Português
globe icon
login user icon
Solicitar demo

Política de Privacidade Externa

Medidas de segurança aplicadas pela Caf

Compromisso da CAF

Na CAF, temos o compromisso de seguir as práticas e medidas de segurança mais eficazes, garantindo que os acessos sejam controlados e os dados estejam seguros e protegidos.

Nossas Diretrizes

Para melhorar continuamente nossa postura de segurança, usamos o ISO27001 e o CIS Controls para medir a maturidade de nossos programas de segurança. 

Educação e conscientização sobre segurança

Consideramos nossos colaboradores uma linha crítica de defesa na proteção dos dados da nossa empresa e dos nossos clientes. Temos uma equipe dedicada à conscientização de segurança.

Nossos programas incluem o onboarding de novos funcionários e treinamento constante de segurança e proteção de dados pessoais.

Treinamos funcionários para identificar vetores de ataque usados com frequência, como phishing, e como denunciá-los. Através de indicadores de desempenho medimos a eficácia dos programas de conscientização em segurança.

O cronograma de treinamentos é revisado sempre levando em consideração o que tem acontecido no mercado e a evolução da maturidade de nossos colaboradores

Possuímos uma Newsletter quinzenal para estabelecer uma comunicação constante sobre segurança com todos os colaboradores.

Criamos conteúdo com dicas de segurança para nossos clientes e seguidores em redes sociais.

Gestão de Ativos

Os ativos são gerenciados centralmente por meio de um sistema de gerenciamento de inventário que armazena e rastreia o proprietário, a localização e o status dos ativos.

Após a aquisição, os ativos são verificados e rastreados, além disso, os ativos em manutenção são verificados e monitorados quanto à propriedade, status e resolução. 

Vale ainda ressaltar que a CAF opera 100% na nuvem e assim, não há necessidade de inventário de ativos físicos para os recursos na nuvem da AWS.

Os dispositivos de armazenamento de mídia usados para armazenar dados do cliente são classificados como críticos e tratados adequadamente, como de alto impacto, ao longo de seus ciclos de vida.

A AWS utiliza padrões rigorosos sobre como instalar, fazer manutenção e, eventualmente, destruir os dispositivos quando eles não forem mais úteis. Quando um dispositivo de armazenamento chega ao fim de sua vida útil, ele é desativado usando técnicas detalhadas no NIST 800-88. A mídia utilizada para armazenar os dados do cliente não é removida do controle até que seja desativada com segurança.

Acesso, Identificação, e autenticação

A CAF controla e monitora rigorosamente o acesso aos ambientes de produção. Somente os funcionários cujas funções de trabalho exigem acesso podem se qualificar com a permissão para acessar nossos sistemas. 

Funcionários privilegiados da CAF, como engenheiros de confiabilidade da plataforma, precisam usar camadas de autenticação de dois fatores em computadores gerenciados pela empresa para fazer os acessos.

Todos os computadores dos administradores têm os logs de uso enviados ao nosso SIEM.

Os repositórios com os códigos da plataforma são privados, adicionar e remover usuários da organização faz parte dos processos de contratação e demissão. 

Apenas os desenvolvedores da CAF têm acesso aos repositórios de código.

Adotamos configurações seguras e política de senha robusta para o acesso aos nossos sistemas, tais como, quantidade mínima de caracteres e caracteres especiais, periodicidade para alteração das senhas, não utilização das últimas senhas, controle e inatividade de sessão, e muitos mais.

Quando um funcionário é demitido, a notificação de Recursos Humanos aciona um conjunto de tarefas que protegem o acesso ao sistema de produção. Após o encerramento, as contas privilegiadas são bloqueadas, as conexões ativas são encerradas e os tokens de autenticação de dois fatores são removidos. Nossa equipe de controle de acessos revisam o acesso lógico periodicamente e verificam se os usuários encerrados foram removidos dos respectivos sistemas por meio de um sistema de tíquete interno.

Também revisamos as transferências de funcionários e garantimos que os acessos à rede, servidor e banco de dados aos sistemas de produção ainda sejam apropriados para sua nova função de trabalho. 

Classificação e Proteção dos Dados

Para nós da CAF os dados devem ser classificados considerando os impactos de confidencialidade, integridade e disponibilidade em alto, moderado e baixo. Essa estrutura resultará em uma das quatro classificações: restrita, confidencial, interna ou pública. 

Informações de Identificação Pessoal (PII)

Nossas informações críticas devem sempre ser criptografadas não apenas em trânsito, mas também em repouso. Portanto, todos os dados confidenciais são criptografados.

