Medidas técnicas e organizacionais (TOMs)
Visão geral
Na Inbenta, temos o compromisso de proteger os seus dados e as informações pessoais dos seus usuários. Nossa tecnologia, infraestrutura e processos são continuamente monitorados e aprimorados, sendo a segurança o foco principal. Somos certificados por especialistas terceirizados em Segurança da Informação e da Nuvem e Informações de Privacidade.
Parceria de segurança
A Inbenta tem uma parceria com a Ackcent Cybersecurity, para realizar auditorias programadas de produtos e códigos, auditorias de segurança e testes de penetração, além de cuidar de todo o SOC/SIEM, Detecção e Prevenção de Intrusão.
Segurança de nuvem e rede
SEGURANÇA FÍSICA
Segurança física
A Inbenta é executada com base no AWS em várias regiões. A infraestrutura e os sistemas de suporte são hospedados nas instalações da AWS; como resultado, os controles de segurança física, a segurança no local e o monitoramento dos centros de dados são de responsabilidade da AWS. A segurança dos aplicativos e a privacidade fora do escopo da AWS e o modelo de responsabilidade compartilhada são tratados pela Inbenta e cobertos pela conformidade com o GDPR, ISO9001, ISO27001 e ISO27017.https://aws.amazon.com/compliance/data-center/controls/
https://aws.amazon.com/security/
- Controles ISO 27002 e ISO 27017: A.11.1
SEGURANÇA DE REDE
Equipe de segurança dedicada e SIEM
Nossos monitores e alarmes de segurança (sistemas ativos/passivos), bem como nosso parceiro externo de segurança SIEM, estão totalmente integrados às nossas operações, oferecendo segurança 24 horas por dia, 7 dias por semana, e equipes de segurança prontas para responder a alertas e eventos.
- Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.2, A.16.1.1, CLD.12.4.5
Proteção
Nossa rede é protegida e isolada por firewalls, NACL (lista de controle de acesso à rede), transporte seguro de HTTPS em redes públicas, monitoramento de DMZ, auditorias regulares e tecnologias de detecção e/ou prevenção de intrusão de rede (IDS/IPS) que monitoram e/ou bloqueiam tráfego malicioso e ataques à rede, proteção ativa contra DDoS e monitoramento de falsificação de DNS.
- Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.2, A.13.1.3
Proteção
Nossa rede é protegida e isolada por firewalls, NACL (lista de controle de acesso à rede), transporte seguro de HTTPS em redes públicas, monitoramento de DMZ, auditorias regulares e tecnologias de detecção e/ou prevenção de intrusão de rede (IDS/IPS) que monitoram e/ou bloqueiam tráfego malicioso e ataques à rede, proteção ativa contra DDoS e monitoramento de falsificação de DNS.
- Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.2, A.13.1.3
Arquitetura
Nossa arquitetura de segurança de rede consiste em várias zonas. Os sistemas mais sensíveis, como bancos de dados, cache e servidores NFS, são protegidos em nossas zonas mais privadas, totalmente isoladas. Outros sistemas são alojados em zonas intermediárias privadas, como processadores de webhook em sub-redes privadas atrás de um NAT somente de saída. Dependendo da zona, serão aplicados controles adicionais de acesso e monitoramento de segurança. As DMZs são utilizadas entre a Internet ou sub-redes públicas (somente balanceadores de carga) e internamente entre as diferentes zonas de confiança.
- Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3
Firewalls
Os sistemas de firewall estão em vigor para filtrar o tráfego de rede de entrada não autorizado da Internet e negar qualquer tipo de conexão de rede que não seja explicitamente autorizada. A funcionalidade de tradução de endereços de rede (NAT) é utilizada para gerenciar os endereços IP internos. O acesso administrativo ao firewall é restrito a funcionários autorizados.
- Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3
Varredura de vulnerabilidade de rede
A varredura ativa de segurança de rede é executada ativamente em todas as sub-redes de todas as regiões para a rápida identificação de sistemas fora de conformidade ou potencialmente vulneráveis. As varreduras passivas programadas também são executadas em todas as sub-redes internas ou privadas, bem como em todas as portas expostas (http/https) da DMZ ou da sub-rede pública.
- Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1
Testes de penetração de terceiros
Além de nosso amplo programa interno de varredura e testes, todos os anos a Inbenta emprega parceiros terceirizados (Ackcent Cybersecurity) para realizar um amplo teste de penetração nas redes de produção públicas e privadas da Inbenta, bem como realizar auditorias de produtos em todos os produtos em uma base trimestral.
- Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1, A.14.2.8
Gerenciamento de eventos de incidentes de segurança (SIEM)
Nosso sistema de gerenciamento de eventos de incidentes de segurança (SIEM) reúne registros abrangentes de dispositivos de rede e sistemas host importantes. O SIEM envia alertas sobre acionadores que notificam a equipe de segurança com base nos eventos correlacionados para investigação e resposta adicionais.
Detecção e prevenção de intrusões
Os pontos de entrada e saída do fluxo de dados do aplicativo são monitorados com sistemas de detecção de intrusão (IDS) ou sistemas de prevenção de intrusão (IPS). Isso é integrado ao SIEM e às operações 24 horas por dia, 7 dias por semana.
- Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.1
Mitigação de DDoS
A Inbenta usa o monitoramento de fluxo de rede em tempo real para inspecionar o tráfego de entrada em todos os pontos de entrada HTTP, como terminações https de CDN, ouvintes de balanceadores de carga https e todas as terminações seguras de WebSockets (wss://), a fim de realizar a atenuação automatizada da maioria das técnicas de DDoS na camada 7 (WAF) e proteger contra todos os ataques de infraestrutura conhecidos (camadas 3 e 4).
- Controles ISO 27002 e ISO 27017: A.13.1.1
Acesso lógico
A Inbenta usa uma arquitetura de segurança baseada em funções e exige que os usuários do sistema sejam identificados e autenticados antes do uso de qualquer recurso do sistema. Os recursos de produção e todas as ações administrativas são registrados e armazenados por pelo menos 2 anos com uma soma de verificação imutável para evitar que os registros de auditoria sejam modificados.
Todos os recursos de produção são gerenciados no sistema de inventário de ativos e a cada ativo é atribuído um proprietário. Os proprietários são responsáveis pela aprovação do acesso ao recurso e pela realização de revisões periódicas do acesso por função. O acesso a qualquer rede ou subsistema de administração da Inbenta Production é restrito por uma base explícita de necessidade de conhecimento, conforme controlado pelos controles ISO27001 e 27017. Tudo é controlado e monitorado pela nossa equipe de operações com funções granulares e específicas por funcionário. Os funcionários que acessam a administração da Rede de Produção da Inbenta devem usar vários fatores de autenticação, sendo que ambos os fatores têm credenciais que expiram com TTLs baixos, forçando-os a serem alternados continuamente.
