# Práticas de privacidade, proteção de dados e segurança cibernética para o Skyone Autosky A **Skyone**, no âmbito da prestação de serviços de **Licenciamento de Uso do Skyone Autosky** e da configuração dos **ambiente(s)** definidos no momento da contratação pelo cliente final, envolve suas áreas de **Governança** e **Operações** na detecção, resolução, prevenção e mitigação de incidentes relacionados à **privacidade**, **proteção de dados** e **segurança cibernética**. Dessa forma, assegura a entrega de soluções computacionais cada vez mais relevantes, disponíveis e íntegras. A seguir, apresentamos as respostas aos principais questionamentos recorrentes em **RFPs** e auditorias, especificamente relacionados às práticas adotadas pela Skyone em privacidade, proteção de dados e segurança cibernética. {% hint style="info" %} Caso as informações deste documento não esclareçam suas dúvidas, por favor, envie seus questionamentos ou solicite o agendamento de uma reunião encaminhando um e-mail com seus dados para *****.* {% endhint %} ### Governança e Operações
Quais são os processos e procedimentos de privacidade, proteção de dados e segurança cibernética implantados pela Skyone? Os processos e procedimentos são elementos essenciais e críticos para a operação da Skyone. A empresa adequou seus processos a essas exigências e obteve a certificação da norma técnica **ABNT NBR ISO/IEC 27001:2022**, que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação. Implementamos os seguintes processos e procedimentos: #### Rotina de análise de segurança Processos semanais são realizados para identificar e mitigar riscos no sistema operacional, interfaces web e nos bancos de dados da plataforma Autosky, incluindo, mas não se limitando a: * Varredura de vulnerabilidades da superfície externa e interna; * Varredura na dark web; * Aplicação de patches de software; * Atualizações de versões do sistema operacional; * Atualizações de versões do banco de dados e * Varredura e mapeamento de portas abertas. #### Plano de gestão de vulnerabilidades Mapeamento e classificação das vulnerabilidades de acordo com o **Common Vulnerability Scoring System V3.0 (CVSS v3.0 Rating)**, uma estrutura aberta para comunicar as características e a gravidade das vulnerabilidades do software, como: * Crítico; * Elevado; * Médio; * Baixo Processos regulares aplicam as correções apropriadas de acordo com cada nível de severidade e evidenciadas nos nosso processo de Governança de Segurança. #### Rotina de monitoramento, detecção e resposta Rotinas de análise e gestão associados ao nosso SOC para monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response). Plano de gestão de incidentes de privacidade, proteção de dados e segurança cibernética. O plano define de forma sistêmica o processo de tratamento de eventos e incidentes, executado pela área de Governança da skyone, dentro do seu programa de privacidade, proteção de dados e segurança cibernética. #### Plano de comunicação de incidentes Implementamos um plano de resposta a incidentes no qual as comunicações e a divulgação desempenham um papel particularmente significativo para a audiência correta: compartilhar informações, construir relacionamentos e promover a confiança. É importante considerar a comunicação como uma iniciativa estratégica. As comunicações transcendem todos os processos de negócios e segurança, tanto aqueles que ocorrem em operações normais quanto durante uma crise. #### Segurança dos dispositivos da Skyone Todos os endpoints são de propriedade da Skyone, com EDR (Endpoint Detection and Response) instalado e monitorado pela equipe de Governança de Segurança. Os colaboradores são proibidos de utilizar equipamentos pessoais para atividades e acesso à empresa, mesmo na condição de trabalho remoto e limitados por controle de ferramentas internas e via Firewall de borda de acesso aos sistema interno e ambiente de clientes. As portas USB são bloqueadas para acesso de pen-drives. #### Ações de adequação, mitigação e acompanhamento aos riscos atrelados a LGPD e uso de dados de terceiros Estruturamos as ações de adequação e mitigação dos riscos atrelados à LGPD em 2020. A Skyone só coleta dados de forma digital de duas formas: * Via formulários no nosso website e hotsite de campanhas; * Via formulários integrados a ferramenta de companhias de marketing Adotamos as seguintes diretrizes para garantir que a política de privacidade seja \ executada: * Ao enviar qualquer comunicação, seja de marketing ou relacionamento, para os contatos da nossa base de CRM, é gerado um pedido de consentimento. * Toda a coleta realizada por formulários no website ou hotsites a política de privacidade, controle de cookies é informado e o pedido de consentimento é requerido. * A área de Governança tem a atribuição de auditar sistematicamente se estes procedimentos estão sendo seguidos * Nenhuma mudança é realizada sem a aprovação do Comitê de privacidade e proteção de dados. * Todos os contratos com fornecedores foram auditados e avaliados em relação a cláusulas de privacidade.
