search

Práticas de privacidade, proteção de dados e segurança cibernética para o Skyone Autosky

A Skyone, no âmbito da prestação de serviços de Licenciamento de Uso do Skyone Autosky e da configuração dos ambiente(s) definidos no momento da contratação pelo cliente final, envolve suas áreas de Governança e Operações na detecção, resolução, prevenção e mitigação de incidentes relacionados à privacidade, proteção de dados e segurança cibernética. Dessa forma, assegura a entrega de soluções computacionais cada vez mais relevantes, disponíveis e íntegras.

A seguir, apresentamos as respostas aos principais questionamentos recorrentes em RFPs e auditorias, especificamente relacionados às práticas adotadas pela Skyone em privacidade, proteção de dados e segurança cibernética.

circle-info

Caso as informações deste documento não esclareçam suas dúvidas, por favor, envie seus questionamentos ou solicite o agendamento de uma reunião encaminhando um e-mail com seus dados para [email protected].

hashtag
Governança e Operações

chevron-rightQuais são os processos e procedimentos de privacidade, proteção de dados e segurança cibernética implantados pela Skyone?hashtag

Os processos e procedimentos são elementos essenciais e críticos para a operação da Skyone. A empresa adequou seus processos a essas exigências e obteve a certificação da norma técnica ABNT NBR ISO/IEC 27001:2022, que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação.

Implementamos os seguintes processos e procedimentos:

hashtag
Rotina de análise de segurança

Processos semanais são realizados para identificar e mitigar riscos no sistema operacional, interfaces web e nos bancos de dados da plataforma Autosky, incluindo, mas não se limitando a:

  • Varredura de vulnerabilidades da superfície externa e interna;

  • Varredura na dark web;

  • Aplicação de patches de software;

  • Atualizações de versões do sistema operacional;

  • Atualizações de versões do banco de dados e

  • Varredura e mapeamento de portas abertas.

hashtag
Plano de gestão de vulnerabilidades

Mapeamento e classificação das vulnerabilidades de acordo com o Common Vulnerability Scoring System V3.0 (CVSS v3.0 Rating), uma estrutura aberta para comunicar as características e a gravidade das vulnerabilidades do software, como:

  • Crítico;

  • Elevado;

  • Médio;

  • Baixo

Processos regulares aplicam as correções apropriadas de acordo com cada nível de severidade e evidenciadas nos nosso processo de Governança de Segurança.

hashtag
Rotina de monitoramento, detecção e resposta

Rotinas de análise e gestão associados ao nosso SOC para monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response).

Plano de gestão de incidentes de privacidade, proteção de dados e segurança cibernética. O plano define de forma sistêmica o processo de tratamento de eventos e incidentes, executado pela área de Governança da skyone, dentro do seu programa de privacidade, proteção de dados e segurança cibernética.

hashtag
Plano de comunicação de incidentes

Implementamos um plano de resposta a incidentes no qual as comunicações e a divulgação desempenham um papel particularmente significativo para a audiência correta: compartilhar informações, construir relacionamentos e promover a confiança.

É importante considerar a comunicação como uma iniciativa estratégica.

As comunicações transcendem todos os processos de negócios e segurança, tanto aqueles que ocorrem em operações normais quanto durante uma crise.

hashtag
Segurança dos dispositivos da Skyone

Todos os endpoints são de propriedade da Skyone, com EDR (Endpoint Detection and Response) instalado e monitorado pela equipe de Governança de Segurança. Os colaboradores são proibidos de utilizar equipamentos pessoais para atividades e acesso à empresa, mesmo na condição de trabalho remoto e limitados por controle de ferramentas internas e via Firewall de borda de acesso aos sistema interno e ambiente de clientes. As portas USB são bloqueadas para acesso de pen-drives.

hashtag
Ações de adequação, mitigação e acompanhamento aos riscos atrelados a LGPD e uso de dados de terceiros

Estruturamos as ações de adequação e mitigação dos riscos atrelados à LGPD em 2020. A Skyone só coleta dados de forma digital de duas formas:

  • Via formulários no nosso website e hotsite de campanhas;

  • Via formulários integrados a ferramenta de companhias de marketing

Adotamos as seguintes diretrizes para garantir que a política de privacidade seja executada:

  • Ao enviar qualquer comunicação, seja de marketing ou relacionamento, para os contatos da nossa base de CRM, é gerado um pedido de consentimento.

  • Toda a coleta realizada por formulários no website ou hotsites a política de privacidade, controle de cookies é informado e o pedido de consentimento é requerido.