- Controles ISO 27002 e ISO 27017: A.9.1, A.9.2, A.9.4
SEGURANÇA DAS OPERAÇÕES
Gerenciamento de mudanças
Todas as mudanças em nossos sistemas operacionais são gerenciadas por meio de nosso procedimento de gerenciamento de mudanças, que garante que todas as mudanças sejam controladas, que o impacto e os riscos sejam avaliados e que haja um processo de aprovação formal antes de entrarem em operação.
- Controles ISO 27002 e ISO 27017: A.12.1.2
Caso o Cliente precise relatar um incidente de segurança à Inbenta, o canal apropriado é o Centro de Suporte da Inbenta (https://support.inbenta.io) ou diretamente para privacy@inbenta.com .
Caso a Inbenta tome conhecimento de um incidente ou de uma mudança importante na plataforma da Inbenta, que afete a segurança das informações do Cliente, a Inbenta informará ao Cliente sobre esse incidente ou mudança importante e seu impacto sobre as informações afetadas.
A Inbenta compartilhará todas as informações necessárias para que o Cliente alerte seus usuários e aplique mitigações, se possível.
A Inbenta notificará o cliente através de e-mail para a equipe do Cliente designada para a Inbenta, ou para os contatos especificados neste contrato (seção Avisos) na sua ausência, em no máximo 48h após a Inbenta ter conhecimento do incidente ou mudança importante.
A Inbenta também publicará um relatório de incidente ou mudança importante no Centro de Suporte (https://support.inbenta.io) e manterá esse relatório atualizado com o status mais recente até o encerramento.
Gerenciamento de capacidade
Nosso procedimento de Gerenciamento de Capacidade tem como objetivo garantir que as necessidades atuais e futuras de capacidade de TI sejam atendidas, monitorar e controlar o desempenho da infraestrutura de TI, desenvolver planos de capacidade de acordo com os níveis de serviço acordados e gerenciar e otimizar a demanda por serviços de TI.
A capacidade do sistema é monitorada continuamente e, no caso de um alerta do sistema, os eventos são encaminhados às nossas equipes 24 horas por dia, 7 dias por semana, que oferecem cobertura de operações, engenharia de rede e segurança.
- Controles ISO 27002 e ISO 27017: A.12.1.3
Controle contra malware
O controle e a prevenção de malware são realizados regularmente pela equipe do ISMS e incluídos no treinamento de segurança e no Código de Conduta Profissional.
O serviço SOC fornecido por nosso parceiro Ackcent compreende serviços proativos para a prevenção de incidentes de segurança, incluindo monitoramento contínuo de ameaças à segurança cibernética, monitoramento contínuo e alertas de vulnerabilidade para ativos digitais essenciais, monitoramento em tempo real, detecção e análise de incidentes e resposta remota a incidentes com base na coordenação de recursos e na aplicação rápida de contramedidas de segurança.
- Controles ISO 27002 e ISO 27017: A.12.2.1
Resposta a incidentes de segurança
No caso de um alerta de sistema, os eventos são encaminhados para nossas equipes 24 horas por dia, 7 dias por semana, que oferecem cobertura de operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, conforme controlado pelas normas ISO9001 e 27001.
- Controles ISO 27002 e ISO 27017: A.16.1
Registro e monitoramento
Nosso sistema de gerenciamento de eventos de incidentes de segurança (SIEM) reúne registros abrangentes de dispositivos de rede e sistemas host importantes. O SIEM envia alertas sobre acionadores que notificam a equipe de segurança com base nos eventos correlacionados para investigação e resposta adicionais.
- Controles ISO 27002 e ISO 27017: A.12.4.1
Endurecimento
A Inbenta usa o hardening como parte do ciclo de desenvolvimento/implantação. Todos os ambientes/imagens/contêineres de produção são criados e implementados usando hardening a partir de imagens estáveis, atualizadas e homologadas. Novas VMs/contêineres/imagens são sempre criadas a partir de imagens de modelo de base anteriores (contêineres, AMIs) dentro de um ciclo de vida monitorado (hardening).
Qualquer alteração de produção nas imagens é testada previamente em ambientes de desenvolvimento e pré-produção.
Todas as imagens/contêineres de base são recompilados e atualizados de forma programada.
- Controles ISO 27002 e ISO 27017: CLD.9.5.2
ENCRYPTION
Criptografia em trânsito
As comunicações entre você e os servidores da Inbenta são criptografadas por meio das práticas recomendadas do setor, HTTPS, usando o protocolo Transport Layer Security (TLS 1.2 e TLS 1.3 para algumas terminações) em redes públicas com os mais recentes conjuntos de cifras não fracas. Além disso, não são permitidos protocolos SSL. O TLS também é compatível com a criptografia de e-mails. Uma especificação mais detalhada pode ser encontrada na seção "Transmission Security and Integrity" ( Segurança e integridadedatransmissão) deste documento.
- Controles ISO 27002 e ISO 27017: A.13.2.3, A.14.1.2
Criptografia em repouso
Todos os dados, discos, sistemas de arquivos e repositórios de dados gerenciados pela Inbenta são criptografados usando sistemas de gerenciamento de chaves gerenciados pelo provedor (AWS KMS - AWS CMK) usando chaves gerenciadas e mantidas pela Inbenta e seu programa de rotação. Todos os dados são criptografados usando o algoritmo AES-256 padrão do setor e as cifras de bloco mais fortes. Dentro do serviço AWS-KMS, a Inbenta utiliza 2 tipos de chaves gerenciadas:
Encryption with Customer-Provided Keys e Encryption with AWS KMS-Managed Keys.
- Controles ISO 27002 e ISO 27017: A.8.2.3, A.18.1.4
DISPONIBILIDADE E CONTINUIDADE
Tempo de atividade
A Inbenta mantém o Status Portal, disponível para usuários logados, que inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de serviço e eventos de segurança relevantes.
- Controles ISO 27002 e ISO 27017: CLD.12.4.5
Redundância
A redundância é incorporada à infraestrutura do sistema que dá suporte aos serviços de produção para ajudar a garantir que não haja um único ponto de falha, incluindo firewalls, roteadores e servidores. No caso de falha de um sistema primário, o hardware redundante é configurado para assumir seu lugar.
A Inbenta emprega clustering de serviços e redundâncias de rede para eliminar pontos únicos de falha.