Como é o processo de comunicação de um incidente? A Skyone segue etapas estruturadas para gerenciamento de incidentes, utilizando um **portal de registro de incidentes**, no qual cada fase possui um propósito claramente definido. As macroatividades são: **Registro → Categorização → Diagnóstico → Resolução → Encerramento**
Procedimento de Gestão de Mudança (GMUD) As alterações nos ambientes dos clientes são conduzidas conforme o processo de **Gestão de Mudança**, que contempla: * Identificação da mudança; * Análise de dados e sistemas afetados; * Definição de responsáveis; * Avaliação de impactos; * Plano de testes pré-mudança; * Plano de rollback; * Plano de testes pós-mudança. A solicitação de uma **GMUD** deve ser realizada via **Portal do Cliente**, por meio de ticket. Após comprovação técnica e aprovação, a mudança segue para execução conforme agenda programada.
Como funciona o plano de transição no caso de cancelamento de contrato com a Skyone? Nos casos de cancelamento unilateral antes do prazo final do contrato permanece a necessidade de cumprimento da multa será calculada proporcionalmente aos meses faltantes. Qualquer que seja a forma de rescisão, a skyone se compromete a disponibilizar o backup do banco de dados por 15 (quinze) dias a contar da rescisão.
Qualquer pedido de cancelamento pode ser requisitado pelo email: \ ****
A Skyone possui seguro que cubra ataques cibernéticos ou vazamentos de dados? Atualmente, **não possuímos seguro cibernético**.
A skyone possui Código de Ética, Conduta e Política de Gestão de Privacidade? Sim. O **Código de Ética e Conduta** e a **Política de Privacidade** são públicos e podem ser acessados por nossos clientes e parceiros. * [https://skyone.solutions/juridico/codigo-de-etica-e-conduta/ ](https://skyone.solutions/juridico/codigo-de-etica-e-conduta/https://skyone.solutions/juridico/politica-de-privacidade/) * [https://skyone.solutions/juridico/politica-de-privacidade/](https://skyone.solutions/juridico/codigo-de-etica-e-conduta/https://skyone.solutions/juridico/politica-de-privacidade/)
Há uma pessoa DPO definida para a organização? Sim. As informações de contato do **DPO** estão disponíveis em nossa **Política de Privacidade**, acessível em:\
## **Sobre a Plataforma Skyone Autosky**
Quais são as tecnologias utilizadas pela Skyone? Os ambientes da Skyone utilizam tecnologias atualizadas dos principais provedores de nuvem pública (**AWS**, **Google CGP**, **Azure** e **Oracle**), no Brasil e no exterior.
Quais são as plataformas, soluções, padrões, máquinas e switches/firewalls que compõem o ambiente da Skyone? Um fundamento importante para quem consome serviços de provedores de nuvem pública é a abstração da camada de hardware, armazenamento, rede e virtualização. Sendo estes provedores de serviços responsáveis pelas atualizações e mitigação de riscos. #### Hardware Embora você provavelmente pense em nuvens como sendo virtuais, elas requerem hardware como parte da infraestrutura, ela é composta por uma variedade de hardware físico que pode estar localizado em vários locais geográficos. O hardware inclui equipamentos de rede, como switches, roteadores, firewalls e balanceadores de carga, matrizes de armazenamento, dispositivos de backup e servidores. A virtualização conecta os servidores entre si, dividindo e abstraindo recursos para torná- los acessíveis aos usuários. #### Armazenamento Dentro de um único local geográfico onde a nuvem está localizado, os dados podem ser armazenados em vários discos em uma única matriz de armazenamento, garantindo um alto SLA de 99,99%. Os sistemas de gerenciamento do armazenamento garantem que os dados sejam copiados corretamente e que os dados sejam indexados para recuperação caso algum componente de armazenamento falhe. #### Rede A rede é composta por recursos físicos como switches, roteadores e outros equipamentos. A camada de rede das nuvens públicas são classificadas como VPC(Google e AWS), VNET (Azure) e VCN(Oracle). Uma configuração típica de rede em nuvem é composta por várias subnets, possibilitando definir níveis de acessos, roteamentos e atribuição de endereçamento IP públicos e privados. Essa flexibilidade no nível de rede nos dá a capacidade de criar várias camadas de isolamento entre ambientes, elementos fundamentais visando mitigação de ataques de varredura lateral. #### Virtualização A virtualização é a tecnologia que separa os serviços e funções de TI do hardware. O software chamado hipervisor fica sobre o hardware físico e abstrai os recursos da máquina, como memória, capacidade de computação e armazenamento. Depois que esses recursos virtuais são alocados em pools centralizados, eles são considerados nuvens.
