Práticas de privacidade, proteção de dados e segurança cibernética para o Skyone Autosky

A Skyone, no âmbito da prestação de serviços de Licenciamento de Uso do Skyone Autosky e da configuração dos ambiente(s) definidos no momento da contratação pelo cliente final, envolve suas áreas de Governança e Operações na detecção, resolução, prevenção e mitigação de incidentes relacionados à privacidade, proteção de dados e segurança cibernética. Dessa forma, assegura a entrega de soluções computacionais cada vez mais relevantes, disponíveis e íntegras.

A seguir, apresentamos as respostas aos principais questionamentos recorrentes em RFPs e auditorias, especificamente relacionados às práticas adotadas pela Skyone em privacidade, proteção de dados e segurança cibernética.

Caso as informações deste documento não esclareçam suas dúvidas, por favor, envie seus questionamentos ou solicite o agendamento de uma reunião encaminhando um e-mail com seus dados para [email protected].

Governança e Operações

Quais são os processos e procedimentos de privacidade, proteção de dados e segurança cibernética implantados pela Skyone?

Os processos e procedimentos de privacidade, proteção de dados e segurança cibernética são componentes essenciais e críticos para a operação da Skyone. A empresa alinhou suas práticas a padrões internacionais, obtendo a certificação ABNT NBR ISO/IEC 27001:2022, que estabelece os requisitos para implementar, manter e aprimorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI).

A seguir, detalhamos os principais processos e procedimentos implementados:

Rotina de análise de segurança

Realizamos processos semanais para identificação e mitigação de riscos no sistema operacional, interfaces web e bancos de dados da plataforma Autosky, incluindo, mas não se limitando a:

Plano de gestão de vulnerabilidades

  • Varredura de vulnerabilidades da superfície externa e interna;

  • Varredura na dark web;

  • Aplicação de patches de software;

  • Atualizações de versões do sistema operacional;

  • Atualizações de versões do banco de dados;

  • Varredura e mapeamento de portas abertas.

Mapeamento e classificação de vulnerabilidades

As vulnerabilidades são categorizadas conforme o Common Vulnerability Scoring System v3.0 (CVSS v3.0 Rating), uma estrutura aberta para comunicação das características e gravidade de vulnerabilidades de software:

  • Crítico

  • Elevado

  • Médio

  • Baixo

Os processos regulares aplicam ações corretivas com base no nível de severidade, devidamente registradas e tratadas no processo de Governança de Segurança.

Rotina de monitoramento, detecção e resposta

Executamos rotinas contínuas de análise e gestão por meio do nosso SOC, responsável pelo monitoramento e geração de alertas de segurança com uso de tecnologia XDR (Extended Detection and Response).

Plano de gestão de incidentes de privacidade, proteção de dados e segurança cibernética

Esse plano estabelece de forma sistêmica todas as etapas do tratamento de eventos e incidentes, conduzido pela área de Governança da Skyone, no âmbito do programa de privacidade, proteção de dados e segurança cibernética.

Plano de comunicação de incidentes

Mantemos um plano estruturado de resposta a incidentes, no qual as iniciativas de comunicação desempenham papel estratégico. O objetivo é garantir que as informações sejam transmitidas à audiência correta, favorecendo relacionamentos transparentes e fortalecendo a confiança.

As comunicações são tratadas como um processo transversal, essencial tanto para operações regulares quanto para situações de crise.

Segurança dos dispositivos da Skyone

  • Todos os endpoints utilizados são de propriedade da Skyone e possuem solução EDR (Endpoint Detection and Response) instalada e monitorada pela equipe de Governança de Segurança.

  • É proibido o uso de dispositivos pessoais para atividades corporativas, inclusive em regime remoto.

  • O acesso é restrito por ferramentas internas de controle e por Firewall de borda no acesso ao sistema interno e aos ambientes de clientes.

  • Portas USB encontram-se bloqueadas para impedir o uso de pen drives.

Ações de adequação, mitigação e acompanhamento dos riscos relacionados à LGPD e ao uso de dados de terceiros

As ações de conformidade e mitigação de riscos previstos na LGPD foram estruturadas em 2020. A Skyone coleta dados digitais exclusivamente por:

  • Formulários em nosso site e hotsites de campanhas;

  • Formulários integrados a ferramentas de companhias de marketing.

Diretrizes adotadas para assegurar a conformidade com a Política de Privacidade

  • Toda comunicação (marketing ou relacionamento) enviada aos contatos da base de CRM é precedida de pedido de consentimento.

