Política de Segurança

Registro Ponto Segurança

Como o Registro Ponto é oferecido como serviço (SaaS), nenhuma infraestrutura é necessária ao cliente, nós lidamos com a infraestrutura para garantir que seus dados estejam seguros. Sem dores de cabeça ao instalar hardware ou software, as empresas que usam o Registro Ponto, podem se concentrar no suporte a seus clientes.

Principais razões e vantagens pelas quais oferecemos o Registro Ponto como serviço (SaaS):

  • Redundância e alta disponibilidade das informações.

  • Escalabilidade dinâmica da infraestrutura que permite atender aos picosde demanda.

  • Acesso a atualizações frequentes no aplicativo.

  • Altos níveis de segurança e prevenção de desastres.

  • Informações criptografadas.

  • SLA 99,9%

Compromisso de confiança da Registro Ponto

A confiança é um princípio central do Registro Ponto. Temos o compromisso de criar sistemas confiáveis e seguros dos quais você pode confiar para seus negócios. E estamos comprometidos com a transparência em torno de nossas operações e a Lei geral de proteção de dados (LGPD).

Conformidade e auditoria da estrutura de segurança

O Registro Ponto utiliza a Mandic (Brasil) para nossa infraestrutura de computação. A Mandic obteve a certificação ISO 20000 e concluiu com êxito várias auditorias. Para obter mais detalhes sobre a segurança da Mandic, consulte https://www.mandic.com.br/empresa/politicas-de-seguranca/.

Segurança física das instalações

Os funcionários da Registro Ponto não têm acesso físico de nenhum tipo às nossas instalações de produção, pois toda a nossa infraestrutura está na nuvem da Mandic. A Mandic tem muitos anos de experiência no design, construção e operação de data centers em larga escala. Essa experiência foi aplicada à plataforma e infraestrutura da Mandic.

Todos os visitantes e contratados são obrigados a apresentar identificação e são assinados e acompanhados continuamente por pessoal autorizado. A Mandic fornece apenas acesso e informações ao centro de dados para funcionários que tenham uma necessidade comercial legítima desses privilégios. Quando um funcionário não tem mais uma necessidade comercial desses privilégios, seu acesso é imediatamente revogado, mesmo se continuar sendo funcionário da Mandic ou da Mandic Web Services. Todo acesso físico e eletrônico dos funcionários da Mandic aos centros de dados é registrado e auditado rotineiramente.

Segurança de rede

O firewall está configurado no modo de negação padrão e o Registro Ponto abre explicitamente as portas para permitir o tráfego de entrada. O tráfego pode ser restrito pelo protocolo, pela porta de serviço e também pelo endereço IP de origem (bloco individual de IP ou CIDR). O firewall está configurado para permitir apenas a conectividade mínima absoluta necessária para fornecer os serviços do Registro Ponto. A rede da Mandic fornece proteção significativa contra problemas de segurança de rede tradicionais.

Segurança do Host

A equipe do data center monitora sistemas e equipamentos elétricos, mecânicos e de suporte à vida, para que os problemas sejam identificados imediatamente. A manutenção preventiva é realizada para manter a operabilidade contínua do equipamento.

Estamos aproveitando a Mandic para toda a nossa infraestrutura de computação. A Mandic possui o hardware físico. A Mandic fornece grupos de segurança para limitar o acesso aos dispositivos. Utilizamos totalmente grupos de segurança para limitar o acesso aos nossos recursos de computação. Nosso ambiente de produção é completamente separado dos outros ambientes, incluindo desenvolvimento e controle de qualidade.

Segurança de aplicativos

ANALISE DE VULNERABILIDADE / TESTE DE PENETRAÇÃO Temos fornecedores terceirizados que verificam e monitoram periodicamente nossos aplicativos e rede para encontrar vulnerabilidades. Isso nos ajuda a evitar possíveis problemas de segurança em nossos aplicativos, servidores e camadas de rede. Os scanners incluem:

  • Examine os aplicativos da Web para procurar vulnerabilidades de segurança conhecidas, incluindo scripts entre sites ou injeção de SQL.

  • Examine também configurações inseguras do servidor.

  • Teste a autenticação através de vários métodos, incluindo Basic, Digest, Kerberos ou NTLM.

  • Teste as injeções de banco de dados comumente conhecidas contidas nas php, jsp, asp SQL e XPath Injections.

  • Digitalize o código binário (também conhecido como código "compilado" ou "byte") que pode conter vulnerabilidades conhecidas.

Criptografia

Implementamos criptografia via SSL em nosso aplicativo. Ao usar a criptografia, minimizamos as chances de alguém possivelmente interceptar combinações de nome de usuário / senha e / ou outras informações confidenciais. As áreas em que utilizamos o SSL incluem:

  • Todos os logins de aplicativos exigem SSL. Qualquer área que exija que um usuário efetue login em nosso sistema também exige que o SSL seja usado.

  • As interfaces administrativa, usuário, analítica e API aproveitam e exigem SSL por toda parte.

Políticas de armazenamento e retenção de dados

Os dados geralmente são armazenados em um banco de dados MySQL. Todos os dados (exceto senhas e cadeias de autenticação) são criptografados. O banco de dados MySQL de produção é configurado com alta disponibilidade com dados replicados para várias instâncias redundantes.

O backup do banco de dados é feito todas as noites, com cópias de backup criptografadas sendo enviadas para proteger o armazenamento externo. Além do uso desses dados na produção, também ocasionalmente pegamos uma cópia dos dados e os carregamos em nossos ambientes de teste. Essas cópias são removidas de qualquer informação sensível ou de identificação pessoal antes de serem usadas para fins de teste ou desenvolvimento.

Políticas de Gerenciamento de Incidentes

Implementamos mais de três mil verificações de serviço, algumas das quais são executadas a cada minuto, o que rapidamente nos alertará sobre atividades anormais. Todos os eventos do sistema são registrados em um serviço de registro central e quaisquer eventos incomuns são sinalizados para revisão por um membro da equipe de operações.

Todas as ações do usuário são registradas em um log de acesso seguro que registra as informações do usuário, registro de data e hora, endereço IP, navegador e recurso acessado. Essas informações podem ser recuperadas mais rapidamente, caso seja necessária uma investigação forense. Nós planejamos sempre notificando nossos clientes sobre incidentes de segurança assim que for seguro e prudente e compartilhará todas as informações relevantes para permitir que nossos clientes tomem as ações necessárias.

Acesso aos dados do cliente

A equipe da Registro Ponto não acessa ou interage com dados ou aplicativos do cliente como parte das operações normais. Pode haver casos em que a Registro Ponto é solicitada a interagir com dados ou aplicativos do cliente, a pedido do cliente para fins de suporte ou quando exigido por lei.

Os dados do cliente são controlados por acesso e todo o acesso da equipe da Registro Ponto é acompanhado pela aprovação do cliente ou mandato do governo, motivo do acesso, ações executadas pela equipe e horário de início e término do suporte.