para explicar como oferecemos segurança aos nossos clientes.

Segurança organizacional


Possuímos uma política de segurança da informação que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados do cliente.

Conscientização de segurança

Utilizando uma plataforma específica para capacitação relacionada à cibersegurança, oferecemos treinamento sobre aspectos específicos de segurança, LGPD e boas práticas. 

Capacitamos nossos colaboradores continuamente, com ciclos de competição gamificada sobre segurança da informação, com vídeo aulas e quizzes pontuados ao final de cada ciclo. Além de os estimularmos com desafios relâmpagos para fixar e medir o nível de maturidade relacionado a cada tema proposto. 

Equipe de plataforma


Possuímos uma equipe voltada para segurança e privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Eles projetam e mantêm nossos sistemas de defesa, desenvolvem processos de revisão de segurança e monitoram constantemente nosso ambiente para detectar atividades suspeitas. Essa equipe também realiza auditorias internas periódicas e facilita as avaliações de terceiros.

Antivírus

Nosso parque de máquinas possui antivírus corporativo, com todas as informações dos equipamentos centralizados em um console administrável, a solução possui módulos de aprendizagem e adaptação que identifica e prioriza ameaças iminentes, ao mesmo tempo que utiliza análise forense, em prol de uma segurança capaz de aprender, com monitoramento de ameaças aplicado ao seu contexto específico, a ferramenta atualiza continuamente a postura de segurança para ameaças iminentes e responde em tempo real, em velocidade de máquina, para deter ataques emergentes. Além de atualizações diárias de vacinas, proteção contra ameaças zero day e proteção contra dispositivos removíveis.

Segurança de infraestrutura


Localização geográfica e fornecedor de nuvem


Todos os recursos da Convenia estão situados nos data centers da Amazon WebServices. Esse fornecedor é o que melhor nos permite atender aos requisitos de segurança, e atingir excelência operacional.

Acesso a recursos internos e externos


Os recursos de infraestrutura e redes dentro da Convenia podem ser públicos ou privados, todos os recursos são privados a menos que exista a necessidade de ser público (uma página web, por exemplo).

Todos os recursos privados da Convenia, são inacessíveis de uma rede pública, é como se esse recurso estivesse desconectado da internet. O acesso a recursos privados é restrito apenas a outros recursos dentro da mesma rede ou recursos de fora com devido acesso a VPN.

Barreiras de segurança na camada de rede


Temos barreiras para acessar a rede e recursos dentro dessa rede:

  • VPN: a primeira barreira é a VPN, apenas pessoas com as devidas permissões podem ter acesso à subnet da Convenia. Para chegar até nas próximas barreiras, um usuário mal-intencionado tem que conseguir acesso à VPN;
  • Security Groups: cada recurso de computação fica protegido por um security group onde restringimos acesso apenas a aplicações(portas) necessárias dos recursos, acessos SSH, por exemplo, são travados nessa camada;
  • Autenticação RSA: mesmo após passar por todas as barreiras, um usuário indevido conseguiria ter acesso a algum recurso de computação apenas via SSH que exige uma autenticação com chaves assimétricas.

Criptografia

Temos vários níveis de criptografia na Convenia, quando o dado vai do computador do usuário para os servidores da Convenia, trafega internamente entre os nossos servidores ou mesmo fica em repouso, precisamos proteger esses dados para o bem do nosso usuário.

Criptografia em trânsito


Todos os dados trafegam do cliente para os servidores da Convenia via conexão segura(https) com criptografia TLS.

Criptografia em repouso


Chaves de criptografia são gerenciadas pela Amazon. Apenas dados sensíveis como senhas são criptografados no banco de dados, apesar de não criptografar tudo, todos os bancos de dados são mantidos em redes privadas.

Criptografia de banco de dados


Todos os nossos bancos possuem criptografia com algorítimo AES-256.

Redundância de rede


Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura de grade distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas de servidor. Ou seja, nossos recursos são espalhados e replicados em diversas zonas de disponibilidades diferentes.

Segurança by design


Cada alteração e novo recurso é regido por uma política de gerenciamento de alterações para garantir que todas as alterações de aplicativos sejam autorizadas antes da implementação na produção. Nosso ciclo de vida de desenvolvimento de software exige adesão às diretrizes de codificação segura, bem como triagem de alterações de código para possíveis problemas de segurança com nossas ferramentas de análise de código, scanners de vulnerabilidade e processos de revisão manual.

Nossa robusta estrutura de segurança baseada nos padrões OWASP, implementada na camada de aplicativo, fornece funcionalidades para mitigar ameaças como injeção SQL, Cross site scripting e ataques DOS na camada de aplicativo.

Gerenciamento de Incidentes


A Convenia conta com backups redundantes, e uma infraestrutura inteiramente reproduzida como código, isso facilita a reconstrução da plataforma em um novo local físico, para reagir a ocorrências de desastres. Além de possuirmos uma política específica para tratar qualquer incidente de forma simples, clara e documentada. 


Backup

Todos os bancos de dados na Convenia são submetidos a mesma rotina de backups. Nem um banco é criado sem se enquadrar nessas regras.

  • Todos os bancos de dados tem uma rotina de backup continuo dos últimos 35 dias, o que equivale a dizer que se for necessário restaurar um dado dos últimos 35 dias, isso pode ser realizado uma precisão de até 5 minutos.
  • Backups com mais de 35 dias, entram na política de backup mensal. Ao serem realizados, são movidos para um storage frio que é uma solução de armazenamento a longo prazo, backups mensais são mantidos em storage frio por 180 dias.
  • Backups com mais de 180 dias são deletados permanentemente.

    Dúvidas ou sugestões? Entre em contato com nosso time de atendimento via chat ou pelo nosso email: suporte@convenia.com.br