  • Todos os formulários no site ou hotsites incluem política de privacidade, controle de cookies e solicitação obrigatória de consentimento.

  • A área de Governança audita sistematicamente o cumprimento desses processos.

  • Alterações nos procedimentos dependem de aprovação do Comitê de Privacidade e Proteção de Dados.

  • Todos os contratos com fornecedores foram auditados e avaliados quanto às cláusulas de privacidade.

Como é o processo de comunicação de um incidente?

A Skyone segue etapas estruturadas para gerenciamento de incidentes, utilizando um portal de registro de incidentes, no qual cada fase possui um propósito claramente definido. As macroatividades são:

Registro → Categorização → Diagnóstico → Resolução → Encerramento

Procedimento de Gestão de Mudança (GMUD)

As alterações nos ambientes dos clientes são conduzidas conforme o processo de Gestão de Mudança, que contempla:

  • Identificação da mudança;

  • Análise de dados e sistemas afetados;

  • Definição de responsáveis;

  • Avaliação de impactos;

  • Plano de testes pré-mudança;

  • Plano de rollback;

  • Plano de testes pós-mudança.

A solicitação de uma GMUD deve ser realizada via Portal do Cliente, por meio de ticket. Após comprovação técnica e aprovação, a mudança segue para execução conforme agenda programada.

Como funciona o plano de transição no caso de cancelamento de contrato com a Skyone?

Nos casos de cancelamento unilateral antes do término contratual, aplica-se multa proporcional ao período restante. Independentemente do tipo de rescisão, a Skyone disponibiliza o backup do banco de dados por 15 (quinze) dias a partir da data de rescisão.

Pedidos de cancelamento devem ser enviados para: [email protected]

A Skyone possui seguro que cubra ataques cibernéticos ou vazamentos de dados?

Atualmente, não possuímos seguro cibernético.

A skyone possui Código de Ética, Conduta e Política de Gestão de Privacidade?

Sim. O Código de Ética e Conduta e a Política de Privacidade são públicos e podem ser acessados por nossos clientes e parceiros.

Há uma pessoa DPO definida para a organização?

Sim. As informações de contato do DPO estão disponíveis em nossa Política de Privacidade, acessível em: https://skyone.solutions/juridico/politica-de-privacidade/

Sobre a Plataforma Skyone Autosky

Quais são as tecnologias utilizadas pela Skyone?

Os ambientes da Skyone utilizam tecnologias atualizadas dos principais provedores de nuvem pública (AWS, Google CGP, Azure e Oracle), no Brasil e no exterior.

Quais são as plataformas, soluções, padrões, máquinas e switches/firewalls que compõem o ambiente da Skyone?

A utilização de nuvens públicas implica abstração das camadas de hardware, armazenamento, rede e virtualização, sendo os Cloud Providers responsáveis pela manutenção, atualizações e mitigação de riscos.

Hardware

Embora a nuvem seja percebida como elemento virtual, ela depende de infraestrutura física distribuída geograficamente, composta por:

  • Switches, roteadores, firewalls, balanceadores de carga;

  • Matrizes de armazenamento;

  • Dispositivos de backup;

  • Servidores físicos.

A virtualização conecta esses servidores e abstrai recursos como memória e processamento, disponibilizando-os aos usuários.

Armazenamento

Os dados são distribuídos em múltiplos discos dentro de matrizes de armazenamento, garantindo SLA de 99,99%. Os mecanismos de gerenciamento asseguram correta replicação e recuperação em caso de falha.

Rede

A camada de rede nos provedores é baseada em:

  • VPC (AWS e Google),

  • VNET (Azure),

  • VCN (Oracle).

As redes são segmentadas em diversas sub-redes, permitindo isolamento, roteamento e definição granular de acessos.

Virtualização

Um hipervisor aloca recursos físicos em ambientes virtualizados, formando a camada essencial da nuvem.

Como validar se o provedor de nuvem garante segurança e mitigação de riscos?

Os provedores de nuvem possuem certificações e padrões de conformidade como:

PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-17, entre outros, auditados regularmente.

Qual é o modelo de responsabilidade compartilhada na nuvem pública?

A segurança é dividida entre:

  • O provedor de nuvem pública (responsável pela infraestrutura física, camada de virtualização e serviços correlatos);

  • A Skyone (gestão do ambiente, sistemas operacionais, banco de dados, templates, grupos de segurança);

  • O cliente (configuração e segurança das aplicações, acessos e dados hospedados).

