Práticas de Privacidade, Proteção de Dados e Segurança Cibernética

Os processos e procedimentos são elementos essenciais e críticos para a operação da Skyone. A empresa adequou seus processos a essas exigências e obteve a certificação da norma técnica ABNT NBR ISO/IEC 27001:2022, que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação.

Implementamos os seguintes processos e procedimentos:

Rotina de Análise de Segurança

Processos semanais são realizados para identificar e mitigar riscos no sistema operacional, interfaces web e nos bancos de dados, incluindo, mas não se limitando a:

• Varredura de vulnerabilidades da superfície externa e interna;

• Varredura na dark web;

• Aplicação de patches de software;

• Atualizações de versões do sistema operacional;

• Atualizações de versões do banco de dados;

• Varredura e mapeamento de portas abertas.

Plano de gestão de vulnerabiblidade

Mapeamento e classificação das vulnerabilidades de acordo com o Common Vulnerability Scoring System V3.0 (CVSS v3.0 Rating), uma estrutura aberta para comunicar as características e a gravidade das vulnerabilidades do software, como:

• Crítico;

• Elevado;

• Médio;

• Baixo.

Processos regulares aplicam as correções apropriadas de acordo com cada nível de severidade e evidenciadas nos nosso processo de Governança de Segurança.

Monitoramento, Detecção e Resposta

Rotinas de análise e gestão associados ao nosso SOC para monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response).

Plano de gestão de incidentes de privacidade, proteção de dados e segurança cibernética. O plano define de forma sistêmica o processo de tratamento de eventos e incidentes, executado pela área de Governança da skyone, dentro do seu programa de privacidade, proteção de dados e segurança cibernética.

Plano de comunicação de incidentes

implementamos um plano de resposta a incidentes no qual as comunicações e a divulgação desempenham um papel particularmente significativo para a audiência correta: Compartilhar informações, construir relacionamentos e promover a confiança. É importante considerar a comunicação como uma iniciativa estratégica. As comunicações transcendem todos os processos de negócios e segurança, tanto aqueles que ocorrem em operações normais quanto durante uma crise.

Segurança dos dispositivos da Skyone

Todos os endpoints são de propriedade da Skyone, com EDR (Endpoint Detection and Response) instalado e monitorado pela equipe de Governança de Segurança. Os colaboradores são proibidos de utilizar equipamentos pessoais para atividades e acesso à empresa, mesmo na condição de trabalho remoto e limitados por controle de ferramentas internas e via Firewall de borda de acesso aos sistema interno e ambiente de clientes. As portas USB são bloqueadas para acesso de pen-drives.

Ações de adequação, mitigação e acompanhamento aos riscos atrelados a LGPD e uso de dados de terceiros

Estruturamos as ações de adequação e mitigação dos riscos atrelados à LGPD em 2020. A Skyone só coleta dados de forma digital de duas formas:

• Via formulários no nosso website e hotsite de campanhas;

• Via formulários integrados a ferramenta de companhias de marketing.

Adotamos as seguintes diretrizes para garantir que a política de privacidade seja executada:

• Ao enviar qualquer comunicação, seja de marketing ou relacionamento, para os contatos da nossa base de CRM, é gerado um pedido de consentimento;

• Toda a coleta realizada por formulários no website ou hotsites a política de privacidade, controle de cookies é informado e o pedido de consentimento é requerido;

• A área de Governança tem a atribuição de auditar sistematicamente se estes procedimentos estão sendo seguidos;

• Nenhuma mudança é realizada sem a aprovação do Comitê de privacidade e proteção de dados;

• Todos os contratos com fornecedores foram auditados e avaliados em relação a cláusulas de privacidade.

Seguimos etapas estruturadas para gerenciar um incidente e criamos um portal de registro de incidentes onde cada etapa do processo tem um propósito claramente definido. Abaixo demonstramos as macro atividades:

Registro → Categorização → Diagnóstico → Resolução → Encerramento

Todas as mudanças nos ambientes dos clientes passam por análise completa, incluindo:

• Identificação da mudança

• Impactos e sistemas afetados

• Plano de testes pré e pós-mudança

• Plano de rollback

• Aprovação formal via ticket no Portal do Cliente

Nos casos de cancelamento unilateral antes do prazo final do contrato permanece a necessidade de cumprimento da multa será calculada proporcionalmente aos meses faltantes.

Qualquer que seja a forma de rescisão, a Skyone se compromete a disponibilizar o backup do banco de dados por 15 (quinze) dias a contar da rescisão.

Qualquer pedido de cancelamento pode ser requisitado pelo email: [email protected]

Atualmente, a Skyone não possui seguro cyber.

Todos os documentos são públicos e podem ser acessados em nosso site.

