Políticas de segurança de informação
Aos Colaboradores, Parceiros, Terceiros e Clientes,
Como fator de sucesso, a OmniChat considera extremamente importante garantirmos a segurança das informações sob nossa responsabilidade. Desta forma apresentamos a nossa Política de Segurança da Informação onde apresentamos um conjunto de orientações que valorizam e definem o uso adequado das informações, possibilitando ambientes de TI seguros, confiáveis e íntegros.
1. Objetivo
A Política de Segurança da Informação tem como objetivo estabelecer normas, conceitos, diretrizes, e responsabilidades sobre os principais aspectos relacionados à segurança da informação e segurança cibernética, visando preservar e garantir a confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade (não repúdio), legalidade e conformidade dos dados e informações da OmniChat, dos clientes e do público em geral, observando as regulamentações aplicáveis e melhores práticas de mercado buscando tanto prevenir incidentes quanto impedir que erros cometidos no passado não se repitam.
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação não estará disponível ou será divulgada a indivíduos, entidades ou aplicativos sem autorização.
Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.
Resiliência: garantia de que o sistema estará disponível para acesso das informações pelo tempo necessário, utilizando de redundância e escalabilidade sempre que possível.
Autenticidade: Garantia da identidade do remetente da informação. Pela autenticidade garante-se que a informação é proveniente da fonte anunciada, sem sofrer alteração durante o envio.
Legalidade: Garantir que o uso e manuseio das informações seguem as leis vigentes no país (Lei de crimes cibernéticos – Lei 12.737/2012, Marco Civil da Internet – Lei 12.965/2014 e LGPD LEI Nº 13.709/2018).
Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.
- O acesso a sistemas, recursos e outros deve ser concedido com base em:
1. Necessidade de negócios;
2. O princípio do menor privilégio;
3. Segregação de deveres;
- Os acessos devem ser gerenciados por meio de um ciclo de vida, desde a criação até a desativação, incluindo revisões periódicas para precisão e adequação;
- As senhas devem seguir os requisitos de complexidade e ser exclusivas, não devem ser reutilizadas, compartilhadas, armazenadas em arquivos ou gravados em qualquer lugar.
- Logs e trilhas de auditoria devem ser habilitadas em ambientes de produção, protegidos de acessos não autorizados e alterações e registro:
1. Qual atividade foi realizada;
2. Quem realizou a atividade;
3. Quando a atividade foi realizada;
4. Em que atividade foi realizada;
- Criptografia (256bits) deve ser utilizada em dados em repouso, trânsito e em qualquer forma de armazenamento;
- API e endpoints de aplicativos utilizam apenas protocolos TLS / SSL e obtêm uma classificação “A” nos testes da Qualys SSL Labs. Isso significa que são utilizados apenas pacotes de criptografia fortes e recursos como HSTS e Perfect Forward Secrecy totalmente ativados;
- Utilização de ferramentas e processos que buscam evitar que informações confidenciais saiam do ambiente interno da OmniChat sem autorização;
- Soluções que permitam a prevenção, detecção e identificação de ataques da infraestrutura da OmniChat devem estar implementadas;
- Soluções de software de detecção, prevenção e recuperação de antimalware devem estar disponíveis e implementadas para proteger o ambiente do OmniChat;
- Os ativos de informação considerados críticos ou que armazenam e/ou processam informações sensíveis, devem ser restritos a áreas segregadas da rede com controles de acesso apropriados;
- O ambiente de produção deve ter backups suficientes para restaurar sistemas e serviços para funcionar em caso de perda de dados ou interrupção do serviço;
- Durante o ciclo de vida de desenvolvimento do software, os requisitos de segurança devem ser aplicados para garantir a confidencialidade, integridade e disponibilidade das informações;
- Uma avaliação de segurança deve ser realizada antes da implementação de qualquer nova tecnologia, ferramenta ou solução em produção;
- Devem ser implementados os procedimentos e controles destinados a prevenir, tratar e reduzir as vulnerabilidades da OmniChat a incidentes de segurança da informação, além de diretrizes para registro, análise de causa e impacto e avaliação da relevância dos incidentes;
- As informações devem ser classificadas para auxiliar no mapeamento consistente dos ativos de informação e para estabelecer o nível de proteção que deve ser aplicado em seu armazenamento, transmissão e uso;
- O Plano de Continuidade de Negócios (PCN) visa garantir que, em situação de crise, os processos essenciais e críticos sejam devidamente mantidos, preservando assim a continuidade das funções, operações e serviços críticos do negócio. O PCN deve ser testado e documentado duas vezes ao ano.