- Controles ISO 27002 e ISO 27017: A.17.2
Backups
O backup dos dados do cliente é feito e monitorado pela equipe de operações quanto à conclusão e às exceções. No caso de uma exceção, a equipe de operações realiza a solução de problemas para identificar a causa raiz e, em seguida, executa novamente o trabalho de backup imediatamente, se possível, ou como parte do próximo trabalho de backup programado. A infraestrutura de backup é gerenciada pelo provedor de nuvem e não envolve mídia física manuseada pelo pessoal da Inbenta. A infraestrutura de backup reside em datastores de longa duração atrás de redes privadas logicamente protegidas de outras redes e é criptografada com AES256 em repouso usando o sistema de gerenciamento de chaves pelo provedor de nuvem (AWS KMS) usando chaves privadas gerenciadas pela Inbenta, rotacionadas de acordo com a programação.
Uma verificação de integridade de backup aleatória programada ocorre semanalmente.
Os backups ocorrem, no mínimo, a cada 24 horas para todos os dados de produção. Dependendo do tipo de classificação dos dados do armazenamento de backup, uma periodicidade diferente é especificada em três níveis: 1) Recuperação pontual para dados críticos, 2) A cada 12 horas para dados de configuração e 3) A cada 24 horas para dados de registro e de menor alteração.
- Controles ISO 27002 e ISO 27017: A.12.3
Plano de recuperação de desastres e continuidade de negócios
Nosso Plano de Recuperação de Desastres (DRP) e nosso Plano de Continuidade de Negócios (BCP) garantem que nossos serviços permaneçam disponíveis ou sejam facilmente recuperáveis no caso de um desastre. Isso é feito por meio da criação de um ambiente técnico robusto e da configuração de um RTO e RPO de baixo valor, determinados por uma análise de impacto nos negócios (BIA). Vários cenários de interrupção são considerados, abrangendo situações como indisponibilidade de pessoal e de provedores. As simulações e os testes de recuperação de desastres são executados e auditados anualmente, conforme exigido pelas normas ISO 27001 e ISO 27017.
- Controles ISO 27002 e ISO 27017: A.17.1
SINCRONIZAÇÃO DE TEMPO E NTP
Network Time Protocol, sincronização e consistência do relógio
A Inbenta usa o protocolo e os serviços NTP para manter todos os relógios sincronizados e consistentes em todos os serviços, módulos e sistemas operacionais. Usamos servidores NTP públicos ntp.org (por região) https://support.ntp.org/bin/view/Servers/NTPPoolServers para componentes com acesso à Internet e o Amazon Time Sync Service (da AWS) para todas as redes privadas ou todos os módulos sem acesso à Internet. O Amazon Time Sync Service, um serviço de sincronização de horário fornecido pelo Network Time Protocol (NTP) que usa uma frota de relógios atômicos e conectados a satélites redundantes em cada região para fornecer um relógio de referência altamente preciso. Nosso Plano de Recuperação de Desastres (DRP) e o Plano de Continuidade de Negócios (BCP) garantem que nossos serviços permaneçam disponíveis ou sejam facilmente recuperáveis em caso de desastre. Isso é feito por meio da criação de um ambiente técnico robusto e da configuração de um RTO e RPO de baixo valor, determinados por uma análise de impacto nos negócios (BIA). Vários cenários de interrupção são considerados, abrangendo situações como indisponibilidade de pessoal e de provedores. As simulações e os testes de recuperação de desastres são executados e auditados anualmente, conforme exigido pelas normas ISO 27001 e ISO 27017.
Segurança de aplicativos
DESENVOLVIMENTO SEGURO (SDLC)
Treinamento em segurança
Pelo menos duas vezes por ano, os engenheiros e desenvolvedores participam de treinamento em código seguro e segurança por design, desenvolvendo práticas recomendadas, vetores de ataque comuns e controles de segurança da Inbenta. Esse treinamento é fornecido por programas de treinamento internos e externos e conjuntos de treinamento.
- Controles ISO 27002 e ISO 27017: A.7.2.2
Controles de segurança OWASP
A Inbenta usa todas as principais regras de segurança conhecidas da OWASP. Elas incluem controles inerentes que reduzem nossa exposição a XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery) e SQL Injection (SQLi), entre outros. Tanto na análise de código estático quanto na análise dinâmica, bem como regras de WAF (firewall de aplicativo da Web) ativas em tempo real na frente de qualquer ouvinte HTTP.
- Controles ISO 27002 e ISO 27017: A.14.2.4
QA
Nosso departamento de controle de qualidade analisa e testa nossa base de código. Vários testes manuais e automatizados são realizados e integrados aos pipelines de CI/CD para implementar somente códigos testados e seguros. Nossa equipe de controle de qualidade participa ativamente da segurança do aplicativo final, bem como do processo de desenvolvimento no pipeline/fluxo de lançamento.
- Controles ISO 27002 e ISO 27017: A.14.2.1, A.14.2.8
Ambientes separados
Os ambientes de teste, desenvolvimento e preparação para o desenvolvimento de produtos são separados física e logicamente do ambiente de produção por meio de isolamento de rede, firewalls e NACL. Nenhum dado de produção real é usado no ambiente de desenvolvimento ou teste; dados simulados e aleatórios podem ser gerados para simular grandes volumes de dados.
- Controles ISO 27002 e ISO 27017: A.12.1.4, A.14.2.6, A.14.3.1
VULNERABILIDADES DE APLICATIVOS
Varredura de vulnerabilidade dinâmica interna
Empregamos várias ferramentas de segurança qualificadas de terceiros para examinar continuamente e de forma dinâmica nossos aplicativos em relação às regras da OWASP. Além disso, todos os manipuladores de HTTP têm um WAF ativo que bloqueia todas as regras conhecidas da OWASP e as principais regras conhecidas em tempo real.
- Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.5
Varredura de vulnerabilidade dinâmica externa
A Inbenta usa um parceiro de segurança externo para a equipe externa do SOC-SIEM.
O parceiro terceirizado usa tecnologias de varredura padrão do setor e uma metodologia formal especificada pela Inbenta (todas as regras da OWASP e muitas outras).
Essas tecnologias são personalizadas para testar a infraestrutura e o software da organização de maneira eficiente, minimizando os riscos potenciais associados à varredura ativa. Os retestes e as varreduras sob demanda são realizados de acordo com a necessidade. As varreduras são realizadas fora dos períodos de pico. As ferramentas que exigem instalação no sistema da Inbenta são implementadas por meio do processo de gerenciamento de mudanças.
- Controles ISO 27002 e ISO 27017: A.12.5.1, A.12.6.1, A.12.7.1
Análise de código estático
Os repositórios de código-fonte dos aplicativos da Inbenta, tanto para o nosso WebGUI quanto para as APIs de produtos, são continuamente verificados nos estágios de teste e revisão nos pipelines e no fluxo de CI/CD (integração contínua), e são integrados a todos os fluxos de QA e de liberação, bloqueando qualquer liberação ou implementação de código não compatível ou abaixo do padrão. Além disso, as varreduras programadas são acionadas por nossas ferramentas integradas de análise estática.
- Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8
Teste de penetração de segurança
Além de nosso extenso programa interno de varredura e testes, a cada trimestre a Inbenta emprega parceiros especialistas em segurança terceirizados (SOC-SIEM externo e testes de penetração e auditorias programadas) para realizar testes de penetração detalhados e análise de código dinâmico em diferentes aplicativos de nossa família de produtos.
- Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8
Recursos de segurança do produto
SEGURANÇA DE AUTENTICAÇÃO
Opções de autenticação
Para todos os aplicativos WebGUI, oferecemos login de conta da Inbenta com 2FA ou SSO personalizado (IdP).
Para APIs de produtos e/ou integrações de clientes (JS SDK), oferecemos um fluxo de autenticação com chaves de API, segredos/tokens (e chaves de domínio para JS SDK) com base em JWT (JSON Web Token) para autenticar e autorizar todas as chamadas e ações de API com o backend.
- Controles ISO 27002 e ISO 27017: A.9.2.3, A.9.4.1, A.9.4.2, CLD.9.5.1
Logon único (SSO)
O logon único (SSO) permite autenticar os usuários em seus próprios sistemas sem exigir que eles insiram credenciais de login adicionais para o WebGUI e as instâncias do usuário da Inbenta.
O Security Assertion Markup Language (SAML) é suportado.
Você pode integrar seu SSO com a Inbenta, pois ela funciona como um SP (provedor de serviços) para SAMLv2.
- Controles ISO 27002 e ISO 27017: A.9.4.2
Política de senha
As senhas só podem ser redefinidas pelo usuário final com um endereço de e-mail ativo (o nome de usuário é o mesmo endereço de e-mail). Um URL temporário de redefinição de senha pode ser gerado pelo usuário final na página de login. As políticas de senha estão aplicando os requisitos mínimos mais recentes e as medidas adicionais de detecção anti-bot estão ativadas em todas as telas de gerenciamento de usuário/senha. Os administradores também podem configurar uma política de rotação de senhas por usuário.
- Controles ISO 27002 e ISO 27017: A.9.4.3
Autenticação de dois fatores (2FA)
Se você estiver usando o login da Inbenta na sua instância de suporte da Inbenta, poderá ativar a autenticação de dois fatores (2FA) para agentes e administradores, incluindo aplicativos como Authy e Google Authenticator para gerar senhas OOTP.
2FA fornece outra camada de segurança para a sua conta da Inbenta, tornando mais difícil para outra pessoa fazer login como você. Se você estiver usando seu próprio IdP (provedor de identidade) de SSO para forçar seus usuários a usar 2FA, poderá integrar seu SSO com a Inbenta, pois ele funciona como um SP (provedor de serviços) para SAMLv2.
- Controles ISO 27002 e ISO 27017: A.9.2.3, A.9.4.2
Armazenamento seguro de credenciais
A Inbenta segue as práticas recomendadas de armazenamento seguro de credenciais, nunca armazenando senhas em formato legível por humanos e somente após um hash seguro, salgado e unidirecional sobre o sistema de arquivos de bancos de dados ou plataformas sem SQL com criptografia em repouso e todas as operações em trânsito para o back-end.
- Controles ISO 27002 e ISO 27017: A.8.2.3, A.9.2.4, A.9.4.2, A.14.1.2
Segurança e autenticação de API
As APIs de produto da Inbenta são somente SSL, HTTPS full REST-API com os mais recentes conjuntos de cifras nos ouvintes HTTP usando TLS. Você deve ter uma chave de API e segredo/token verificados e, para fazer qualquer solicitação de API de produto, você precisa fazer uma chamada obrigatória para o fluxo de solicitação de autenticação na API de autorização. Uma camada adicional para todas as integrações do lado do cliente (javascript SDK) também está disponível para verificar todo o domínio de origem das integrações SDK.
A autenticação SAML SP (provedor de serviços) também é suportada para o front-end SSO de todos os acessos de login WebGUI diferentes das APIs (aplicativo). Learn mais sobre a segurança da API e terminações de endpoint em https://developers.inbenta.io/
- Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.4.2, CLD.9.5.1, A.10.1.1
RECURSOS ADICIONAIS DE SEGURANÇA DO PRODUTO
Privilégios e funções de acesso
O acesso a dados e produtos no Inbenta Workspace e CM/Chat é regido por direitos de acesso e pode ser configurado para definir privilégios de acesso granular. A Inbenta tem vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc.) e uma granularidade de funções por grupo. O acesso aos dados da API/SDK é regido por chaves de API, tokens e segredos, bem como por muitos cabeçalhos de identificação em ambas as camadas para autenticação e autorização.
- Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.2.3, A.9.4.1
Alta disponibilidade e acesso ao produto
Alguns endpoints e URLs de autorização são acessados por meio de uma CDN (rede de distribuição de conteúdo) para garantir uma baixa latência e alta disponibilidade para impulsionar a distribuição de conteúdo com base nas localizações geográficas do usuário final. Além disso, um roteamento de DNS regional ou baseado em latência para as integrações do SDK pode ser configurado conforme descrito em: https://developers.inbenta.io/general/authorization/regions-and-endpoints
- Controles ISO 27002 e ISO 27017: A.14.1.2, A.14.1.3, A.17.2.1
Anexos privados
No Inbenta Messenger, por padrão, todas as instâncias são protegidas e em sandbox, todos os ativos e anexos são privados e é necessário um login e uma permissão/função bem-sucedidos para visualizar os anexos ou as mensagens do tíquete. Além disso, todos os ativos e anexos são armazenados em um armazenamento de dados criptografados e são fornecidos aos agentes com um URL assinado temporário que se torna indisponível após alguns minutos.
- Controles ISO 27002 e ISO 27017: CLD.9.5.1, A.10.1.1, A.13.1.3
Segurança e integridade das transmissões
Todas as comunicações com os servidores da Inbenta (ida e volta) são criptografadas usando HTTPS padrão do setor em redes públicas. Isso garante que todo o tráfego entre você e a Inbenta seja seguro durante o trânsito. Uma lista de protocolos SSL/TLS e conjuntos de cifras pode ser encontrada em: Regiões e pontos de extremidade - Desenvolvedores da Inbenta para todas as terminações e pontos de extremidade da API. Além disso, para recursos em tempo real, como o Chat, a Inbenta usa o protocolo WebSockets seguro como uma alternativa HTTP complementar segura e orientada para streaming.