Retenção dos Dados

A CAF não exclui ativamente nenhum dado de propriedade dos nossos clientes sem que haja a expressa manifestação de vontade deles. Isso também inclui os casos de atendimento à solicitação de titulares de dados pessoais e rescisão do contrato do cliente junto a CAF, em que há o pedido para excluirmos os dados do cliente, incluindo dados de identificação pessoal.

Transferência Segura dos Dados

Como já dito anteriormente, para a CAF os dados dos nossos clientes são extremamente valiosos e preservamos sua integridade e confidencialidade durante todo o seu ciclo de vida. Sendo assim, a CAF não transfere nem divulga dados do cliente, exceto para fornecer os serviços e prevenir ou resolver problemas técnicos ou de serviço, a pedido do cliente em relação a questões de suporte ou conforme exigido por lei. Cumprimos as obrigações de governança sob uma variedade de regulamentações regionais de privacidade e proteção de dados como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei Geral de Proteção de Dados (LGPD) do Brasil

A CAF está totalmente comprometida em cumprir os Regulamentos de Proteção de Dados; é por isso que estamos constantemente atualizando nossos procedimentos de segurança e privacidade de dados pessoais em conformidade com todas as leis de proteção de dados aplicáveis nos países onde prestamos serviços.

Controles Criptográficos

A CAF utiliza o TLS para dados em trânsito e o AES 256 para dados em repouso.

Chaves de criptografia são providas pelo serviço da AWS. Chaves de acesso são armazenadas em ambiente segregado com devida proteção criptográfica. Para realizar a gestão das chaves criptográficas utilizamos a AWS Key Management que armazena e protege as chaves de criptografia para torná-las altamente disponíveis e, ao mesmo tempo, oferece controle de acesso forte e flexível.

Segurança do datacenter da CAF

Os nossos dados e dos nossos clientes estão hospedados na AWS, um provedor de serviços de infraestrutura em nuvem pública, A CAF tem acordos com esse fornecedor para garantir uma linha de base de segurança física e proteção ambiental para executar nossos serviços.

Antes de escolher um local, a AWS faz avaliações ambientais e geográficas iniciais. A seleção dos locais dos datacenters é feita com muito cuidado para reduzir riscos ambientais, como enchentes, condições meteorológicas extremas e atividades sísmicas. Nossas zonas de disponibilidade são criadas para ser independentes e estar fisicamente separadas umas das outras.

A AWS permite que apenas funcionários aprovados tenham acesso físico ao datacenter. Todos os funcionários que precisam acessar o datacenter primeiro devem solicitar o acesso e fornecer uma justificativa válida. Vale ainda ressaltar que a AWS opera seus datacenters em conformidade com as diretrizes do Tier III+ (UpTime Institute).

Os padrões de conformidade da AWS são divididos por certificados e declarações; leis, regulamentos e privacidade; e alinhamentos e frameworks

Armazenamento dos dados

Todos os serviços da CAF são disponibilizados via provedor de cloud (AWS). Os recursos são hospedados em N. Virgínia (us-east-1) e São Paulo (sa-east-1).

Os volumes de dados e backups são criptografados com algoritmos padrão de mercado (AES-256).

Os backups são feitos diariamente e mantidos por 7 dias nas regiões mencionadas.

Segurança do Host

Os computadores da CAF usam sistemas operacionais configurados e reforçados de acordo com as práticas de segurança recomendadas do setor. 

Adotamos as seguintes medidas:

  • Aplicação de patches de segurança críticos nos sistemas operacionais;
  • Ativação e centralização de logs do sistema, para não perdermos informações importantes dos sistemas;
  • Monitoração de dados armazenados, para evitar uso indevido de dados de nossos clientes;
  • Ativação dos firewalls de hosts;
  • Criptografia de disco;
  • Bloqueio de portas e serviços potencialmente perigosos, como RDP e SMB;
  • Remoção de processos, contas e protocolos desnecessários e padrão para redução da superfície de ataque do equipamento;
  • Sincronização com servidor de hora centralizado;
  • Bloqueio de tela após 5 min de inatividade;
  • Ativação de logs de linha de comando em sistemas Windows;
  • Remoção de permissão de administrador dos usuários locais;
  • Instalação do software antimalware (EDR) com logs e alertas centralizados.

 Registro e Monitoramento de Segurança

O sistema de monitoramento de segurança da informação consiste em uma série de recursos, softwares ligados à Tecnologia da Informação, empregados para prevenir que dados importantes de um negócio ou dos seus clientes sejam acessados e explorados por terceiros. 

Dados sensíveis em nosso ambiente são monitorados e, com alertas em tempo real, nos permitem tomar ações de forma imediata. Inclusive acessos privilegiados de colaboradores são monitorados.