• https://skyone.solutions/juridico/codigo-de-etica-e-conduta/

• https://skyone.solutions/juridico/politica-de-privacidade/

A Skyone possui DPO designado. Informações estão disponíveis em: https://skyone.solutions/juridico/politica-de-privacidade/

Os ambientes da skyone utilizam a tecnologia mais recente dos nossos provedores de nuvens públicas (Cloud Provider: AWS, Google CGP, Azure e Oracle) no Brasil e no exterior.

Um fundamento importante para quem consome serviços de provedores de nuvem pública é a abstração da camada de hardware, armazenamento, rede e virtualização. Sendo estes provedores de serviços responsáveis pelas atualizações e mitigação de riscos.

Hardware

Embora você provavelmente pense em nuvens como sendo virtuais, elas requerem hardware como parte da infraestrutura, ela é composta por uma variedade de hardware físico que pode estar localizado em vários locais geográficos.

O hardware inclui equipamentos de rede, como switches, roteadores, firewalls e balanceadores de carga, matrizes de armazenamento, dispositivos de backup e servidores.

A virtualização conecta os servidores entre si, dividindo e abstraindo recursos para torná- los acessíveis aos usuários.

Armazenamento

Dentro de um único local geográfico onde a nuvem está localizado, os dados podem ser armazenados em vários discos em uma única matriz de armazenamento, garantindo um alto SLA de 99,99%. Os sistemas de gerenciamento do armazenamento garantem que os dados sejam copiados corretamente e que os dados sejam indexados para recuperação caso algum componente de armazenamento falhe.

Rede

A rede é composta por recursos físicos como switches, roteadores e outros equipamentos.

A camada de rede das nuvens públicas são classificadas como VPC(Google e AWS), VNET (Azure) e VCN(Oracle).

Uma configuração típica de rede em nuvem é composta por várias subnets, possibilitando definir níveis de acessos, roteamentos e atribuição de endereçamento IP públicos e privados.

Essa flexibilidade no nível de rede nos dá a capacidade de criar várias camadas de isolamento entre ambientes, elementos fundamentais visando mitigação de ataques de varredura lateral.

Virtualização

A virtualização é a tecnologia que separa os serviços e funções de TI do hardware. O software chamado hipervisor fica sobre o hardware físico e abstrai os recursos da máquina, como memória, capacidade de computação e armazenamento.

Depois que esses recursos virtuais são alocados em pools centralizados, eles são considerados nuvens.

1. Os provedores nuvem pública oferecem suporte a padrões e certificações de conformidade como PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 e NIST 800-17 auditadas regularmente.

2. Em certificação de conformidade de segurança possuem ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 9001:2015 e CSA STAR CCM v4

3. A homologação por órgãos governamentais de diversos países como dos Estados Unidos (FBI, NASA, CSA, entre outros) e no Brasil (TSE). Seus padrões declarados de privacidade e proteção de dados:

• https://aws.amazon.com/pt/compliance/data-privacy-faq/

• https://www.oracle.com/br/cloud/cloud-infrastructure-compliance/

• https://privacy.microsoft.com/pt-br/privacystatement/

• https://privacy.google.com/intl/pt-BR/businesses/compliance/

Segurança e conformidade são responsabilidades compartilhadas entre os provedores de nuvem pública (AWS, Google CGP, Azure e Oracle), Skyone e o cliente. Quando o cliente transfere seus dados e sistemas de computação para a nuvem, as responsabilidades de privacidade e segurança são compartilhadas entre ele, a Skyone e o provedor de serviços de nuvem.

O provedor de nuvem pública é responsável pela proteção da infraestrutura que oferece suporte à nuvem, e a Skyone e os clientes são responsáveis por tudo aquilo que colocam na nuvem ou conectam à nuvem.

Normalmente essa diferenciação da responsabilidade é mencionada como segurança da nuvem vs. segurança na nuvem. Esse modelo compartilhado pode ajudar a reduzir a carga operacional do cliente e oferecer a flexibilidade e o controle necessários para implantar a infraestrutura dele na nuvem.

O provedor de nuvem pública gerencia e controla os componentes de infraestrutura, desde a camada de virtualização até a implementação de serviços correlatos e a segurança física das instalações nas quais os serviços operam.

A Skyone e os clientes assumem a responsabilidade e o gerenciamento pelo sistema operacional (inclusive por atualizações e patches de segurança), serviços de banco de dados, dos aplicativos de software associados ao ambiente, bem como o grupo de segurança diretamente ligado a estes componentes do ambiente.

1. Quais são os pilares estratégicos de segurança para mitigar os riscos?

• Executamos varreduras de vulnerabilidade semanais;

• Pentest semestrais;

• Aplicações de pacotes de correção (patch packs / fix packs) automatizados.

1. Como é realizada a gestão de acesso?

A gestão de acesso na skyone é gerenciada na área de Infosec.

Os acessos são concedidos através de solicitações registradas pelos gestores de áreas permitidas, onde são aplicados bloqueio de acessos, limitação de privilégios de acordo com a função, além de ter rotina de auditoria frequente para revisão destes acessos.