Todos os SDKs são hospedados em um armazenamento de dados AES256 seguro e criptografado e servidos por meio de um CDN com WAF (verificação de cookies/cabeçalhos e auditoria) e todas as integrações do SDK da Inbenta usam uma integridade de sub-recurso (sha384 SRI).
- Controles ISO 27002 e ISO 27017: A.13.1.2, A.14.1.2, A.14.1.3
Assinatura de e-mail de saída do Messenger (DKIM)
O suporte do Inbenta Messenger oferece DKIM (Domain Keys Identified Mail) para assinar e-mails de saída do Inbenta Messenger quando você tiver configurado um domínio de e-mail de resposta de saída na sua instância do Inbenta Messenger e SMTP sobre SSL/TLS (porta 465) e STARTTLS (porta 587) para os protocolos de envio seguro.
- Controles ISO 27002 e ISO 27017: A.13.2.3
Integridade do sub-recurso do SDK
Uma verificação de integridade de sub-recurso (SRI) é um recurso de segurança que permite que os navegadores verifiquem se os recursos que eles buscam são entregues sem manipulação inesperada. Todos os SDKs da Inbenta têm esse recurso disponível.
- Controles ISO 27002 e ISO 27017: A.14.1.2, A.14.1.3
Certificações e associações de conformidade
CONFORMIDADE DE SEGURANÇA
Auditores
A AENOR, fornecedora do auditor, faz parte da rede IQNet ASSOCIATION para ver a cobertura global de todas as suas certificações (ISOs mundiais):
https://www.inbenta.com/compliance/certifications/
http://www.iqnet-certification.com/
- Controles ISO 27002 e ISO 27017: A.18.2.1
ISO 9001
A Inbenta tem certificação ISO 9001.
ISO 27001
A Inbenta tem certificação ISO 27001.
ISO 27017
A Inbenta tem certificação ISO 27017.
ISO 27001
A Inbenta tem certificação ISO 27701.
MEMBERSHIPS
Programa de Certificação de Privacidade
Recebemos um selo de certificação que indica que nossa declaração de privacidade e nossas práticas foram analisadas quanto à conformidade com os padrões do setor, que pode ser visualizada na página de validação.
https://privacy.truste.com/privacy-seal/validation?rid=9b207c96-c411-409e-93d3-abf615471625
- Controles ISO 27002 e ISO 27017: A.6.1.4, A.18.1.4, A.18.2.1
Estrutura de privacidade de dados
A Inbenta certificou a conformidade com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a DPF UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, conforme estabelecido pelo Departamento de Comércio dos EUA.
- Controles ISO 27002 e ISO 27017: A.18.1.4, A.18.2.1
Política de privacidade
https://www.inbenta.com/compliance/privacy-policy
- Controles ISO 27002 e ISO 27017: A.18.1.4
CONFORMIDADE COM BASE NO SETOR
Uso da Inbenta em um ambiente PCI
A Inbenta não está em conformidade com o PCI DSS. Adicionar um componente de um fornecedor que não esteja em conformidade com o PCI DSS na página de checkout do cartão de crédito faria com que todo o processo de pagamento não estivesse em conformidade com o PCI DSS. A alternativa é hospedar esse script no data center dos clientes e protegê-lo usando o Subresource Integrity.
- Controles ISO 27002 e ISO 27017: A.18.2.2
Relações com fornecedores
POLÍTICAS
Política de segurança da informação para relacionamentos com fornecedores
Em relação aos nossos fornecedores de serviços e infraestrutura, mantemos uma política de avaliação dinâmica de riscos, classificando nosso risco de comportamento não compatível de acordo com a verificação da conformidade de nossos fornecedores com os padrões internacionais de segurança e privacidade, verificando as certificações de seus padrões. Caso não forneçam uma certificação válida, solicitamos a eles uma descrição detalhada dos registros e controles obrigatórios do ISMS, avaliando o risco como maior do que o dos fornecedores certificados. Nossa política é manter o menor número possível de fornecedores não certificados.
- Controles ISO 27002 e ISO 27017: A.15.1.1
Os seguintes requisitos devem ser atendidos pelos contratados no manuseio, gerenciamento, armazenamento e processamento de informações pertencentes à Inbenta Holdings Inc:
- O acesso aos ativos e sistemas de informação será o mínimo necessário para atingir os objetivos comerciais.
- Quando a necessidade de acessar as informações, os ativos e os sistemas da Inbenta Holdings Inc. terminar, todas as informações da Inbenta Holdings Inc. deverão ser devolvidas à Inbenta Holdings Inc. quando da rescisão de um contrato.
- A Inbenta Holdings Inc. poderá monitorar o uso de suas informações, ativos de informação e sistemas de informação para fins comerciais legais.
- Qualquer pessoa que tenha acesso às informações, aos ativos de informação e aos sistemas da Inbenta Holdings Inc. deve cumprir os requisitos do ISMS da Inbenta Holdings Inc. O não cumprimento dessas políticas e de outras instruções relevantes pode constituir uma violação de contrato e levar à rescisão ou a ações legais.
- O pessoal do fornecedor somente entrará nas instalações da Inbenta Holdings Inc. com um passe de segurança apropriado emitido pela Inbenta Holdings Inc. e acompanhado por nossa equipe. Se necessário, eles deverão assinar um Acordo de Não Divulgação.
- A transmissão de informações entre a Inbenta Holdings Inc. e um fornecedor deve ser criptografada em um nível compatível com a classificação de segurança das informações e com os padrões internacionais.
Os dados e as informações da Inbenta Holdings Inc. não podem ser usados para fins de teste, a menos que sejam autorizados pelo nosso COO, CTO e CISO. No caso de autorização, os dados e as informações a serem usados para fins de teste devem ser anônimos, embaralhados ou processados de outra forma, de modo que nenhum dado ou informação da Inbenta Holdings Inc. possa ser reconstruído a partir daquele usado para fins de teste. - As informações da Inbenta Holdings Inc. não podem ser copiadas por nenhum fornecedor, a não ser na medida necessária para a prestação de um serviço acordado com a Inbenta Holdings Inc.
- Os fornecedores devem ter um processo de relatório de incidentes de segurança em vigor, com padrão e design aceitáveis para a Inbenta Holdings Inc., para garantir que quaisquer incidentes envolvendo informações da Inbenta Holdings Inc. sejam imediatamente relatados à Inbenta Holdings Inc. Os fornecedores devem concordar em tomar qualquer medida corretiva exigida pela Inbenta Holdings Inc. e garantir que isso seja implementado de forma auditável.
- Um fornecedor que detenha os dados da Inbenta Holdings Inc. em nome da Inbenta Holdings Inc. deve ter processos que garantam que as informações críticas da Inbenta Holdings Inc. detidas por ele possam ser recuperadas de forma rápida e eficiente após uma emergência.