- Os treinamentos de conscientização devem ser obrigatórios e realizados anualmente, apresentando os princípios de segurança da informação para auxiliar os colaboradores a reconhecer situações de risco e agir corretamente;
- O consumo e o compartilhamento de informações sobre incidentes e ameaças com outras instituições locais e globais devem ser feitos por meio de canais seguros;
- A Política de Segurança da Informação da OmniChat se divide em dois documentos, sendo uma externa e uma interna, ambas devem ser revisadas pelo menos uma vez por ano.
- Disponibilizar a possibilidade de utilização de Single Sign-on (SSO);
- Disponibilizar autenticação de dois fatores que é um método de confirmação da identidade reivindicada de um usuário, utilizando algo que ele conhece (senha) e um segundo fator diferente de algo que ele possui ou é;
- Utilizar um método de segregação de permissões para que seja possível diferenciar os usuários administradores dos usuários normais;
- Utilização de um padrão de complexidade de senhas e armazenamento de credenciais utilizando criptografia;
- Função de mascaramento de dados disponível aos clientes, reduzindo o risco de vazamento e garantindo maior segurança;
- Disponibilização de LOG de eventos com classificação do risco atrelado as ações efetuadas pelos usuários da plataforma;
- Tempo de disponibilidade de 99,9% ou superior. Você pode verificar nossas estatísticas do mês anterior em https://status.omni.chat.
5. Segurança de Redes e Aplicações
- Os serviços e dados da OmniChat são hospedados nas instalações da Amazon Web Services (AWS) nos EUA;
- A OmniChat foi desenvolvida para ser resiliente. Toda a nossa infraestrutura e dados estão espalhados por 3 zonas de disponibilidade da AWS e continuarão a funcionar caso qualquer um desses data centers falhe;
- Todos os servidores estão dentro de nossa própria nuvem privada virtual (VPC) seguindo as boas práticas de segurança homologadas pela própria AWS, garantindo segurança com camadas subsequentes de segurança com Aplicação de Firewall Web (Waf), grupos de segurança e listas de controle de acesso (ACLs);
- Utilização de um protocolo para lidar com eventos de segurança que inclui procedimentos de escalonamento, mitigação rápida e post-mortem;
- Todos os pagamentos feitos na OmniChat passam por nossos parceiros, WireCard, MundiPagg ou Adyen. Detalhes sobre sua configuração de segurança e conformidade com PCI podem ser encontrados em:
1. WireCard
2. MundiPagg
3. Adyen
6. Processo de desenvolvimento do Postmortem
O objetivo principal do processo de postmortem na OmniChat é informar de forma clara e objetiva o cliente sobre o ocorrido, aprender com o problema e como evitá-lo futuramente.
Os relatórios postmortem de incidentes devem incluir o seguinte:
- Um resumo de alto nível do que aconteceu;
- Qual a solução utilizada;
Etapas executadas para diagnosticar, avaliar e resolver; - Qual o procedimento para evitar que o problema volte a ocorrer;
- Todas as informações públicas sobre o incidente serão compartilhadas em https://status.omni.chat
Se você acredita que pode ter encontrado uma vulnerabilidade de segurança, entre em contato com nossa equipe de segurança pelo e-mail security@omnichat.com.
Para informações sobre como tratamos a privacidade acesse nossa página de Políticas de Privacidade.