Web Analytics
top of page

CENTRO DE CONFIANZA Y SEGURIDAD

Última atualização: 19 de maio de 2024

Na Logical Commander Software, priorizamos a segurança e confidencialidade dos dados de nossos clientes. Temos o orgulho de anunciar que possuímos várias certificações ISO reconhecidas internacionalmente, incluindo ISO 27001:2013, ISO 27017, ISO 27018 e ISO 27701. Essas certificações demonstram nosso compromisso em implementar sistemas robustos de gerenciamento de segurança da informação e proteger suas informações confidenciais.

Segurança

Como uma empresa de software, a segurança é a base de tudo o que fazemos. Investimos pesadamente na segurança de nossos produtos de software e sistemas internos. Nosso modelo de segurança e controles são baseados em padrões internacionais e melhores práticas da indústria, como ISO 27001, ISO 27018 e OWASP Top 10.

Segurança da Infraestrutura
  • Hospedamos nossos sistemas em múltiplas Zonas de Disponibilidade na Amazon Web Services (AWS), permitindo-nos fornecer um serviço confiável e manter seus dados disponíveis sempre que você precisar. Outra região da AWS é configurada como um local de recuperação de desastres.

  • Os data centers da AWS implementam medidas de segurança física e ambiental para garantir uma infraestrutura altamente resiliente. Para mais informações sobre suas práticas de segurança, consulte a Segurança da AWS.

  • Nossa infraestrutura usa Virtual Private Cloud (VPC) para isolar e segmentar ambientes de clientes e Listas de Controle de Acesso à Rede / Grupos de Segurança para controlar o tráfego de entrada e saída nos níveis de sub-rede e instância.

  • Nosso site é protegido e monitorado pela solução sucuri.net contra remoção de malware e hacks, Firewall de Aplicação Web (WAF), monitoramento e remoção de listas de bloqueio, suporte e monitoramento de SSL, bloqueio de ataques DDoS em camadas 3, 4 e 7, Proteção de Firewall, Disponibilidade Alta/Balanceamento de Carga.

Controle de Acesso
  • Todo acesso aos servidores é autenticado contra nosso Provedor de Identidade (IdP), totalmente auditado, e com um mecanismo de Autenticação Multifator (MFA). • É usado um modelo de Controle de Acesso Baseado em Função (RBAC) para garantir permissões apropriadas, com base no princípio do menor privilégio. • O acesso aos ativos de produção é concedido com base na função e de acordo com os princípios do necessário saber e do menor privilégio.

Segurança da Aplicação
  • É utilizada a arquitetura de microsserviços, e nossas aplicações são totalmente containerizadas, com o Kubernetes usado para orquestração; proporcionando alta escalabilidade e confiabilidade.

  • A infraestrutura-como-código é amplamente utilizada para garantir a auditabilidade e a manutenção dos recursos de infraestrutura.

  • Nossas aplicações são desenvolvidas de acordo com o framework OWASP Top 10, e todo o código é revisado por pares antes da implantação na produção.

  • Nossos processos de desenvolvimento e CI/CD incluem gerenciamento de licenças, verificações pré/pós-commit, varreduras de segredos, análise de código estático, varreduras de vulnerabilidades de dependências de terceiros, testes de ponta a ponta, testes unitários e varredura de códigos maliciosos. •

  • As vulnerabilidades são classificadas com base em seu nível de risco e mitigadas de acordo com prazos predefinidos.

  • Treinamento de segurança periódico é realizado para manter nossas equipes de P&D atualizadas com as melhores práticas e ferramentas de desenvolvimento seguro.

Garantia de Qualidade
  • Teste de Autenticação e Autorização

    • Validar que todas as autenticações, funções de usuário e controles de acesso estão funcionando de forma segura.

  • Testes de Gerenciamento de Sessão

    • Verificar problemas como fixação de sessão, sequestro, expiração e término.

  • Testes de Validação de Dados

    • Testar campos de entrada para prevenir ataques de injeção como injeção de SQL, injeção de XML e injeção de comando. Validar os dados de entrada para garantir que atendam aos formatos e padrões esperados.

  • Testes de Criptografia

    • Testar algoritmos de criptografia e protocolos usados para proteger dados sensíveis em trânsito e em repouso.

    • Verificar se as chaves de criptografia são gerenciadas e armazenadas de forma segura.

  • Testes de Manipulação de Erros e Registro

    • Avaliar como o aplicativo lida com erros e exceções para prevenir vazamentos de informações. o Verificar se informações sensíveis não são registradas ou exibidas em mensagens de erro.

  • Testes de Configuração de Segurança

    • Revisar configurações de servidor e aplicativo para melhores práticas de segurança.

    • Garantir que as configurações padrão sejam alteradas, que serviços desnecessários estejam desativados e que as atualizações de segurança estejam atualizadas.

  • Testes de Segurança de API

    • Testar APIs em busca de vulnerabilidades, como referências a objetos diretos inseguros, autenticação insuficiente e exposição excessiva de dados.

    • Verificar se as APIs aplicam autorização e controles de acesso adequados.

Criptografia de Dados
  • Dados em trânsito são criptografados usando TLS com uma suíte de cifras moderna.

  • Dados em repouso são criptografados usando AES-256. As chaves de criptografia são gerenciadas no AWS Key Management Service.

  • Credenciais são hashadas e salgadas usando uma função de hash segura.

Proteção de Endpoint
  • A tecnologia de Detecção e Resposta de Endpoint (EDR) é implantada em todos os endpoints para garantir detecção proativa de ameaças e capacidades de resposta rápida.

  • A solução de EDR fornece visibilidade em tempo real das atividades de nossos endpoints, permitindo a detecção rápida e contenção de comportamentos suspeitos ou possíveis violações de segurança.

