Segurança

Nossa Missão

A missão da SafetyCulture é ajudar as empresas a obter locais de trabalho mais seguros e de alta qualidade no mundo todo através de produtos móveis inovadores. Fazemos isso por meio de nosso principal aplicativo Software as a Service (SaaS) SafetyCulture (iAuditor). Esses produtos são utilizados por aproximadamente 75.000 empresas ao redor do mundo em um grande número de setores e em vários casos de utillização.

Temos orgulho da SafetyCulture ser vista como líder mundial em produtos que promovem a segurança e a qualidade, e sabemos a importância do nosso papel em ajudar nossos clientes a aprimorar suas operações diárias.

Nós vemos a nossa abordagem à segurança cibernética como um pilar fundamental na manutenção de nossa posição como líder neste espaço, e este conteúdo fornece uma visão geral de como abordamos a segurança cibernética como uma empresa.

Visão Geral

A SafetyCulture tem um programa de segurança cibernética ativo, sólido e continuamente aprimorado para garantir que nossa empresa e os produtos que fornecemos estejam seguros. O programa de segurança cibernética da SafetyCulture, utiliza uma série de controles a nível técnico e operacional garantindo uma abordagem de defesa eficaz e detalhada para a proteção contra ataques cibernéticos e de dados manipulados pelo nosso aplicativo SaaS, SafetyCulture (iAuditor).

As principais características incluem:

  • Um programa de segurança alinhado com padrões de melhores práticas da indústria, incluindo o uso de plataformas em nuvem que são compatíveis com benchmarks de segurança confiáveis, incluindo ISO27001 e SOC 2.
  • Foco em acertar o básico, reconhecendo que os princípios fundamentais de segurança continuam sendo os mais críticos. Isso inclui:
    • Empregar mecanismos sólidos para garantir que o acesso aos sistemas da SafetyCulture e aos dados de clientes sejam cuidadosamente controlados.
    • Criptografar dados de clientes que mantemos (em trânsito e em repouso).
    • Garantir a aplicação de patches em nosso ambiente de TI e em nossos produtos para minimizar a oportunidade para vulnerabilidades, explorada por invasores cibernéticos.
    • Monitorar e testar ativamente os produtos e nosso ambiente de TI para vulnerabilidades emergentes e remediá-los como prioridade.
    • Possuir um processo em vigor definido, apoiado por uma equipe dedicada, para fornecer suporte e respostas eficazes no caso de um incidente de segurança.
  • Aplicar a devida diligência para garantir que nossos provedores de serviços atendam aos padrões do setor no que diz respeito à segurança. Sabemos que a segurança de nossos parceiros afeta diretamente nossos clientes e a nós, por isso escolhemos com muito cuidado com quem trabalhamos.

O conteúdo abaixo fornece uma visão geral das várias partes de nosso programa de segurança.

Práticas de Segurança Organizacional

Nossa abordagem à segurança está focada no alinhamento com as melhores práticas recomendadas em normas reconhecidas, como asEstruturas, NIST & ISO27001SOC.

Governança de Segurança

A SafetyCulture tem um conjunto documentado de políticas e procedimentos que define nossa abordagem de segurança como empresa. Essas políticas e procedimentos são compartilhados com toda a equipe e revisados e atualizados pelo menos uma vez por ano (e mais frequentemente quando alterações significativas são necessárias) para garantir que nossa abordagem de segurança permaneça atualizada.

Nosso foco é garantir a responsabilidade pela segurança em toda a empresa. Para esse fim, temos um fórum de gerenciamento de segurança da informação estabelecido com as principais partes interessadas de toda a SafetyCulture que se reúne regularmente para revisar e discutir questões relacionadas à segurança e tomar quaisquer decisões que tenham influência em nossa abordagem à segurança cibernética.

Acesso a Sistemas Internos e Plataformas de Nuvem

Garantimos que o acesso aos sistemas em nosso ambiente de TI, incluindo as plataformas de nuvem que usamos, é restrito a funcionários que necessitem especificamente desse acesso para seu trabalho.