1. Quais os tipos de acesso?

• Acesso de usuários à aplicação. Este acesso, seguro, não exige VPN e é registrado para todos os usuários que se conectaram à aplicação. Esse registro pode ser emitido para fins de auditoria e o acesso pode ser configurado para exigir MFA (Duplo Fator de Autenticação) ou autenticação por Single Sign-On (SSO) usando o protocolo SAML;

• Acesso de consultores, especialistas e administradores aos servidores no, é feito por VPN, como credenciais de acesso emitidas através de tickets de suporte. Não é feito registro das atividades executadas diretamente dentro dos servidores.

1. A skyone garante o princípio do mínimo privilégio, com critérios de segregação de função, no qual o funcionário tenha acesso somente ao indispensável para realização das atividades para o qual foi contratado?

Sim, temos como princípio a adoção de privilégio mínimo para acesso aos ambientes dos clientes gerimos em conjunto o que pode ser aplicável.

A Skyone utiliza "Cofre de Senha" em todos os seus acessos de seus colaboradores ao ambientes para mitigar riscos de vazamento de credenciais dos responsáveis pelo acesso a ambientes de nuvem e/ou de clientes.

Rotinas de alteração de senhas e credenciais fazem parte da política de segurança.

Medidas de segurança adicionais, sugerimos as seguintes para mitigar riscos:

1. Adoção de antimalware avançado (com funções de monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response);

2. Contratar o serviço de Surface Protection, que faz a varredura de vulnerabilidades das superfícies interna e externa;

3. Manter atualizados todos os pacotes de correção indicados pelo CVE (Common Vulnerabilities and Exposures) do Mitre para identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente.

4. Aconselhamos uma análise de adoção de DR (Disaster Recovery) quando a criticidade de implicar um alto risco para o negócio. Para entender melhor sobre zonas de disponibilidade acesse:

• https://cloud.google.com/about/locations?hl=pt-br

• https://docs.aws.amazon.com/pt_br/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html

• https://www.oracle.com/br/cloud/public-cloud-regions/

As seguintes medidas de segurança são listadas como melhores práticas de segurança:

• Adotar EDR (Endpoint Detection and Response) para todos os notebooks (Endpoints) dos colaboradores e consultores;

• Gestão centralizada de acesso e troca constante de senhas destes colaboradores;

• Adotar VPN como padrão de acesso remoto ao ambiente quando for implantar, administrar e/ou manter ao ambiente.

Funcionalidades de segurança e processos de gestão visando mitigar riscos, entre elas:

1. Regras de firewall

São controladas via NSG (Network Security Group) exclusivas para cada ambiente do cliente.

1. Portas de comunicação

As liberações de portas de comunicação com redes externas é realizada mediante análise e quando existem riscos é gerada uma Notificação de Risco para dar visibilidade e conscientização.

1. Sistemas Operacionais (SO) e softwares

Por padrão disponibilizamos as versões mais recentes.

4. Monitoramento

Monitoramento 24x7, com visualização de dashboards disponíveis para os clientes.

1. Anti Malware

Versão básica instalada em todos os ambientes (versão avançada disponível como opcional).

Backup é o ato de fazer cópias de segurança de um ambiente, aplicação ou dados do cliente em um determinado momento. Significa fazer cópias em diferentes dispositivos de armazenamento para a recuperação do sistema em caso de falhas.

Qual é a política de backup padrão?

1. A política de Backup padrão de qualquer ambiente de cliente é por Snapshot de. Instância e do servidor com Banco de Dados, com retenção de 7(sete) dias.

2. Existem outras opções de granularidade, retenção e destino do backup realizado.

Como os backups são armazenados?

1. Por padrão, na nuvem pública os snapshots de servidores são armazenados na área de armazenamento de objetos das contas ativas de clientes, que tem uma alta resiliência. Todos os backups são armazenados no Simple Storage Service (S3) da AWS, Object Storage da OCI, Object Storage da Azure ou Cloud Storage do Google. As cópias de segurança são automaticamente replicadas entre as múltiplas zonas o que garante uma durabilidade de 99.999999999%.

2. As áreas de armazenamento de objetos são isoladas dos servidores, sem conexão direta entre eles. Em caso de comprometimento de um servidor, não há acesso snapshots armazenados.

3. Os backups na OCI também contam com criptografia automática, antes do armazenamento no Object Storage.

Como é evidenciado a realização dos backups?

1. Todo cliente da skyone possui um acesso ao Portal do Cliente onde irá encontrar a listagem dos backups realizados, por ambiente / servidor.

Como solicito a recuperação de um backup?

1. A recuperação de backups é feita pelo Painel do Cliente, na listagem de backups. Há uma opção para solicitar a recuperação, que abre automaticamente o ticket.

O procedimento de teste de recuperação do backup é a skyone que faz?

1. Não, o cliente pode requisitar através de um ticket aberto via nosso Portal do Cliente a criação de um ambiente recuperado para que sejam realizados os testes.