  • O monitoramento contínuo dos endpoints por um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) gerenciado junto com um Centro de Operações de Segurança (SOC) garante vigilância 24 horas por dia contra ameaças cibernéticas e garante que incidentes de segurança sejam prontamente identificados, investigados e remediados para minimizar impactos e proteger dados sensíveis.

  • A integração do EDR com a infraestrutura de SIEM/SOC gerenciada aprimora a correlação de inteligência de ameaças, permitindo estratégias avançadas de caça e mitigação de ameaças.

  • Com capacidades de monitoramento e resposta 24/7, defendemos proativamente contra ameaças cibernéticas em constante evolução, proporcionando tranquilidade a nossos stakeholders e clientes.

Auditorias de Segurança e Testes de Penetração
  • Auditorias de segurança são realizadas anualmente tanto no nível de aplicação quanto no nível de infraestrutura.

  • Testes de penetração são realizados na versão final antes da implantação no ambiente de produção.

  • Estamos passando por auditorias externas como parte das certificações ISO e outras auditorias externas.

Recuperação de Desastres e Backups
  • Fazemos backup dos dados do usuário a cada X minutos.

  • Todos os backups são criptografados e distribuídos para vários locais.

  • Mantemos um Plano de Recuperação de Desastres (DRP) para lidar com desastres que afetam nosso ambiente de produção, que inclui a restauração da funcionalidade central do serviço a partir de nosso local dedicado de DR.

  • Testes de DR são realizados pelo menos anualmente. Os testes de DR podem ser na forma de uma simulação, um desastre simulado ou teste de componentes.

Resposta a Incidentes
  • Nosso plano de resposta a incidentes (IRP) estabelece diretrizes para detectar incidentes de segurança e privacidade, escalá-los para o pessoal relevante, comunicação (interna e externa), mitigação e análise pós-mortem.

  • Nossa Equipe de Resposta a Incidentes (IRT) é composta por representantes de Segurança, P&D, Jurídico e, se necessário, uma empresa de resposta a incidentes de terceiros.

Conscientização e Treinamento em Segurança
  • Nossos funcionários passam por treinamento completo de conscientização em segurança da informação.

  • Além disso, treinamento em segurança é fornecido periodicamente.

Transparência

A transparência é a força orientadora por trás de nossos princípios de segurança e privacidade. Compartilhamos todas as nossas políticas com nossos clientes para que você sempre saiba como mantemos suas informações seguras e cumprimos com as leis, normas e regulamentos locais e internacionais.

  • Política de Segurança da Informação 

  • Política de Plano de Recuperação de Desastres

Privacidade

Estamos totalmente comprometidos em proteger a privacidade de nossos clientes, bem como os dados sensíveis dos funcionários que nossos produtos coletam e analisam. Alguns aspectos-chave do nosso programa de privacidade:

  • Coletamos apenas os dados mínimos dos funcionários necessários para que nosso software funcione efetivamente.

  • Todos os dados dos funcionários são criptografados em trânsito e em repouso. Utilizamos protocolos e técnicas de criptografia padrão do setor.

  • O acesso aos dados dos funcionários é limitado apenas aos engenheiros que precisam deles para desenvolvimento, teste e solução de problemas.

  • Nossa política de privacidade comunica claramente quais dados coletamos, como são usados, por quanto tempo são retidos, etc.

Conformidade

Adaptar-se aos requisitos legais, regulatórios e contratuais é vital para o nosso negócio.

  • Nossos produtos RISK-HR e EmoRisk permitem que os clientes atendam às suas obrigações de conformidade no local de trabalho em torno da triagem e monitoramento de funcionários.

  • Acompanhamos continuamente as leis de privacidade e de emprego em todas as nossas jurisdições de operação. Nossos produtos e políticas são projetados para estar em conformidade.

  • Nosso programa de conformidade inclui auditorias, avaliações de risco e revisões de políticas. Temos responsabilidade clara pelas atividades de conformidade.

  • A Logical Commander segue os padrões internacionais da ISO (Organização Internacional de Normalização) e gerencia sua segurança da informação, serviço em nuvem e privacidade de acordo.

Somos auditados por uma terceira parte independente anualmente e mantemos os seguintes certificados:

Segurança
Segurança da Infraestrutura
Controle de Acesso
Segurança da Aplicação
Garantia de Qualidade
Encriptação de Dados
Proteção de Endpoints
Resposta a Incidentes
Recuperação de Desastres e Backup
Auditorias de Segurança e Testes de Penetração
Privacidade
Transparência
Conscientização e Treinamento em Segurança
Cumprimento e certificações
ISO 270012013.png

ISO/IEC 27001:2013

Fornece orientações para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação.

ISO 270182019.png

ISO/IEC 27018:2019

Estabelece objetivos de controle comumente aceitos, controles e diretrizes para implementar medidas de proteção de Informações Pessoalmente Identificáveis (IPI).

ISO 270172015.png

ISO/IEC 27017:2015

Fornece diretrizes para controles de segurança da informação aplicáveis à prestação e uso de serviços em nuvem.

ISO 277012019.png

ISO/IEC 27701:2019

Especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade.

ISO 27K GOLD STARS.png

ISO 27K

Series Gold Stars

Reconhece o alto nível de proficiência nas 4 certificações. Menos de 3% das empresas em todo o mundo alcançam as Estrelas Douradas.

Reportar um Bug
Reportar um erro

Pesquisadores de segurança em todo o mundo podem relatar vulnerabilidades de segurança recém-descobertas à nossa equipe de segurança ( compliance@logicalcommander.com ).

bottom of page