Todo acesso do administrador requer autenticação multifator e os funcionários que acessam nosso ambiente precisam usar uma solução VPN aprovada.

As permissões de acesso aos nossos sistemas são revisadas regularmente, funcionário a funcionário, e modificadas imediatamente. Como parte de nosso processo de desligamento, todo o acesso a sistemas e serviços para funcionários que estão saindo da empresa é revogado.

Segurança de Terceiros

Analisamos cuidadosamente as práticas de segurança de terceiros que contratamos – inicialmente e continuamente para garantir que suas práticas atendam aos padrões da indústria e estejam em conformidade com nossas próprias políticas e procedimentos de privacidade e segurança. Se um terceiro solicitar acesso aos nossos sistemas, garantimos que o acesso seja limitado especificamente ao propósito para o qual foi contratado.

Como a Amazon Web Services (AWS) é um de nossos principais fornecedores, estamos trabalhando com eles no uso do Modelo de Responsabilidade Compartilhada para segurança e conformidade, garantindo que haja uma definição clara de quem assume a responsabilidade pelo que, no que diz respeito à segurança. A AWS é credenciada e está em conformidade com um grande número dos padrões mais recentes da indústria – mais informações podem ser encontradas aqui:https://aws.amazon.com/artifact.

Para o processamento de dados financeiros e cartão de crédito, a SafetyCulture utiliza vários parceiros (Chargify, eWay e Stripe) cujas práticas de segurança estão em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI-DSS).

Segurança de Rede

As redes corporativas da SafetyCulture são protegidas com firewalls, IDS & Tecnologia IPS no perímetro (fornecida por dispositivos de segurança Cisco específicos administrados) para detectar e proteger contra qualquer tráfego malicioso.

Para nossas plataformas baseadas em nuvem, usamos principalmente a Amazon Web Services (AWS), que fornece uma estratégia multicamadas para nos defender de ataques externos. A nível de infraestrutura, a AWS emprega estratégias como controle de acesso a dispositivos de rede, segregação de dados usando firewalls e nuvens privadas virtuais para filtrar o tráfego malicioso e fazer uso de registro e monitoramento extensivos para evitar ataques baseados na rede. A nível do aplicativo, aproveitamos as vantagens do AWS Web Application Firewall e do AWS Shield para evitar ataques na web e de negação de serviço (DoS) contra nossos produtos.

Registro & Monitoramento

A SafetyCulture utiliza um sistema de registro centralizado que inclui eventos de auditoria de acesso ao aplicativo. Esses logs são retidos por 90 dias. Também usamos logs Amazon ELB para rastrear solicitações de acesso ao serviço (bem-sucedidas ou não). Os registros armazenados na AWS não podem ser modificados e o acesso é restrito àqueles que precisam dele para seus requisitos de função.

Reconhecemos a importância de revisar os registros regularmente para identificar a atividade do usuário mal-intencionado e identificar potenciais vulnerabilidades em nossos produtos; temos monitoramento automatizado que nos alerta sobre tipos específicos de eventos potencialmente maliciosos em nossa infraestrutura global.

Treinamento de Conscientização de Segurança

Todos os funcionários da SafetyCulture passam por treinamento regular de conscientização de segurança para funções técnicas e não técnicas. O material de treinamento de segurança também é desenvolvido para a equipe de forma individual, quando necessário, para garantir que eles estejam equipados para atender os requisitos específicos da função orientados à segurança.

Gerenciamento de Patches e Vulnerabilidade

A aplicação de patches em nosso ambiente de TI é uma das medidas mais importantes que tomamos para nos mantermos seguros contra uma possível violação de segurança. Para isso:

  • Usamos o AWS System Manager para implantar patches regularmente em nossa infraestrutura baseada em nuvem.
  • Utilizamos soluções de gerenciamento de dispositivos para garantir que patches importantes sejam instalados da forma mais rápida e eficiente possível.
  • Implementamos patches para as vulnerabilidades mais críticas primeiro, com os patches sendo implantados ao nosso ambiente não produtivo para teste inicial antes de serem rapidamente propagados em todo o ambiente de TI.