  • A área de Governança tem a atribuição de auditar sistematicamente se estes procedimentos estão sendo seguidos

  • Nenhuma mudança é realizada sem a aprovação do Comitê de privacidade e proteção de dados.

  • Todos os contratos com fornecedores foram auditados e avaliados em relação a cláusulas de privacidade.

chevron-rightComo é o processo de comunicação de um incidente?hashtag

A Skyone segue etapas estruturadas para gerenciamento de incidentes, utilizando um portal de registro de incidentes, no qual cada fase possui um propósito claramente definido. As macroatividades são:

Registro → Categorização → Diagnóstico → Resolução → Encerramento

chevron-rightProcedimento de Gestão de Mudança (GMUD)hashtag

As alterações nos ambientes dos clientes são conduzidas conforme o processo de Gestão de Mudança, que contempla:

  • Identificação da mudança;

  • Análise de dados e sistemas afetados;

  • Definição de responsáveis;

  • Avaliação de impactos;

  • Plano de testes pré-mudança;

  • Plano de rollback;

  • Plano de testes pós-mudança.

A solicitação de uma GMUD deve ser realizada via Portal do Cliente, por meio de ticket. Após comprovação técnica e aprovação, a mudança segue para execução conforme agenda programada.

chevron-rightComo funciona o plano de transição no caso de cancelamento de contrato com a Skyone?hashtag

Nos casos de cancelamento unilateral antes do prazo final do contrato permanece a necessidade de cumprimento da multa será calculada proporcionalmente aos meses faltantes.

Qualquer que seja a forma de rescisão, a skyone se compromete a disponibilizar o backup do banco de dados por 15 (quinze) dias a contar da rescisão.

Qualquer pedido de cancelamento pode ser requisitado pelo email: [email protected]

chevron-rightA Skyone possui seguro que cubra ataques cibernéticos ou vazamentos de dados?hashtag

Atualmente, não possuímos seguro cibernético.

chevron-rightA skyone possui Código de Ética, Conduta e Política de Gestão de Privacidade?hashtag

Sim. O Código de Ética e Conduta e a Política de Privacidade são públicos e podem ser acessados por nossos clientes e parceiros.

chevron-rightHá uma pessoa DPO definida para a organização?hashtag

Sim. As informações de contato do DPO estão disponíveis em nossa Política de Privacidade, acessível em: https://skyone.solutions/juridico/politica-de-privacidade/arrow-up-right

hashtag
Sobre a Plataforma Skyone Autosky

chevron-rightQuais são as tecnologias utilizadas pela Skyone?hashtag

Os ambientes da Skyone utilizam tecnologias atualizadas dos principais provedores de nuvem pública (AWS, Google CGP, Azure e Oracle), no Brasil e no exterior.

chevron-rightQuais são as plataformas, soluções, padrões, máquinas e switches/firewalls que compõem o ambiente da Skyone?hashtag

Um fundamento importante para quem consome serviços de provedores de nuvem pública é a abstração da camada de hardware, armazenamento, rede e virtualização.

Sendo estes provedores de serviços responsáveis pelas atualizações e mitigação de riscos.

hashtag
Hardware

Embora você provavelmente pense em nuvens como sendo virtuais, elas requerem hardware como parte da infraestrutura, ela é composta por uma variedade de hardware físico que pode estar localizado em vários locais geográficos.

O hardware inclui equipamentos de rede, como switches, roteadores, firewalls e balanceadores de carga, matrizes de armazenamento, dispositivos de backup e servidores.

A virtualização conecta os servidores entre si, dividindo e abstraindo recursos para torná- los acessíveis aos usuários.

hashtag
Armazenamento

Dentro de um único local geográfico onde a nuvem está localizado, os dados podem ser armazenados em vários discos em uma única matriz de armazenamento, garantindo um alto SLA de 99,99%. Os sistemas de gerenciamento do armazenamento garantem que os dados sejam copiados corretamente e que os dados sejam indexados para recuperação caso algum componente de armazenamento falhe.

hashtag
Rede

A rede é composta por recursos físicos como switches, roteadores e outros equipamentos.

A camada de rede das nuvens públicas são classificadas como VPC(Google e AWS), VNET (Azure) e VCN(Oracle).

Uma configuração típica de rede em nuvem é composta por várias subnets, possibilitando definir níveis de acessos, roteamentos e atribuição de endereçamento IP públicos e privados.