- No caso de um fornecedor subcontratar um terceiro (seja na forma de serviços ou colaboração com pessoas), esse fornecedor é obrigado a fazer o seguinte:
- Aceitação deste fato pela Inbenta Holdings Inc.
- Informar e garantir que o terceiro subcontratado cumpra os aspectos relacionados à política de segurança da Inbenta Holdings Inc.
- Certifique-se de que o terceiro não subcontrata os serviços de outro.
Abordagem da segurança com contratos com fornecedores
Os procedimentos para avaliar o nível de segurança de nossos fornecedores baseiam-se em uma avaliação dinâmica de riscos, classificando nosso risco de comportamento não conforme de acordo com nossa verificação da conformidade de nossos fornecedores com os padrões internacionais de segurança e privacidade, verificando as certificações de seus padrões. Caso não forneçam uma certificação válida, solicitamos a eles uma descrição detalhada dos registros e controles obrigatórios do ISMS, avaliando o risco como maior do que o dos fornecedores certificados.
- Controles ISO 27002 e ISO 27017: A.15.1.2
Contratos de confidencialidade e de não divulgação
Todos os nossos fornecedores devem assinar compromissos de confidencialidade e acordos de não divulgação (NDA) para proteger o sigilo das informações da Inbenta e de nossos clientes.
- Controles ISO 27002 e ISO 27017: A.13.2.4
GERENCIAMENTO DA PRESTAÇÃO DE SERVIÇOS AO FORNECEDOR
Monitoramento e análise de serviços de fornecedores
A Inbenta implementou um processo de avaliação de fornecedores que envolve a revisão periódica da conformidade com as garantias de nível de serviço (SLAs) acordadas e a conformidade com os requisitos dos serviços estabelecidos.
- Controles ISO 27002 e ISO 27017: CLD.12.4.5
Cadeia de suprimentos de tecnologia da informação e comunicação
A política da Inbenta é garantir a continuidade de nossos serviços por meio da diversificação e redundância de fornecedores. Além disso, exigimos garantias de nossos fornecedores com relação à disponibilidade de seus serviços, bem como políticas de redundância. Os provedores de serviços em nuvem devem garantir que os níveis de segurança das informações sejam mantidos ou excedidos em relação àqueles que acordamos com nossos clientes.
- Controles ISO 27002 e ISO 27017: A.15.1.3
Processamento de PII
A Inbenta tem acordos de processamento de dados pessoais (DPA) com todos os fornecedores que prestam serviços que envolvem o processamento de dados pessoais pelos quais a Inbenta ou nossos clientes são responsáveis.
- Controles ISO 27002 e ISO 27017: A.18.1.4
Encerramento do serviço
A Inbenta exige que seus provedores, e especialmente aqueles que fornecem serviços em nuvem, apaguem todas as informações que tratam uma vez que o término do serviço seja acordado. Esta política se aplica a todas as informações que são processadas em virtude do serviço prestado, sejam elas de propriedade da Inbenta ou de nossos clientes.
Os principais provedores da Inbenta estão em conformidade com a ISO-27017, portanto, são certificados na remoção de ativos de clientes de serviços em nuvem
- Controles ISO 27002 e ISO 27017: A.11.2.7, CLD.8.1.5
Segregação de ambientes
A Inbenta exige que seus fornecedores, e especialmente aqueles que fornecem serviços em nuvem, garantam a segregação dos ambientes virtuais de processamento de informações. Os provedores de serviços em nuvem devem impor a segregação lógica adequada dos dados do cliente de serviços em nuvem, aplicativos virtualizados, sistemas operacionais, armazenamento e rede para a separação dos recursos usados pelos clientes de serviços em nuvem em ambientes multilocatários.
Quando o serviço em nuvem envolver multilocação, o provedor de serviços em nuvem deverá implementar controles de segurança da informação para garantir o isolamento adequado dos recursos usados por diferentes locatários
- Controles ISO 27002 e ISO 27017: CLD.9.5.1
Metodologias de segurança adicionais
CONSCIENTIZAÇÃO SOBRE SEGURANÇA
Políticas
A Inbenta desenvolveu um conjunto abrangente de políticas de segurança que cobrem a segurança e a privacidade das informações. Essas políticas são compartilhadas e disponibilizadas a todos os funcionários, clientes e contratados com acesso aos ativos de informação da Inbenta. Você pode solicitar uma cópia da nossa Política de Gerenciamento Integrado escrevendo um e-mail para compliance@inbenta.com.
- Controles ISO 27002 e ISO 27017: A.5.1.1
Treinamento
Todos os funcionários DEVEM passar por um treinamento de segurança, que é ministrado no momento da contratação e, posteriormente, anualmente. Todos os engenheiros recebem treinamento anual sobre codificação segura, práticas recomendadas de segurança e padrões de segurança por design. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por e-mail, publicações em blogs e wiki interno, compartilhando e atualizando as práticas recomendadas, além de fazer apresentações periódicas como eventos internos.
- Controles ISO 27002 e ISO 27017: A.7.2.2
POLÍTICAS DE FUNCIONÁRIOS/HR
Acordos de confidencialidade
Todos os funcionários são obrigados a assinar acordos de confidencialidade e não divulgação.
O acordo contratual da Inbenta com os funcionários inclui a aceitação dos seguintes acordos: acordo de propriedade intelectual; acordo de confidencialidade das informações; Código de Conduta Profissional sobre Segurança e Privacidade das Informações.
- Controles ISO 27002 e ISO 27017: A.7.1.2
Privacidade e proteção de informações de identificação pessoal (PII)
PRINCÍPIOS
Finalidade do processamento
A Inbenta Holdings, Inc. fornece serviços de comunicação on-line e busca de informações com base em linguagem natural. Isso significa que o usuário pode acessar informações da base de conhecimento do cliente escrevendo e enviando texto, que é processado pela Inbenta para retornar a melhor resposta.
Esse texto processado pode incluir informações de identificação pessoal (PII), o que implica que a Inbenta é a processadora desses dados em nome de nossos clientes (os controladores).
Além disso, a Inbenta é a controladora das informações que coletamos de nossos clientes e de seus funcionários para gerenciar os contratos e serviços fornecidos aos nossos clientes, para contatá-los, responder às suas solicitações de serviço e administrar suas contas.
- Controles ISO 27701: 7.2.1
Legalidade do processamento
O processamento dos dados do cliente é necessário para a execução de um contrato do qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de firmar um contrato.
- Controles ISO 27701: 7.2.2
Privacidade por design e privacidade por padrão
A Inbenta limita a coleta e o processamento de Dados de Identificação Pessoal ao mínimo relevante, proporcional e necessário para os fins identificados. Isso inclui limitar a quantidade de PII que a organização coleta indiretamente (por exemplo, por meio de weblogs, registros do sistema etc.).