Como validar se o provedor de nuvem garante segurança e mitigação de riscos? 1. Os provedores nuvem pública oferecem suporte a padrões e certificações de conformidade como **PCI-DSS**, **HIPAA/HITECH**, **FedRAMP**, **GDPR**, **FIPS 140-2** e **NIST 800-17** auditadas regularmente. 2. Em certificação de conformidade de segurança possuem I**SO/IEC** \ **27001:2013**, **27017:2015**, **27018:2019**, **27701:2019**, **22301:2019**, **9001:2015** e **CSA STAR CCM v4** 3. A homologação por órgãos governamentais de diversos países como dos Estados Unidos (FBI, NASA, CSA, entre outros) e no Brasil (TSE). \ \ Seus padrões declarados de privacidade e proteção de dados:\\ * * [https://www.oracle.com/br/cloud/cloud-infrastructure-compliance/](https://www.oracle.com/br/corporate/cloud-compliance/) * [https://privacy.microsoft.com/pt-br/privacystatement/](https://www.microsoft.com/pt-br/privacy/privacystatement/) * [https://privacy.google.com/intl/pt-BR/businesses/compliance/](https://business.safety.google/intl/pt-BR/compliance/)
Qual é o modelo de responsabilidade compartilhada na nuvem pública? Segurança e conformidade são responsabilidades compartilhadas entre os provedores de nuvem pública (AWS, Google CGP, Azure e Oracle), Skyone e o cliente. Quando o cliente transfere seus dados e sistemas de computação para a nuvem, as responsabilidades de privacidade e segurança são compartilhadas entre ele, a Skyone e o provedor de serviços de nuvem. O provedor de nuvem pública é responsável pela proteção da infraestrutura que oferece suporte à nuvem, e a Skyone e os clientes são responsáveis por tudo aquilo que colocam na nuvem ou conectam à nuvem. Normalmente essa diferenciação da responsabilidade é mencionada como segurança da nuvem vs. segurança na nuvem. Esse modelo compartilhado pode ajudar a reduzir a carga operacional do cliente e oferecer a flexibilidade e o controle necessários para implantar a infraestrutura dele na nuvem. O provedor de nuvem pública gerencia e controla os componentes de infraestrutura, desde a camada de virtualização até a implementação de serviços correlatos e a segurança física das instalações nas quais os serviços operam. A Skyone e os clientes assumem a responsabilidade e o gerenciamento pelo sistema operacional (inclusive por atualizações e patches de segurança), serviços de banco de dados, dos aplicativos de software associados ao ambiente, bem como o grupo de segurança diretamente ligado a estes componentes do ambiente.
Como funciona a Plataforma Skyone Autosky? O Autosky é uma plataforma de orquestração e automatização de recursos em múltiplas nuvens, que facilita a migração dos sistemas cliente-servidor para a nuvem. Além de permitir que sejam migradas aplicações cliente-servidor (traditional desktop) de todas as linguagens de programação e de diferentes bancos de dados, traz uma segurança muito mais robusta que um hosting convencional, além de contar com backups recorrentes, feitos com segurança, e uma recuperação de desastres rápida e eficaz. A Plataforma Autosky orquestra (cria e finaliza) servidores efêmeros (servidores criados temporariamente para atender o uso de uma aplicação), que possuem endereços IP (temporários) diferentes e curta duração, possibilitando mitigar ataques de força bruta.