Essa flexibilidade no nível de rede nos dá a capacidade de criar várias camadas de isolamento entre ambientes, elementos fundamentais visando mitigação de ataques de varredura lateral.

hashtag
Virtualização

A virtualização é a tecnologia que separa os serviços e funções de TI do hardware.

O software chamado hipervisor fica sobre o hardware físico e abstrai os recursos da máquina, como memória, capacidade de computação e armazenamento.

Depois que esses recursos virtuais são alocados em pools centralizados, eles são considerados nuvens.

chevron-rightComo validar se o provedor de nuvem garante segurança e mitigação de riscos?hashtag

  1. Os provedores nuvem pública oferecem suporte a padrões e certificações de conformidade como PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 e NIST 800-17 auditadas regularmente.

  2. Em certificação de conformidade de segurança possuem ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 9001:2015 e CSA STAR CCM v4

  3. A homologação por órgãos governamentais de diversos países como dos Estados Unidos (FBI, NASA, CSA, entre outros) e no Brasil (TSE). Seus padrões declarados de privacidade e proteção de dados:

chevron-rightQual é o modelo de responsabilidade compartilhada na nuvem pública?hashtag

Segurança e conformidade são responsabilidades compartilhadas entre os provedores de nuvem pública (AWS, Google CGP, Azure e Oracle), Skyone e o cliente.

Quando o cliente transfere seus dados e sistemas de computação para a nuvem, as responsabilidades de privacidade e segurança são compartilhadas entre ele, a Skyone e o provedor de serviços de nuvem.

O provedor de nuvem pública é responsável pela proteção da infraestrutura que oferece suporte à nuvem, e a Skyone e os clientes são responsáveis por tudo aquilo que colocam na nuvem ou conectam à nuvem.

Normalmente essa diferenciação da responsabilidade é mencionada como segurança da nuvem vs. segurança na nuvem. Esse modelo compartilhado pode ajudar a reduzir a carga operacional do cliente e oferecer a flexibilidade e o controle necessários para implantar a infraestrutura dele na nuvem.

O provedor de nuvem pública gerencia e controla os componentes de infraestrutura, desde a camada de virtualização até a implementação de serviços correlatos e a segurança física das instalações nas quais os serviços operam.

A Skyone e os clientes assumem a responsabilidade e o gerenciamento pelo sistema operacional (inclusive por atualizações e patches de segurança), serviços de banco de dados, dos aplicativos de software associados ao ambiente, bem como o grupo de segurança diretamente ligado a estes componentes do ambiente.

chevron-rightComo funciona a Plataforma Skyone Autosky?hashtag

O Autosky é uma plataforma de orquestração e automatização de recursos em múltiplas nuvens, que facilita a migração dos sistemas cliente-servidor para a nuvem.

Além de permitir que sejam migradas aplicações cliente-servidor (traditional desktop) de todas as linguagens de programação e de diferentes bancos de dados, traz uma segurança muito mais robusta que um hosting convencional, além de contar com backups recorrentes, feitos com segurança, e uma recuperação de desastres rápida e eficaz.

A Plataforma Autosky orquestra (cria e finaliza) servidores efêmeros (servidores criados temporariamente para atender o uso de uma aplicação), que possuem endereços IP (temporários) diferentes e curta duração, possibilitando mitigar ataques de força bruta.

chevron-rightA Plataforma Skyone Autosky possui DR (Disaster Recovery)?hashtag

Por ser uma aplicação nativa para nuvem (criada com a mais recente tecnologia) a plataforma opera de forma resiliente.

Com o desenvolvimento de aplicações nativas para a nuvem, os planos de contingências (DR) foram substituídos por um novo conceito mais robusto, a resiliência.

Todos os componentes da plataforma (aplicação, banco de dados, scripts, segurança implícita e demais funções sistêmicas) estão em duas zonas de disponibilidades distintas, garantindo resiliência operacional.

Resiliência não elimina o RTO (Recovery Time Objective) e o RPO (Recovery Point Objective).

circle-info

Esclarecimento importante: Os ambientes de cliente não possuem resiliência, aconselhamos uma análise de adoção de DR (Disaster Recovery) quando a criticidade de implicar um alto risco para o negócio.

Para entender melhor sobre zonas de disponibilidade acesse:

chevron-rightA Plataforma Skyone Autosky é segura?hashtag

A plataforma Autosky evolui constantemente (propriedade intelectual) e nos últimos 10 (dez) anos incorporou dezenas de funcionalidades únicas que possibilitam a orquestração automática de ambientes em nuvem.