Além disso, a Inbenta não retém os Dados de Identificação Pessoal por mais tempo do que o necessário para as finalidades para as quais os Dados de Identificação Pessoal são processados, conforme declarado nos critérios de retenção.
- Controles ISO 27701: 7.4.1, 7.4.2
Critérios de retenção
A Inbenta reterá os dados pessoais que processamos em nome de nossos Clientes pelo tempo necessário para prestar serviços ao nosso Cliente. A Inbenta reterá essas informações pessoais conforme necessário para cumprir com nossas obrigações legais, resolver disputas e fazer cumprir nossos acordos.
A menos que um acordo diferente seja especificado no contrato entre a Inbenta e o cliente, os registros em nosso servidor são mantidos por um período máximo de 100 dias e podem ser removidos quando os serviços forem finalizados, se o cliente assim o especificar.
Após esse período de retenção, a Inbenta exclui permanentemente os dados contidos em nossos bancos de dados, exceto nas circunstâncias em que obrigações ou deveres legais possam surgir da execução da prestação do serviço, caso em que uma cópia poderá ser mantida, com os dados devidamente bloqueados, até a cessação de tais responsabilidades ou deveres.
- Controles ISO 27701: 7.4.7
ORGANIZAÇÃO OU GERENCIAMENTO DE PRIVACIDADE
Sistema de gerenciamento de informações de privacidade
A Inbenta implementou um sistema de gerenciamento de informações de privacidade que garante o cumprimento das obrigações legais, o tratamento adequado dos riscos aos direitos e liberdades dos usuários e um processo de revisão e melhoria contínua das políticas aplicadas.
- Controles ISO 27701: 5.2.4
Responsabilidades
A Inbenta nomeou um responsável pela proteção de dados pessoais encarregado de monitorar o desempenho do sistema de gerenciamento de informações de privacidade. Suas responsabilidades incluem a definição de políticas de proteção de dados pessoais, a verificação da conformidade com essas políticas, a avaliação dos riscos no processamento de dados pessoais, a determinação das medidas técnicas e organizacionais necessárias para mitigar os riscos, a supervisão do desempenho das medidas envolvidas e a avaliação da conformidade regulatória.
Da mesma forma, todos os funcionários da Inbenta se comprometeram a cumprir e fazer cumprir as políticas e regulamentos de privacidade da empresa.
- Controles ISO 27701: 5.3.3, 6.3.1.1
Diretor de proteção de dados
A Inbenta nomeou um Diretor de Proteção de Dados (DPO), que é responsável por avaliar e monitorar um programa de governança e privacidade em toda a organização, para garantir a conformidade com todas as leis e regulamentações aplicáveis relativas ao processamento de PII.
O DPO garantiria o gerenciamento eficaz dos riscos de privacidade, estaria envolvido no gerenciamento de todas as questões relacionadas ao processamento de PII, atuaria como ponto de contato para as autoridades de supervisão, informaria a gerência de alto nível e os funcionários da organização sobre suas obrigações com relação ao processamento de PII e forneceria consultoria com relação às avaliações de impacto sobre a privacidade realizadas pela organização.
- Controles da ISO 27701: 6.3.1.1
Organização das operações de segurança e informação
Em nível organizacional, nosso diretor de segurança da informação (CISO) detém o nível máximo de acesso a informações e execução de medidas de segurança, seguido por nossos administradores de sistemas, pelo diretor de operações e pelo diretor de tecnologia.
Documentamos e registramos todos os controles obrigatórios do ISMS e temos um Conselho de Segurança e Privacidade formado por nosso CEO, COO, CTO, QPM, RH e CISO para monitorar e avaliar a segurança das operações e dos incidentes.
- Controles ISO 27701: 5.3.3, 6.3.1.1
Comprometimento da equipe
Todos os funcionários da Inbenta assinam um acordo contratual pelo qual se comprometem a cumprir as políticas e obrigações de proteção de dados pessoais.
O referido acordo inclui a advertência de que a violação de tais obrigações constitui uma falta grave de indisciplina ou desobediência no trabalho e, portanto, será passível de punição.
- Controles ISO 27701: 6.4.1.2
Competência e conscientização
A Inbenta implementou um programa de treinamento no qual todos os funcionários da Inbenta participam de sessões de conscientização e treinamento sobre a proteção da privacidade.
Nesse sentido, todos os funcionários gerenciam informações de acordo com suas certificações educacionais e de treinamento, funções e responsabilidades, e receberam treinamento sobre a classificação de informações e o Regulamento da UE 2016/679 (GDPR da UE), além de terem assinado um acordo de propriedade intelectual e uma declaração de boas práticas para evitar comportamentos não normativos e suas consequências ao processar e transferir informações.
- Controles ISO 27701: 6.4.2.2
RESPONSABILIDADE DO CONTROLADOR E DO PROCESSADOR
Segurança do processamento
A Inbenta implementa medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco. O processamento de dados pessoais é protegido pelas mesmas medidas técnicas que se aplicam a todas as informações da empresa, de acordo com as certificações ISO 27001 e ISO 27017.
Ao avaliar o nível adequado de segurança, foram levados em conta, principalmente, os riscos apresentados pelo processamento, em especial os decorrentes de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma.
- Controles ISO 27701: 5.6.2, 5.6.3
Segurança das operações
Todos os nossos dados são armazenados pela Amazon Web Services (AWS), que está em conformidade com os padrões internacionais de segurança e privacidade de informações. Nossas regiões operacionais de nuvem estão localizadas nos Estados Unidos, Europa, Ásia-Pacífico e América do Sul. As certificações da AWS estão disponíveis aqui: https://aws.amazon.com/compliance/programs/ Para informações em repouso, as chaves de criptografia são gerenciadas pelo AWS-KMS e usam pelo menos um AES256. Para os dados em trânsito, todas as conexões são criptografadas sob o protocolo TLS > 1.2, a fim de fornecer segurança e privacidade nas comunicações. Protocolos, certificados e cifras podem ser encontrados aqui: https://developers.inbenta.io/api-resources/security/regions-and-endpoints
- Controles ISO 27701: 5.6.2, 5.6.3, 6.9
Pseudonimização e criptografia de dados pessoais
Cada cliente da Inbenta tem controle para pseudonimizar os dados pessoais provenientes dos usuários finais usando o recurso da Inbenta "ofuscador de logs", que pseudonimiza os dados antes de armazená-los. Cada cliente deve primeiro especificar o tipo de dados que deseja tornar pseudônimos e ativar a opção para isso. Se o cliente ativar essa opção, os dados pessoais dos usuários entrarão em nosso servidor já pseudorandomizados. Se o cliente não ativar essa opção, os dados pessoais dos usuários serão armazenados em nosso servidor sem qualquer anonimização de privacidade, pois a Inbenta não pode manipular esses dados.
