Segurança da Informação
      Voltar para o início
      1. Central de ajuda
      2. Segurança da Informação

      Overview de segurança na Convenia

      Segurança


      A Convenia fornece produtos de Software como Serviço (SaaS) para milhares de usuários resolverem seus problemas de RH. A segurança é um componente chave em nosso produto e se reflete em nossos colaboradores, processo e plataforma. Esta página aborda tópicos como segurança de dados, segurança operacional e segurança da plataforma para explicar como oferecemos segurança aos nossos clientes.


      Segurança organizacional


      Possuímos uma política de segurança da informação que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados do cliente.


      Conscientização de segurança

      Utilizando uma plataforma específica para capacitação relacionada à cibersegurança, oferecemos treinamento sobre aspectos específicos de segurança, LGPD e boas práticas. 

      Capacitamos nossos colaboradores continuamente, com ciclos de competição gamificada sobre segurança da informação, com video aulas e quizzes pontuados ao final de cada ciclo. Além de os estimularmos com desafios relâmpagos para fixar e medir o nível de maturidade relacionado a cada tema proposto. 


      Equipe de plataforma


      Possuímos uma equipe voltada para segurança e privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Eles projetam e mantêm nossos sistemas de defesa, desenvolvem processos de revisão de segurança e monitoram constantemente nosso ambiente para detectar atividades suspeitas. Essa equipe também realiza auditorias internas periódicas e facilita as avaliações de terceiros.


      Antivírus


      Nosso parque de máquinas possui antivírus corporativo, com todas as informações dos

      equipamentos centralizados em um console administrável, a solução possui módulos

      de aprendizagem e adaptação que identifica e prioriza ameaças iminentes, ao mesmo

      tempo que utiliza análise forense, em prol de uma segurança capaz de aprender, com

      monitoramento de ameaças aplicado ao seu contexto específico, a ferramenta atualiza

      continuamente a postura de segurança para ameaças iminentes e responde em tempo

      real, em velocidade de máquina, para deter ataques emergentes. Além de atualizações

      diárias de vacinas, proteção contra ameaças zero day e proteção contra dispositivos

      removíveis.

      Segurança de infraestrutura


      Localização geográfica e fornecedor de nuvem


      Todos os recursos da Convenia estão situados nos data centers da Amazon Web

      Services. Esse fornecedor é o que melhor nos permite atender aos requisitos de

      segurança, e atingir excelência operacional.


      Acesso a recursos internos e externos


      Os recursos de infraestrutura e redes dentro da Convenia podem ser públicos ou

      privados, todos os recursos são privados a menos que exista a necessidade de ser

      público (uma página web, por exemplo).

      Todos os recursos privados da Convenia, são inacessíveis de uma rede pública, é

      como se esse recurso estivesse desconectado da internet.

      O acesso a recursos privados é restrito apenas a outros recursos dentro da mesma

      rede ou recursos de fora com devido acesso a VPN.



      Barreiras de segurança na camada de rede


      Temos barreiras para acessar a rede e recursos dentro dessa rede:


      1. VPN: A primeira barreira é a VPN, apenas pessoas com as devidas permissões
        podem ter acesso à subnet da Convenia. Para chegar até nas próximas barreiras
        um usuário mal intencionado tem que conseguir acesso à VPN;
      2. Security Groups: Cada recurso de computação fica protegido por um security
        group onde restringimos acesso apenas a aplicações(portas) necessárias dos
        recursos, acessos ssh por exemplo são travados nessa camada;
      3. Autenticação RSA: Mesmo após passar por todas as barreiras uma usuario
        indevido conseguiria ter acesso a algum recurso de computação apenas via SSH
        que exige uma autenticação com chaves assimétricas.


      Criptografia

      Temos vários níveis de criptografia na Convenia, quando o dado vai do computador do

      cliente para os servidores da Convenia, trafega internamente entre os nossos servidores ou mesmo fica em repouso, precisamos proteger esses dados para o bem do cliente.


      Criptografia em trânsito


      Todos os dados trafegam do cliente para os servidores da Convenia via conexão

      segura(https) com criptografia TLS.


      Criptografia em repouso


      Chaves de criptografia são gerenciadas pela Amazon. Apenas dados sensíveis como senhas são criptografados no banco de dados, apesar de não criptografar tudo, todos os bancos de dados são mantidos em redes privadas.


      Criptografia de banco de dados


      Todos os nossos bancos possuem criptografia com algorítimo AES-256.



      Redundância de rede


      Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura de grade distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas de servidor. Ou seja, nossos recursos são espalhados e replicados em diversas zonas de disponibilidades diferentes.


      Segurança by design


      Cada alteração e novo recurso é regido por uma política de gerenciamento de alterações para garantir que todas as alterações de aplicativos sejam autorizadas antes da implementação na produção. Nosso ciclo de vida de desenvolvimento de software exige adesão às diretrizes de codificação segura, bem como triagem de alterações de código para possíveis problemas de segurança com nossas ferramentas de análise de código, scanners de vulnerabilidade e processos de revisão manual.

      Nossa robusta estrutura de segurança baseada nos padrões OWASP, implementada na camada de aplicativo, fornece funcionalidades para mitigar ameaças como injeção SQL, Cross site scripting e ataques DOS na camada de aplicativo.


      Gerenciamento de Incidentes


      A Convenia conta com backups redundantes, e uma infraestrutura inteiramente

      reproduzida como código, isso facilita a reconstrução da plataforma em um novo local

      físico, para reagir a ocorrências de desastres. Além de possuirmos uma política específica para tratar qualquer incidente de forma simples, clara e documentada. 




      Backup

      Todos os bancos de dados na Convenia são submetidos a mesma rotina de backups. Nem um banco é criado sem se enquadrar nessas regras.

      1. Todos os bancos de dados tem uma rotina de backup continuo dos últimos 35 dias, o que equivale a dizer que se for necessário restaurar um dado dos últimos 35 dias, isso pode ser realizado uma precisão de até 5 minutos.

      2. Backups com mais de 35 dias, entram na politica de backup mensal. Ao serem realizados, são movidos para um storage frio que é uma solução de
      armazenamento a longo prazo, backups mensais são mantidos em storage frio por 180 dias.

      3. Backups com mais de 180 dias são deletados permanentemente.