Os nossos serviços críticos são monitorados visando identificar possíveis anomalias e ameaças cibernéticas. Os logs dos eventos da infraestrutura interna e dos provedores de infraestrutura da CAF são coletados e centralizados pelo nosso sistema de detecção e resposta. Através das regras predefinidas e utilizando lógica de detecção correlacionada, são gerados alertas. Quando isso ocorre, a nossa equipe de resposta a incidentes investiga as causas desses alertas usando processos e procedimentos padrão.

Gestão de Vulnerabilidades

A CAF, avalia rigorosamente os recursos testando e identificando as vulnerabilidades, realizando scans e testes de penetração em nossos ambientes.

Possuímos um cronograma para as verificações de vulnerabilidade. Estas verificações ocorrem de forma constante e automatizada por meio de ferramentas que identificam alterações em nossos domínios e ambientes cloud.

As vulnerabilidades identificadas são tratadas e endereçadas no nosso processo de gestão de vulnerabilidades, sendo devidamente gerenciadas durante todo o seu ciclo de vida.

Além disso, possuímos contratos com parceiros externos para fazer pentest semestrais em nossos serviços.

Ciclo de Desenvolvimento Seguro

Na CAF integramos os requisitos de segurança em todas as etapas do ciclo de desenvolvimento da plataforma, usando o processo Secure Software Development Lifecycle (SSDLC).

Através dessa metodologia, nossos engenheiros de desenvolvimento atuam com processos ágeis, considerando as questões e preocupações de segurança dos nossos produtos. 

Nos preocupamos em seguir as melhores diretrizes do mercado quando o assunto é Desenvolvimento Seguro, por isso os engenheiros da CAF desenvolvem seguindo os métodos OWASP Top 10, a fim de prevenir qualquer código malicioso.

Além disso, a CAF possui um sistema de escaneamento de código no repositório que age captando possíveis vulnerabilidades e erros dentro dos ciclos de desenvolvimento de Software.

Gestão e Avaliação de Terceiros

A CAF possui um processo estabelecido de análise de risco de segurança para fornecedores críticos, ou seja, aqueles que irão manusear dados sensíveis.

Avaliamos a maturidade e postura de segurança desses fornecedores, com o objetivo de entender quais são os riscos e lacunas e direcionar essas questões para as devidas tomadas de decisões internas. Além disso, todos os fornecedores passam pelo fluxo de avaliação de risco para aderência às leis de proteção de dados pessoais e análise de risco do negócio. Somente após todas as avaliações necessárias e com um nível de maturidade adequado seguimos com a contratação.

Recuperação de Desastres

Nosso plano de Recuperação de Desastres é focado em garantir a continuidade das operações e a disponibilidade de recursos críticos em caso de um desastre, contendo instruções sobre quais ações e como responder a incidentes não planejados e caracterizados como uma crise. Estes incidentes podem estar relacionados a desastres naturais, ataques cibernéticos e quaisquer outros eventos disruptivos.

Maturidade de Segurança

Para melhorar continuamente nossa postura de segurança, usamos com base a norma ISO27001 e o CIS Controls para medir a maturidade de nossos programas de segurança. Estes frameworks são usados para avaliar e identificar áreas de melhoria.

Mensalmente realizamos Self Assessment, usando como direcionamento o CIS Controls. A partir dos problemas identificados, construímos um roadmap de implementação e adequação.

Também é possível definir uma pontuação para o nosso estado atual de maturidade. Ao avaliar as pontuações atuais e a desejada, podemos quantificar e acompanhar a maturidade geral de nossa postura de segurança ao longo do tempo.

Soluções
Platforms
Segmentos
Recursos
Institucional
Canal do cliente
Slack IconInstagram IconLinkedin IconGithub IconYoutube Icon
Solutions
Platforms
Industries
Resources
Company
Get Started
English
Slack IconInstagram IconLinkedin IconGithub IconYoutube Icon
Soluções
Plataforma
Segmentos
Recursos
Institucional
Iniciar
caf footer logo
Código de Conduta e Ética de Negócios da Caf
Português
Slack IconInstagram IconLinkedin IconGithub IconYoutube Icon
Termos e condições de usoPolíticas de privacidadeUso de cookiesCaf Compliance
2023 © Caf - Todos os direitos reservados.

Fale com um especialista

Nossos especialistas mapearão seus pontos problemáticos para mostrar como a Caf pode melhorar sua integração e proteger sua empresa.

cora
ifood-logo
magalu
bompracredito
iugu
Asaas

Fale sobre sua empresa

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.