- Controles ISO 27701: 5.6.2, 5.6.3
Processadores
Por meio das cláusulas de tratamento de nosso Contrato de Processamento de Dados (DPA), a Inbenta assume sua responsabilidade como processadora de dados que processa dados em nome de nossos clientes, necessários para a prestação dos serviços contratados.
Portanto, a Inbenta oferece garantias para:
- A confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e serviços de tratamento.
- Restaurar a disponibilidade e o acesso aos dados pessoais rapidamente, no caso de um incidente físico ou técnico.
- Verificar, avaliar e aferir, regularmente, a eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do tratamento.
Este DPA é complementado por este documento de Segurança, que detalha as medidas técnicas e organizacionais implementadas para cumprir as garantias fornecidas.
- Controles ISO 27701: 7.2.6, 8.2.1
Comunicação e transferência de dados
O processamento e o uso de informações pessoais pela Inbenta são limitados para atender às necessidades de nossos clientes, portanto, a Inbenta não transfere dados para terceiros não envolvidos, exceto para:
- Empresas que, como processadoras de dados, nos fornecem serviços relacionados à atividade ordinária e administrativa da empresa, como, entre outros, serviços de TI e fornecedores de infraestrutura, como a Amazon Web Services (AWS).
Nesse caso, existem DPAs com todas essas empresas, fornecendo garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas
- conforme exigido por lei, como, por exemplo, para cumprir uma intimação ou processo legal semelhante,
- quando acreditarmos, de boa fé, que a divulgação é necessária para proteger nossos direitos, proteger sua segurança ou a segurança de outros, investigar fraudes ou atender a solicitações de órgãos públicos,
- Se a Inbenta Holdings Inc. estiver envolvida em uma fusão, aquisição ou venda de todos ou de parte de seus ativos, você será notificado por e-mail e/ou por um aviso em destaque em nosso site sobre qualquer alteração na propriedade ou no uso de suas informações pessoais, bem como sobre quaisquer opções que você possa ter em relação às suas informações pessoais,
- a qualquer outro terceiro com seu consentimento prévio para fazê-lo
- Controles ISO 27701: 7.5, 8.5
Gerenciamento de violações de segurança
Gerenciamos incidentes de segurança seguindo o procedimento do GDPR da UE, que determina que, em um período máximo de 72 horas, devemos informar a Agência e todas as pessoas e partes afetadas sobre a natureza, o escopo e as consequências do incidente.
- Controles ISO 27701: 6.13.1.5
CONFORMIDADE
Política de privacidade
Essa política inclui informações sobre as finalidades e a legitimidade das atividades de processamento, as categorias de dados processados, os critérios para conservação de dados, possíveis comunicações ou transferências de dados e o procedimento para que os interessados exerçam seus direitos.
- Controles ISO 27701: 7.3.2, 7.3.3
Conformidade com leis e regulamentos oficiais
Cada filial da Inbenta deve informar à Agência de Proteção de Dados qualquer incidente de violação de dados dentro de 72 horas. A Inbenta está em conformidade com o Regulamento Geral de Proteção de Dados da UE 2016/679 (GDPR), bem como com a CCPA (EUA) e a LGPD (Brasil).
- Controles ISO 27701: 6.15.1, 7.2.2
Transferência internacional de dados
A prestação de nossos serviços pode envolver o processamento de dados pessoais por empresas localizadas em países fora do Espaço Econômico Europeu (transferências internacionais de dados). No entanto, isso só será feito com países que ofereçam um nível adequado de proteção ou que tenham disponibilizado para nós Cláusulas Contratuais Padrão (CCP), de acordo com a decisão da Comissão Europeia para Transferências de dados de controladores na UE para processadores estabelecidos fora da UE.
Especificamente, as informações que coletamos de você podem ser processadas nos Estados Unidos e, ao usar esses serviços, você reconhece e consente com o processamento de seus dados nos Estados Unidos.
A Inbenta Technologies Inc., localizada nos EUA, é responsável pelo processamento dos dados pessoais que recebe, de acordo com a Estrutura de Privacidade de Dados UE-EUA e Suíça-EUA, e a extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA (DPF), e posteriormente transfere para um terceiro que atua como agente em seu nome. Cumprimos os Princípios do DPF para todas as transferências posteriores de dados pessoais da UE, da Suíça e do Reino Unido, inclusive as disposições de responsabilidade de transferência posterior.
Com relação às obrigações decorrentes da DPF, a Inbenta Technologies Inc. está sujeita aos poderes de execução regulatória da Comissão Federal de Comércio dos EUA. Em determinadas situações, a Inbenta Technologies Inc. pode ser obrigada a divulgar dados pessoais em resposta a solicitações legais de autoridades públicas, inclusive para atender a requisitos de segurança nacional ou de aplicação da lei.
Além de participar da DPF, também usamos as Cláusulas Contratuais Padrão da UE emitidas pela Comissão Europeia, bem como o Acordo Internacional de Transferência de Dados do Reino Unido como medidas secundárias. Quando necessário, com base em nossas avaliações de impacto de transferência de dados, implementaremos medidas técnicas e/ou organizacionais adicionais destinadas a proteger adequadamente seus dados.
Nome do subprocessador, localização geográfica do servidor e assinatura fornecida:
Nome do subprocessador | Serviço Inbenta usando subprocessador | Localização dos servidores | Assinatura fornecida |
AWS (Amazon Web Services Inc.) | - Chatbot - Messenger - Knowledge Gerenciamento - Search |
Dependendo da localização dos titulares dos dados, o subprocessamento de dados ocorre no local da AWS mais próximo: - União Europeia (Irlanda) - EUA (Virgínia) - Brasil (São Paulo) - Austrália (Sydney) - Japão (Tóquio) |
Serviços de IaaS e PaaS |
Outros países fora da UE sob garantias de transferências internacionais(https://aws.amazon.com/compliance/gdpr-center/) | Alojamento da rede de distribuição de servidores contendo réplicas de dados criptografados com controle de acesso limitado para melhorar o desempenho | ||
Gmail (Google LLC) |
- Mensageiro | Área da União Europeia (Irlanda) | Recebimento de e-mail |
TURBO SMTP (Delivery Tech Corp.) |
- Mensageiro | Área da União Europeia (Itália) | Entrega de e-mail |
SMTP (j2 Global, Inc.) |
- Mensageiro | Canadá (considerado adequado pela Comissão Europeia) |
Entrega de e-mail |
- Controles ISO 27701: 7.5.2, 8.5.2