Proteção de Dados de Clientes

A SafetyCulture leva a segurança dos dados de nossos clientes muito a sério. Tomamos uma série de medidas para garantir que os dados dos clientes sejam cuidadosamente protegidos.

Restringir Acesso aos Dados

A SafetyCulture toma uma série de medidas para ajudar a proteger os dados dos clientes contra acesso ou uso inadequado por pessoas não autorizadas (externas ou internas). Os dados dos clientes são armazenados somente em nosso ambiente de produção, e o acesso a esses dados por parte da SafetyCulture é limitado apenas aos funcionários que precisam desse acesso para realizar suas tarefas convencionais. O acesso aos dados de clientes é gerenciado usando ferramentas de controle de acesso e autenticação (incluindo o uso de autenticação de dois fatores) fornecidas pela Amazon Web Services e nossos outros parceiros de nuvem.

Dados de clientes são utilizados apenas para fins compatíveis com a prestação dos serviços contratados, como solução de problemas de solicitações de suporte técnico. Para maiores detalhes, consulte a Política de Privacidade da SafetyCulture disponível aqui: https://safetyculture.com/legal/privacy-policy/.

Em um situação excepcional em que os funcionários de suporte da SafetyCulture precisarem acessar todos os dados de um cliente em específico, a SafetyCulture sempre exigirá o consentimento do cliente antes de acessar esses dados.

Nós não armazenamos ou mantemos em cache dados financeiros de clientes utilizados junto com o faturamento por meio da plataforma SafetyCulture, e nossos funcionários não têm acesso direto aos dados de faturamento.

Acesso Físico aos Dados de Clientes

Todos os dados de clientes estão hospedados na infraestrutura fornecida pela Amazon Web Services, que mantém a segurança física de seus sites usando controles de práticas recomendadas da indústria, conforme descrito em seu site de segurança e conformidade disponível aqui: https://aws.amazon.com/architecture/security-identity-compliance/.

Nenhum dado de cliente é armazenado em nossos escritórios físicos.

Criptografia de Dados

A SafetyCulture possui mecanismos para garantir que os dados de nossos clientes sejam protegidos tanto em repouso quanto em trânsito. Em repouso, todos os dados armazenados nos sistemas são criptografados usando AES-256 com chaves administradas pelo Serviço de Gerenciamento de Chaves da Amazon Web Services. Todos os dados são armazenados com segurança e sujeitos às políticas e procedimentos de segurança da AWS.

Para proteger os dados em trânsito, a SafetyCulture usa Transport Layer Security (TLS) e impõe um padrão mínimo de TLS v1.2 usando chaves de criptografia de 128 bits. Oferecemos suporte a conexões com chaves de criptografia de até 256 bits para uso com a codificação Advanced Encryption Standard (AES).

Backups de Dados

O backup de dados da SafetyCulture é feito em intervalos regulares, para soluções diferentes de armazenamento de dados criptografados fornecidas pela Amazon Web Services. Os backups são replicados para várias instalações da AWS na região escolhida pelo cliente.

O acesso ao backups de dados é restrito apenas a funcionários específicos da SafetyCulture, onde esse acesso é necessário como parte dos requisitos de suas funções.

Exclusão e Descarte de Dados

Os dados de nossos clientes são principalmente armazenados e sujeitos aos procedimentos de exclusão e descarte da Amazon Web Services. Esses procedimentos incluem um processo seguro para limpar logicamente a mídia desativada. A mídia excluída é então inspecionada para garantir a destruição bem-sucedida dos dados.

Qualquer hardware de propriedade da SafetyCulture que contenha dados confidenciais – incluindo backups da SafetyCulture – está sujeito à destruição de dados lógicos padrão da indústria antes da reciclagem. Sempre que possível, a SafetyCulture usa criptografia AES-256 GCM em todas as cópias digitais.

Protegendo nossos Produtos

Reconhecemos que, para a maioria dos clientes, a sua principal experiência com a SafetyCulture será através de nosso principal produto, o SafetyCulture (iAuditor). A segurança é uma parte importante do modo como este produto é desenvolvido e opera, conforme discutido abaixo.