A orquestração automática é umas dos grandes diferenciais da plataforma, seu funcionamento possibilita que cada cliente possua seu ambiente isolado (servidores de banco de dados, templates e sistemas de integração, entre outros) de outros clientes.

  1. Quais são os pilares estratégicos de segurança para mitigar os riscos?

  • Executamos varreduras de vulnerabilidade semanais;

  • Pentest semestrais;

  • Aplicações de pacotes de correção (patch packs/fix packs) automatizados.

  1. Como é realizada a gestão de acesso?

A gestão de acesso na skyone é gerenciada na área de Infosec.

Os acessos são concedidos através de solicitações registradas pelos gestores de áreas permitidas, onde são aplicados bloqueio de acessos, limitação de privilégios de acordo com a função, além de ter rotina de auditoria frequente para revisão destes acessos.

  1. Quais os tipos de acesso?

  • Acesso de usuários à aplicação. Este acesso, seguro, não exige VPN e é registrado para todos os usuários que se conectaram à aplicação. Esse registro pode ser emitido para fins de auditoria e o acesso pode ser configurado para exigir MFA (Duplo Fator de Autenticação) ou autenticação por Single Sign-On (SSO) usando o protocolo SAML;

  • Acesso de administradores ao Painel de Administração do Autosky. Este acesso, seguro e sem necessidade de VPN, é para a atividades de configuração do ambiente, tais como adição ou remoção de usuários, adição de aplicações e outras atividades. É registrado para fins de auditoria e conta com MFA (Duplo Fator de Autenticação);

  • Acesso de consultores, especialistas e administradores aos servidores no qual a aplicação é instalada. Este acesso é feito por VPN, como credenciais de acesso emitidas através de tickets de suporte. Não é feito registro das atividades executadas diretamente dentro dos servidores.

  1. A skyone garante o princípio do mínimo privilégio, com critérios de segregação de função, no qual o funcionário tenha acesso somente ao indispensável para realização das atividades para o qual foi contratado?

Sim, temos como princípio a adoção de privilégio mínimo na Plataforma Autosky e nos ambientes dos clientes gerimos em conjunto o que pode ser aplicável.

A skyone utiliza "Cofre de Senha" em todos os seus acessos de seus colaboradores ao ambientes para mitigar riscos de vazamento de credenciais dos responsáveis pelo acesso a ambientes de nuvem e/ou de clientes.

Rotinas de alteração de senhas e credenciais fazem parte da política de segurança.

  1. Existe hardening na Plataforma Autosky?

Sim, o hardening é o processo de tornar seus sistemas, redes, softwares, hardwares e firmwares mais resistentes a ataques.

  • Remoção contínua de funcionalidades ou serviços desnecessários;

  • Contínua atualização de bibliotecas e demais componentes;

  • Testes individuais e automatizados;

  1. O desenvolvimento é seguro?

Sim. O desenvolvimento da Plataforma Autosky segue dois conceitos: privacy by design e security by default.

Todo e qualquer desenvolvimento é realizado em ambientes segregados para desenvolvimento, teste e produção.

  1. Qual a possibilidade de um ataque de negação de serviço ou comprometimento por Ransomware na camada de virtualização?

Como explicamos nos itens 4 e 5 anteriores, a camada de virtualização é mantida, gerida e mitigada pelo provedor de nuvem pública.

Não há incidentes de violação da camada de virtualização registrada em nuvem pública nos últimos anos.

Se por acaso esta violação ocorrer em um ambiente de cliente, o time de Operações da skyone irá recriar o ambiente uma nova zona de disponibilidade, buscando atender o SLA contratado.

chevron-rightComo proteger o ambiente do cliente?hashtag

Adicionalmente as medidas de segurança que a plataforma Autosky proporciona, sugerimos as seguintes medidas para mitigar riscos:

  1. Adoção de antimalware avançado (com funções de monitoramento e alertas de eventos de segurança utilizando tecnologia XDR (Extended Detection and Response);

  2. Contratar o serviço de Surface Protection que faz a varredura de vulnerabilidades das superfícies interna e externa;

  3. Manter atualizados todos os pacotes de correção indicados pelo CVE (Common Vulnerabilities and Exposures) do Mitre para identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente.

chevron-rightComo mitigar riscos do ambiente quando colaboradores e consultores têm acesso para implantar, administrar e/ou manter o ambiente do cliente?hashtag

  • As seguintes medidas de segurança são listadas como melhores práticas de segurança:

  • Adotar EDR (Endpoint Detection and Response) para todos os notebooks (Endpoints) dos colaboradores e consultores;

  • Gestão centralizada de acesso e troca constante de senhas destes colaboradores;

  • Adotar VPN como padrão de acesso remoto ao ambiente quando for implantar, administrar e/ou manter ao ambiente.

chevron-right Como o Skyone Autosky mitiga riscos no ambiente do cliente?hashtag

A evolução do Skyone Autosky incorporou diversas funcionalidades de segurança e processos de gestão visando mitigar riscos, entre elas:

  1. Regras de firewall

São controladas via NSG (Network Security Group) exclusivas para cada ambiente do cliente;

  1. Portas de comunicação

As liberações de portas de comunicação com redes externas é realizada mediante análise e quando existem riscos é gerada uma Notificação de Risco para dar visibilidade e conscientização;

  1. Sistemas Operacionais(SO) e softwares

Por padrão disponibilizamos as versões mais recentes.

  1. Camada de Autenticação

Acesso seguro, feito por uma URL, com autenticação com ReCaptcha, MFA e Single Sign- On usando SAML.

  • Todos os acessos são registrados e auditáveis.

  • Restrições de acesso com base em horários e IPs.

  • Configuração para definição de padrões de senhas (caracteres e tamanhos).

  1. Scaling de aplicações

A Plataforma gerencia dinamicamente os servidores do ambiente diariamente, garantindo IP’s dinâmicos, mitigando ataques de força bruta. Este mesmo mecanismo é usado no servidores de template(que é a matriz de referência para criar os ambientes de usuários).

  1. Monitoramento

Monitoramento 24x7, com visualização de dashboards disponíveis para os clientes.

  1. Anti Malware

Versão básica instalada em todos os ambientes (versão avançada disponível como opcional).

  1. Prevenção de ataques força-bruta

Para mitigar ataques de força bruta, criamos o Skyone Autosky Defender, que monitora e mitiga ataques em tempo real, bloqueando IPs ofensores, centralizando a análise de IPs e permitindo o bloqueio de blocos.

  1. Auditoria

A Plataforma registra todas as ações do usuário realizadas no portal do usuário, tais como:

  • Tentativas de login;

  • Autenticação falha;

  • Tentativas de login com falha excessivas se limitam com bloqueio de usuário;

  • Recuperação e mudança de Senha

chevron-rightProcesso de backup na Plataforma Skyone Autosky?hashtag

Backup é o ato de fazer cópias de segurança de um ambiente, aplicação ou dados do cliente em um determinado momento. Significa fazer cópias em diferentes dispositivos de armazenamento para a recuperação do sistema em caso de falhas.

  1. Qual é a política de backup padrão do Autosky?

  • A política de Backup padrão de qualquer ambiente de cliente é por Snapshot de Instância e do servidor com Banco de Dados, com retenção de 7 (sete) dias.

  • Existem outras opções de granularidade, retenção e destino do backup realizado.

  1. Como os backups são armazenados?

  • Por padrão, na nuvem pública os snapshots de servidores são armazenados na área de armazenamento de objetos das contas ativas de clientes, que tem uma alta resiliência. Todos os backups são armazenados no Simple Storage Service (S3) da AWS, Object Storage da OCI, Object Storage da Azure ou Cloud Storage do Google. As cópias de segurança são automaticamente replicadas entre as múltiplas zonas o que garante uma durabilidade de 99.999999999%;

  • As áreas de armazenamento de objetos são isoladas dos servidores, sem conexão direta entre eles. Em caso de comprometimento de um servidor, não há acesso snapshots armazenados;

  • Os backups na OCI também contam com criptografia automática, antes do armazenamento no Object Storage.

  1. Como é evidenciado a realização dos backups?

Todo cliente da skyone possui um acesso ao Portal do Cliente onde irá encontrar a listagem dos backups realizados, por ambiente / servidor.

  1. Como solicito a recuperação de um backup?

A recuperação de backups é feita pelo Painel do Cliente, na listagem de backups.

Há uma opção para solicitar a recuperação, que abre automaticamente o ticket.

  1. O procedimento de teste de recuperação do backup é a skyone que faz?

Não, o cliente pode requisitar através de um ticket aberto via nosso Portal do Cliente a criação de um ambiente recuperado para que sejam realizados os testes.

circle-info

Para obter mais informações, abra um chamado de suporte através do Portal do Cliente.

AnteriorPráticas de Privacidade, Proteção de Dados e Segurança Cibernética

Atualizado

Isto foi útil?