Política de Segurança

POLÍTICA DE SEGURANÇA

Atualizada em 03/08/2021.



Conheça nossas práticas de segurança da informação.

Confiabilidade e segurança são importantes para tudo o que a DR Controle  faz. Abaixo, segue uma lista crescente de ações, políticas e processos que adotamos.

Segurança de Aplicação

Senha e armazenamento de credenciais
Todas as credenciais são armazenadas utilizando criptografia forte SAE -16.

Separação de contexto
Os dados produzidos por um usuário em um software integrado com a DR Controle são visíveis somente naquela integração.

Segurança de Infraestrutura

Hospedagem e Armazenamento de Dados
As aplicações e dados da DR Controle estão hospedados nos servidores do Google, localizados na região US-east-1 (Carolina do Sul - USA).
A Amazon possui vários programas de conformidade relacionados a segurança, como a ISO 27001, PCI nível 1, HIPAA e SOC.

Rede Virtual Privada
Todos os nossos servidores estão em nossa própria rede virtual privada (VPC) com controles de acesso que impedem que solicitações não autorizadas cheguem à nossa rede interna. Utilizamos boas práticas como VPN para a comunicação com nossos servidores de produção.

 
Backups e Monitoramento
Nossos dados possuem backups diários automatizados   . Monitoramos toda a infraestrutura de forma ativa para a detecção de anomalias

Autenticação e Autorização
Todos os nossos colaboradores com acesso a infraestrutura utilizam autenticação de dois fatores (2FA) em suas contas de acesso. Cada colaborador possui acesso a somente o que é necessário para a execução de suas tarefas.

Criptografia em trânsito
Nossos endpoints de aplicação e APIs usam as políticas de segurança TLS/SSL recomendadas pela Google https://cloud.google.com/security/encryption-in-transit#cio-level_summary

Criptografia em repouso
Todas nossas instâncias de banco de dados de aplicação possuem criptografia em repouso https://cloud.google.com/security/encryption/default-encryption/resources/encryption-whitepaper.pdf, assim como os arquivos armazenados.

Inventário de Software
Mantemos um inventário, revisado a cada trimestre, com os softwares autorizados para uso pelos colaboradores da DR Controle. Verificamos se o software está sendo atualizado e mantido pelo fabricante, para manter nossos computadores sempre seguros.

Inventário de Hardware
Mantemos um inventário, alimentado automaticamente, com os atributos de todos os dispositivos usados na DR Controle, bem como o colaborador/área responsável.

Segregação de Ambientes
Nenhum dado de produção é usado no desenvolvimento, e os ambientes e contas na GOOGLE são totalmente separados.


Conscientização em Cibersegurança

Programa de CONCIENTIZAÇÂO
Temos um programa que nos permite conscientizar, de forma fácil e didática, os colaboradores sobre a importância da cibersegurança e da privacidade das informações em todos os processos da DR Controle. Além disso, nossos colaboradores são treinados constantemente sobre como agir e o que fazer nestas duas vertentes da segurança da informação.

Privacidade

Privacy-by-design

Desenvolvemos nossos produtos orientados em garantir a privacidade de todos os titulares de dados envolvidos, por isso, desde a concepção até a entrega, os integrantes do comitê de privacidade acompanham cada detalhe do desenvolvimento.

Mapeamento/Inventário de dados
Todos os fluxos de dados da DR Controle são mapeados, deixando evidente quais dados, motivos, titulares, áreas, produtos e bases legais. Esse inventário é revisado periodicamente, sendo constantemente atualizado e validado pelo nosso encarregado de dados.

Conscientização sobre LGPD
Desenvolvemos uma página, onde conscientizamos médicos, pacientes e parceiros a respeito de seus direitos quanto a privacidade de dados diante da LGPD, além de mostrarmos todas as atividades que fizemos para nos adequar a lei.

DOCUMENTAÇÃO ADICIONAL

Criptografia padrão, resumo para CIOs:
·         https://cloud.google.com/security/encryption/default-encryption#cio-level_summary
Criptografia em trânsito, resumo para CIOs:
·         https://cloud.google.com/security/encryption-in-transit#cio-level_summary
Segurança no Google Cloud
·         https://cloud.google.com/security/infrastructure
Criptografia em repouso no Google Cloud
·         https://cloud.google.com/security/encryption/default-encryption/resources/encryption-whitepaper.pdf
Granularidade da criptografia em cada produto do Google Cloud:
·         https://cloud.google.com/security/encryption/default-encryption#granularity-of-encryption-in-each-google-cloud-product
Links:
A.            ISO 27001: https://cloud.google.com/security/compliance/iso-27001
B.            PCI nível 1: https://cloud.google.com/security/compliance/pci-dss
C.            HIPAA: https://cloud.google.com/security/compliance/hipaa-compliance
D.            SOC:
           i.https://cloud.google.com/security/compliance/soc-1
           ii.https://cloud.google.com/security/compliance/soc-2
           iii.https://cloud.google.com/security/compliance/soc-3
           ·  https://cloud.google.com/security/encryption-in-transit#secure_frontend_protocols
·  Disks:
           a.            https://cloud.google.com/security/encryption/default-encryption/resources/encryption-whitepaper.pdf
           b.            https://cloud.google.com/security/encryption/default-encryption

Dúvidas sobre Segurança?
Se você acha que encontrou uma vulnerabilidade de segurança, entre em contato com nossa equipe de segurança em
seguranca@drcontrole.com.br.
Veja mais sobre a DR Controle lendo nossos Termos de Uso e Políticas de Privacidade.