Práticas Seguras de Desenvolvimento de Software

Como parte de nosso processo de desenvolvimento de produto, cada mudança de código e infraestrutura é revisada antes da liberação da mudança para produção. Essa revisão inclui a observância de melhores práticas de segurança. Também separamos nossos ambientes de desenvolvimento, teste e produção.

Controle de Mudanças

Todas as alterações nos produtos da SafetyCulture são ativamente testadas durante seu desenvolvimento para garantir que o impacto aos usuários finais seja avaliado antes da implantação, e todas as alterações significativas são incluídas nas notas de lançamento da produção.

A SafetyCulture utiliza registro de alterações e sistemas de controle de versão para monitorar e gerenciar ativamente as alterações na base de código ou a configuração de seus produtos. Também usamos o Amazon CloudTrail para rastrear quaisquer alterações de configuração subjacentes à plataforma em nuvem, na qual nossos produtos funcionam.

Identificação de Vulnerabilidade & Gerenciamento de Patch

Trabalhamos muito para minimizar o número de vulnerabilidades que surgem em nossos produtos e reconhecemos que é importante tomar medidas proativas para garantir que seja possível abordar quaisquer vulnerabilidades o mais rápido possível. Para esse fim, a SafetyCulture testa e monitora ativamente as vulnerabilidades em nossos aplicativos. Executamos um programa privado de bug bounty como reconhecimento do fato que uma comunidade independente de pesquisadores de segurança incentivados a testar nossos produtos de forma contínua para identificar possíveis problemas servirá apenas para fortalecer a segurança de nossos produtos.

Quando uma vulnerabilidade é identificada (interna ou externamente), o problema é rastreado e priorizado de acordo com a potencial gravidade do impacto para nossos clientes. Para problemas de gravidade crítica, isso pode incluir o trabalho ininterrupto de nossos desenvolvedores até que o problema seja corrigido.

Patches para os problemas são desenvolvidos e lançados no ambiente de produção através de um processo de integração contínua (CI/CD) e aplicados o mais rápido possível.

Tratamento de Incidentes de Segurança

Embora façamos o máximo para evitar quaisquer incidentes de segurança, reconhecemos que também precisamos estar preparados para lidar com eles, caso ocorram, para minimizar o impacto potencial em nossos clientes e na SafetyCulture.

Temos uma série de medidas em vigor, incluindo:

  • Um procedimento de gerenciamento de incidentes documentado que define nosso processo para lidar com confidencialidade, integridade e disponibilidade de nosso ambiente de TI e aplicativos.
  • Uma equipe dedicada de funcionários da SafetyCulture localizados na Oceania, EUA e sudeste da Ásia para fornecer suporte durante um incidente.
  • Planos de recuperação de desastres e estratégias de contingência que podem ser executados para nos ajudar a manter a continuidade das operações durante um incidente. Isso inclui o uso de várias zonas de disponibilidade geográfica através da Amazon Web Services e a replicação de dados em vários sistemas em cada zona. Isso garante o acesso contínuo aos dados durante incidentes que afetam a disponibilidade do sistema e fornece redundância de dados no caso de falhas no sistema ou armazenamento de dados.

A SafetyCulture alerta rapidamente os clientes afetados sobre grandes incidentes que atingem a disponibilidade dos serviços ou os dados da SafetyCulture e sobre quaisquer incidentes que afetem a confidencialidade e a integridade dos dados do usuário de acordo com a nossaPolítica de Privacidade da Safety Culture.

Considerações Finais

A SafetyCulture considera a segurança cibernética uma parte essencial dos negócios e produtos que fornecem para empresas mundialmente. Embora os controles e medidas que temos em vigor se estendam significativamente além do que é abordado aqui, este conteúdo serve para fornecer uma compreensão geral da abordagem multifacetada que adotamos e o nosso compromisso com a segurança.

Se você tiver alguma dúvida sobre o conteúdo ou precisar de mais informações sobre nossa abordagem de suporte, segurança ou privacidade, entre em contato conosco utilizando as informações abaixo:

support@safetyculture.com

security@safetyculture.com

privacy@safetyculture.com