A Plataforma Skyone Autosky possui DR (Disaster Recovery)? Por ser uma aplicação nativa para nuvem (criada com a mais recente tecnologia) a plataforma opera de forma resiliente. Com o desenvolvimento de aplicações nativas para a nuvem, os planos de contingências (DR) foram substituídos por um novo conceito mais robusto, a resiliência. Todos os componentes da plataforma (aplicação, banco de dados, scripts, segurança implícita e demais funções sistêmicas) estão em duas zonas de disponibilidades distintas, garantindo resiliência operacional. Resiliência não elimina o RTO (Recovery Time Objective) e o RPO (Recovery Point \ Objective). {% hint style="info" %} Esclarecimento importante: Os ambientes de cliente não possuem resiliência, aconselhamos uma análise de adoção de DR (Disaster Recovery) quando a criticidade de implicar um alto risco para o negócio. Para entender melhor sobre zonas de disponibilidade acesse: * * [https://docs.aws.amazon.com/pt\_br/AmazonRDS/latest/UserGuide/Concepts.RegionsAn \ dAvailabilityZones.html](https://docs.aws.amazon.com/pt_br/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html) * {% endhint %}
A Plataforma Skyone Autosky é segura? A plataforma Autosky evolui constantemente (propriedade intelectual) e nos últimos 10 (dez) anos incorporou dezenas de funcionalidades únicas que possibilitam a orquestração automática de ambientes em nuvem. A orquestração automática é umas dos grandes diferenciais da plataforma, seu funcionamento possibilita que cada cliente possua seu ambiente isolado (servidores de banco de dados, templates e sistemas de integração, entre outros) de outros clientes. 1. **Quais são os pilares estratégicos de segurança para mitigar os riscos?** * Executamos varreduras de vulnerabilidade semanais; * Pentest semestrais; * Aplicações de pacotes de correção (patch packs/fix packs) automatizados.\ \\ 2. **Como é realizada a gestão de acesso?** A gestão de acesso na skyone é gerenciada na área de Infosec. Os acessos são concedidos através de solicitações registradas pelos gestores de áreas permitidas, onde são aplicados bloqueio de acessos, limitação de privilégios de acordo com a função, além de ter rotina de auditoria frequente para revisão destes acessos.\ \\ 3. **Quais os tipos de acesso?** * Acesso de usuários à aplicação. Este acesso, seguro, não exige VPN e é registrado para todos os usuários que se conectaram à aplicação. Esse registro pode ser emitido para fins de auditoria e o acesso pode ser configurado para exigir MFA (Duplo Fator de Autenticação) ou autenticação por Single Sign-On (SSO) usando o protocolo SAML; * Acesso de administradores ao Painel de Administração do Autosky. Este acesso, seguro e sem necessidade de VPN, é para a atividades de configuração do ambiente, tais como adição ou remoção de usuários, adição de aplicações e outras atividades. É registrado para fins de auditoria e conta com MFA (Duplo Fator de Autenticação); * Acesso de consultores, especialistas e administradores aos servidores no qual a aplicação é instalada. Este acesso é feito por VPN, como credenciais de acesso emitidas através de tickets de suporte. Não é feito registro das atividades executadas diretamente dentro dos servidores.
4. **A skyone garante o princípio do mínimo privilégio, com critérios de segregação de função, no qual o funcionário tenha acesso somente ao indispensável para realização das atividades para o qual foi contratado?** Sim, temos como princípio a adoção de privilégio mínimo na Plataforma Autosky e nos ambientes dos clientes gerimos em conjunto o que pode ser aplicável. A skyone utiliza "Cofre de Senha" em todos os seus acessos de seus colaboradores ao ambientes para mitigar riscos de vazamento de credenciais dos responsáveis pelo acesso a ambientes de nuvem e/ou de clientes. Rotinas de alteração de senhas e credenciais fazem parte da política de segurança.
5. **Existe hardening na Plataforma Autosky?** Sim, o hardening é o processo de tornar seus sistemas, redes, softwares, hardwares e firmwares mais resistentes a ataques. * Remoção contínua de funcionalidades ou serviços desnecessários; * Contínua atualização de bibliotecas e demais componentes; * Testes individuais e automatizados; 6. **O desenvolvimento é seguro?** Sim. O desenvolvimento da Plataforma Autosky segue dois conceitos: privacy by design e security by default. Todo e qualquer desenvolvimento é realizado em ambientes segregados para desenvolvimento, teste e produção.
7. **Qual a possibilidade de um ataque de negação de serviço ou comprometimento por Ransomware na camada de virtualização?** Como explicamos nos itens 4 e 5 anteriores, a camada de virtualização é mantida, gerida e mitigada pelo provedor de nuvem pública. Não há incidentes de violação da camada de virtualização registrada em nuvem pública nos últimos anos. Se por acaso esta violação ocorrer em um ambiente de cliente, o time de Operações da skyone irá recriar o ambiente uma nova zona de disponibilidade, buscando atender o SLA contratado.
Como proteger o ambiente do cliente? Adicionalmente as medidas de segurança que a plataforma Autosky proporciona, sugerimos as seguintes medidas para mitigar riscos: 1. Adoção de antimalware avançado (com funções de monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response); 2. Contratar o serviço de Surface Protection que faz a varredura de vulnerabilidades das superfícies interna e externa; 3. Manter atualizados todos os pacotes de correção indicados pelo CVE (Common Vulnerabilities and Exposures) do Mitre para identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente.
