Home > A segurança em primeiro lugar – Oneflow > Conformidade – Oneflow
Conformidade
Como tornamos a conformidade perfeita em tudo o que construímos.
Privacidade desde a conceção e por defeito
Este princípio é a nossa “estrela do norte” para o desenvolvimento de produtos, que orienta tudo o que construímos. Eis algumas das perguntas que fazemos sempre a nós próprios em todas as decisões de desenvolvimento que tomamos:
- Informações sensíveis – O código expõe alguma informação sensível?
- Estabelecer o contexto – O objetivo do código corresponde aos parâmetros de risco aceitáveis?
- Dificultar a intrusão – Todos os aspectos do código e do sistema são difíceis de comprometer. O novo código tem um impacto negativo no código pré-existente?
- Dificultar a interrupção – O sistema e o código são resistentes e não são susceptíveis a ataques de negação de serviço e picos de utilização?
- Facilitar a deteção de intrusões – O código e o sistema estão concebidos de modo a permitir que as actividades suspeitas sejam facilmente detectadas, por exemplo, existe um registo e uma monitorização adequados?
- Reduzir o impacto da intrusão – O sistema foi desenvolvido para minimizar o impacto de uma intrusão? A funcionalidade está estruturada para evitar ligações desnecessárias a outras partes do sistema?
- Proteção contra vulnerabilidades comuns – Os sistemas são desenvolvidos de forma segura contra a maioria das vulnerabilidades, por exemplo, OWASP Top 10?
Os seus dados são da nossa responsabilidade
A Oneflow tem uma Política de Continuidade de Negócio e Recuperação de Desastres abrangente que é revista anualmente ou sempre que são efectuadas alterações significativas.
A Oneflow é construída com redundância em todos os níveis da sua infraestrutura. A plataforma, as bases de dados, o armazenamento e os serviços auxiliares estão alojados em várias zonas de disponibilidade na Irlanda, UE, para permitir falhas esporádicas sem qualquer perda de disponibilidade, funcionalidade ou dados do cliente. Os registos do sistema e os registos de autenticação são armazenados durante 90 dias (incluindo 30 dias de cópia de segurança fora do local). As cópias de segurança também são efectuadas a intervalos regulares e armazenadas em centros de dados na Suécia.
A Oneflow é uma plataforma segura com capacidades de pesquisa, acompanhamento e controlo. Os dados pessoais estão seguros num único local, em vez de estarem espalhados por correio electrónico, servidores e discos rígidos. Os dados dos clientes (incluindo dados pessoais) processados e armazenados na Oneflow são confidenciais e só podem ser acedidos pelo cliente.
Conformidade: Encriptação
Os dados são encriptados em trânsito e em repouso; o TLS 1.2 é utilizado para encriptar os dados em trânsito, desde a Internet pública até aos nossos pontos de extremidade CDN, até à nossa rede interna antes de serem processados. As bases de dados, os servidores e o armazenamento de ficheiros também encriptam os dados antes de os armazenar em repouso, utilizando a encriptação mais avançada com o algoritmo AES 256.
Políticas
A Oneflow está alinhada com a norma ISO 27001, a estrutura NIST e tem uma série de políticas, procedimentos e directrizes internas. Estas formam o nosso Sistema de Gestão de Segurança da Informação e regem a nossa abordagem à segurança e privacidade. Abaixo encontra uma seleção das nossas políticas.
• Política de segurança da informação
• Política de utilização aceitável
• Política de gestão da mudança
• Política de desativação e destruição
• Política de gestão dos riscos de segurança da informação
• Procedimento de gestão de incidentes de segurança da informação
• Política de continuidade das actividades e de recuperação de desastres
• Política de segurança do fornecedor
• Política de desenvolvimento seguro
• Política do local de trabalho
Contacte-nos se pretender rever qualquer uma das nossas políticas em pormenor.
Modelo de responsabilidade partilhada
Para que a Oneflow seja capaz de fornecer uma plataforma segura, a segurança e a conformidade são partilhadas entre a Oneflow e o cliente. O objetivo do modelo de responsabilidade partilhada é permitir que a Oneflow se concentre em fornecer uma plataforma segura aos seus clientes, ao mesmo tempo que permite que os clientes se envolvam proactivamente na proteção dos seus activos.
Conformidade: Responsabilidade da Oneflow
A Oneflow é responsável pela segurança da plataforma, da infraestrutura e da rede utilizadas para fornecer o serviço. A fim de manter a confidencialidade, a integridade e a disponibilidade dos dados armazenados e processados pela Oneflow, os dados são encriptados durante o trânsito e em repouso. São efectuadas actualizações regulares à aplicação para garantir sempre o mais elevado nível de proteção. Além disso, a plataforma Oneflow está alojada em várias localizações geograficamente separadas, o que resulta num serviço fiável e redundante.
A Oneflow é também responsável por oferecer uma vasta gama de funcionalidades de reforço da segurança para permitir uma maior proteção dos activos mais importantes dos clientes. Esta funcionalidade pode ser activada para o cenário de risco adequado, requisitos operacionais e obrigações de conformidade.
Responsabilidade do cliente
Os clientes são responsáveis pela segurança da aplicação Oneflow em relação aos elementos sob o seu controlo. Por exemplo, os clientes são responsáveis por garantir que os detalhes de autenticação, como as palavras-passe, são mantidos em segurança e não são expostos a pessoas não autorizadas.
Oneflow fornece uma vasta gama de funcionalidades de segurança. No entanto, é da responsabilidade do cliente utilizar essas funcionalidades, por exemplo, a autenticação de dois passos, o início de sessão único e as políticas de retenção de dados. O acesso aos contratos pode ser controlado pelo cliente através da utilização de permissões avançadas baseadas em funções e, como tal, o cliente é responsável por garantir que as permissões são concedidas apenas àqueles que necessitam de acesso dentro da organização. Além disso, é da responsabilidade do cliente garantir que o contrato é enviado para o destinatário correto.
Os contratos que tenham sido descarregados ou exportados para fora da plataforma Oneflow são da exclusiva responsabilidade do cliente; os clientes continuarão a poder aceder ao contrato na Oneflow, desde que este não tenha sido eliminado pelo cliente.