Esse modelo distingue segurança da nuvem (provedor) e segurança na nuvem (Skyone + cliente).

Como funciona a Plataforma Skyone Autosky?

O Autosky é uma plataforma de orquestração e automação multicloud, que:

  • Facilita migração de aplicações cliente-servidor;

  • Suporta qualquer linguagem de programação ou banco de dados;

  • Proporciona segurança superior à hospedagem convencional;

  • Garante backups recorrentes e recuperação de desastres eficiente;

  • Cria servidores temporários com IPs dinâmicos, mitigando ataques de força bruta.

A Plataforma Skyone Autosky possui DR (Disaster Recovery)?

Por ser nativa em nuvem, a plataforma opera de maneira resiliente, com componentes distribuídos em duas Zonas de Disponibilidade, garantindo continuidade operacional.

Clientes devem avaliar criticidade e, quando necessário, contratar DR para seus ambientes.

A Plataforma Skyone Autosky é segura?

Sim. A plataforma evolui continuamente e possui arquitetura isolada por cliente.

  1. Pilares estratégicos de segurança

  • Varreduras semanais de vulnerabilidade;

  • Pentests semestrais;

  • Aplicações automatizadas de patches.

  1. Gestão de acesso

Gerenciada pela área de Infosec, com:

  • Concessões controladas e registradas;

  • Privilégios mínimos;

  • Auditorias periódicas.

  1. Tipos de acesso

  • Usuários → acesso sem VPN, auditável, com MFA e SAML/SSO.

  • Administradores → acesso ao Painel Autosky, com MFA.

  • Consultores e especialistas → acesso via VPN, com credenciais emitidas via ticket.

  1. Princípio do mínimo privilégio Sim, aplicado integralmente. A Skyone utiliza Cofre de Senha para todos acessos a ambientes.

  2. Endurecimento (Hardening)

  • Remoção de serviços desnecessários;

  • Atualização contínua de bibliotecas;

  • Testes automatizados.

  1. Desenvolvimento seguro Baseado em privacidade por design e segurança por padrão, em ambientes segregados.

  2. Riscos na camada de virtualização A camada é responsabilidade dos provedores de nuvem. Não houve incidentes recentes envolvendo violação dessa camada. Se necessário, a Skyone recria o ambiente em nova zona de disponibilidade.

Como proteger o ambiente do cliente?

Recomenda-se:

  • Antimalware avançado com XDR;

  • Serviço de Proteção de Superfícies;

  • Manutenção de patches conforme CVE/Mitre.

Como mitigar riscos quando colaboradores e consultores acessam o ambiente?

  • Adoção de EDR;

  • Gestão centralizada de acessos e troca recorrente de senhas;

  • Uso obrigatório de VPN.

Como o Skyone Autosky mitiga riscos no ambiente do cliente?

  1. Regras de firewall

Controladas via NSG, por ambiente.

  1. Portas de comunicação

Abertas apenas após análise; riscos geram Notificação de Risco.

  1. Sistemas operacionais

Disponibilizados sempre em versões recentes.

  1. Camada de autenticação

  • Acesso via URL segura;

  • ReCaptcha, MFA, SSO/SAML;

  • Auditoria completa;

  • Restrições por IP e horários.

  1. Dimensionamento

Servidores são ajustados dinamicamente; IPs mudam periodicamente, mitigando brute force.

  1. Monitoramento

Monitoramento 24x7 com dashboards.

  1. Anti-malware

Versão básica padrão; avançada opcional.

  1. Skyone Autosky Defender

Mitiga ataques de força bruta, bloqueando IPs em tempo real.

Processo de backup na Plataforma Skyone Autosky

  1. Política padrão de backup

  • Snapshot da instância e do servidor de banco de dados;

  • Retenção de 7 dias.

  1. Opções adicionais

Granularidade, retenção e destino personalizados.

  1. Armazenamento dos backups

  • Snapshots armazenados em serviços de objeto (S3, OCI Object Storage, Azure Object Storage, Google Cloud Storage) com durabilidade de 99,999999999%.

  • Armazenamento isolado dos servidores.

  • Backups no OCI contam com criptografia automática.

  1. Evidência de backups

Disponível no Portal do Cliente, por ambiente/servidor.

  1. Solicitação de recuperação

Pode ser realizada diretamente no Portal. A solicitação abre um ticket automático.

  1. Testes de recuperação

Devem ser solicitados pelo cliente via ticket.

PreviousPráticas de Privacidade, Proteção de Dados e Segurança Cibernética

Last updated