Como mitigar riscos do ambiente quando colaboradores e consultores têm acesso para implantar, administrar e/ou manter o ambiente do cliente? * As seguintes medidas de segurança são listadas como melhores práticas de segurança: * Adotar EDR (Endpoint Detection and Response) para todos os notebooks (Endpoints) dos colaboradores e consultores; * Gestão centralizada de acesso e troca constante de senhas destes colaboradores; * Adotar VPN como padrão de acesso remoto ao ambiente quando for implantar, administrar e/ou manter ao ambiente.
Como o Skyone Autosky mitiga riscos no ambiente do cliente? A evolução do Skyone Autosky incorporou diversas funcionalidades de segurança e \ processos de gestão visando mitigar riscos, entre elas:
1. **Regras de firewall** São controladas via NSG (Network Security Group) exclusivas para cada ambiente do \ cliente; 2. **Portas de comunicação** As liberações de portas de comunicação com redes externas é realizada mediante análise e quando existem riscos é gerada uma Notificação de Risco para dar visibilidade e conscientização;\ \\ 3. **Sistemas Operacionais(SO) e softwares** Por padrão disponibilizamos as versões mais recentes.\ \\ 4. **Camada de Autenticação** Acesso seguro, feito por uma URL, com autenticação com ReCaptcha, MFA e Single Sign- On usando SAML. * Todos os acessos são registrados e auditáveis. * Restrições de acesso com base em horários e IPs. * Configuração para definição de padrões de senhas (caracteres e tamanhos).\ \\ 5. **Scaling de aplicações** A Plataforma gerencia dinamicamente os servidores do ambiente diariamente, garantindo IP’s dinâmicos, mitigando ataques de força bruta. Este mesmo mecanismo é usado no servidores de template(que é a matriz de referência para criar os ambientes de usuários).\ \\ 6. **Monitoramento** Monitoramento 24x7, com visualização de dashboards disponíveis para os clientes.\ \\ 7. **Anti Malware** Versão básica instalada em todos os ambientes (versão avançada disponível como opcional).\ \\ 8. **Prevenção de ataques força-bruta** Para mitigar ataques de força bruta, criamos o Skyone Autosky Defender, que monitora e mitiga ataques em tempo real, bloqueando IPs ofensores, centralizando a análise de IPs e permitindo o bloqueio de blocos. \ \\ 9. **Auditoria** A Plataforma registra todas as ações do usuário realizadas no portal do usuário, tais como: * Tentativas de login; * Autenticação falha; * Tentativas de login com falha excessivas se limitam com bloqueio de usuário; * Recuperação e mudança de Senha
Processo de backup na Plataforma Skyone Autosky? Backup é o ato de fazer cópias de segurança de um ambiente, aplicação ou dados do cliente em um determinado momento. Significa fazer cópias em diferentes dispositivos de armazenamento para a recuperação do sistema em caso de falhas. 1. **Qual é a política de backup padrão do Autosky?** * A política de Backup padrão de qualquer ambiente de cliente é por Snapshot de \ Instância e do servidor com Banco de Dados, com retenção de 7 (sete) dias. * Existem outras opções de granularidade, retenção e destino do backup realizado. 2. **Como os backups são armazenados?** * Por padrão, na nuvem pública os snapshots de servidores são armazenados na área de armazenamento de objetos das contas ativas de clientes, que tem uma alta resiliência. Todos os backups são armazenados no Simple Storage Service (S3) da AWS, Object Storage da OCI, Object Storage da Azure ou Cloud Storage do Google. As cópias de segurança são automaticamente replicadas entre as múltiplas zonas o que garante uma durabilidade de 99.999999999%; * As áreas de armazenamento de objetos são isoladas dos servidores, sem conexão direta entre eles. Em caso de comprometimento de um servidor, não há acesso snapshots armazenados; * Os backups na OCI também contam com criptografia automática, antes do armazenamento no Object Storage. 3. **Como é evidenciado a realização dos backups?** Todo cliente da skyone possui um acesso ao Portal do Cliente onde irá encontrar a listagem dos backups realizados, por ambiente / servidor. 4. **Como solicito a recuperação de um backup?** A recuperação de backups é feita pelo Painel do Cliente, na listagem de backups. Há uma opção para solicitar a recuperação, que abre automaticamente o ticket.
5. **O procedimento de teste de recuperação do backup é a skyone que faz?** Não, o cliente pode requisitar através de um ticket aberto via nosso Portal do Cliente a criação de um ambiente recuperado para que sejam realizados os testes. {% hint style="info" %} Para obter mais informações, abra um chamado de suporte através do Portal do Cliente. {% endhint %}
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.skyone.cloud/governanca-e-seguranca/praticas-de-privacidade-protecao-de-dados-e-seguranca-cibernetica-para-o-skyone-autosky.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.