Segurança

Segurança da informação e privacidade de dados

Muito além dos seus contratos, o netLex torna as suas operações da sua empresa mais seguras em todos os sentidos. Do desenvolvimento do software ao uso pelo cliente, nosso foco é proteger seus dados e garantir a integridade das suas informações.

Fale com o netLex

Deslize para baixo

A segurança dos seus dados é nossa prioridade

Utilizamos um conjunto de boas práticas e políticas para garantir a proteção e a segurança dos dados

Conformidade

ISO 27001

É amplamente conhecida, fornecendo requisitos para um sistema de gerenciamento de segurança da informação (SGSI).

SOC 2 Type 1

Relatório SOC 2 Type 1, englobando segurança, disponibilidade, integridade e conﬁdencialidade

SOC 2 Type 2

Relatório SOC 2 Type 2, englobando segurança, disponibilidade, integridade e conﬁdencialidade

Segurança da Infraestrutura

Amazon Web Services

O netLex hospeda todos os seus serviços em data centers AWS e garante a proteção contra ataques DDoS usando AWS Shield.

Compliance

Conformidade de segurança

Utilizamos as boas práticas recomendadas e padrões para garantir a segurança e privacidade.

SOC 2 Type I - Passamos por auditorias de rotina para receber relatórios SOC 2 Tipo I, que estão disponíveis mediante solicitação e nos termos de um acordo de não divulgação (NDA). O último relatório do SOC 2 Tipo I pode ser solicitado por meio do e-mail infosec@netlex.com.br.

SOC 2 Type I - Passamos por auditorias de rotina para receber relatórios SOC 2 Tipo II atualizados, que estão disponíveis mediante solicitação e nos termos de um acordo de não divulgação (NDA). O último relatório do SOC 2 Tipo II pode ser solicitado por meio do e-mail infosec@netlex.com.br.

ISO 27001:2013 - Possuímos a certificação ISO 27001:2013. Para maiores informações clique aqui.

A infraestrutura do netLex se encontra na Amazon Web Services (AWS), que atende aos mais rígidos requisitos de segurança, os quais são auditados e certificados. Para obter mais detalhes sobre conformidade na AWS clique aqui.

Conformidade e regulamentações

O netLex tem apoiado seus clientes no atendimento da LGPD por trazer facilidade na governança de dados. Enquanto operadores de dados pessoais, garantimos segurança e eficiência na gestão. Além disso, o netLex possui uma Política Interna de Proteção de Dados que faz parte do onboarding de todos os seus colaboradores e é periodicamente reforçada por meio de treinamentos.

GDPR - Nossas atividades estão em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que rege a proteção de dados e a privacidade de todos os cidadãos da União Europeia .

LGPD - Nossas atividades estão em conformidade com a Lei Geral de Proteção de Dados, LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para obter detalhes sobre quais informações coletamos e como usamos, compartilhamos e armazenamos, consulte nossa política de privacidade clicando aqui.

Segurança em nuvem

Segurança física - Toda nossa infraestrutura está na Amazon Web Services (AWS) que gerencia a segurança física e ambiental. A AWS possui recursos como fontes de energia de emergência, equipamento de supressão de incêndios, vigias, cercas, sistema interno de segurança entre outras medidas que podem ser analisadas com mais detalhes através do informativo das medidas de controle e segurança da AWS aqui. Além disso, nosso programa de segurança interna cobre a segurança física em nosso escritório .

Segurança de infraestrutura - Os dados são hospedados nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS, SOC 2 e outros. Para obter mais detalhes sobre conformidade na AWS clique aqui.

Segurança de rede - Nossa rede é protegida com o uso dos principais serviços de segurança da AWS, auditorias regulares e monitoramento de rede. Para obter mais detalhes sobre a infraestrutura de segurança da AWS clique aqui.

Disponibilidade e continuidade - O netLex mantém monitoramento ativo 24/7 e melhores práticas de gestão de incidentes, além da página de status de disponibilidade do sistema e histórico de incidentes que pode ser acessado aqui. Nosso programa de recuperação de desastres garante que nossos serviços permaneçam disponíveis e sejam recuperados rapidamente minimizando o impacto em um cenário de desastre .

Logs de ações e atividades - São mantidos logs de ações e atividades como modificação de configurações, criação e exclusão de ativos das assinaturas de produção para permitir auditorias e investigações sempre que necessário .

Monitoramento - Existe monitoramento de ações por meio de dashboard e alertas onde são inspecionadas o compliance do ambiente com relação às políticas de segurança em vigor .

Segurança da Aplicação

Desenvolvimento seguro (SDLC) - Além dos controles e testes executados durante o processo de implementação, desenvolvemos internamente a habilidade em desenvolvimento seguro. Para isso, promovemos treinamentos que incluem os 10 principais riscos de segurança da OWASP, vetores de ataque comuns e controles de segurança .

Segregação de ambientes - Existe a separação dos ambientes de desenvolvimento, homologação e produção, considerando para cada um suas respectivas permissões de acesso. O ambiente produtivo segue o conceito do mínimo privilégio e nenhum dado de produção é usado em nossos ambientes de desenvolvimento ou teste .

Execução de pentest - Realizamos, a cada ano, a contratação de empresa terceira independente para execução de pentest do tipo gray box .

Análise de código estático - SAST - Todo pipeline de compilação é examinado através de uma ferramenta de análise estática de código. Com esta ferramenta são avaliadas categorias de defeitos de software, entre eles: code smells, vulnerabilidades e security hotspots .

Análise SCA - Software Composition Analysis - É realizada a verificação de software componente, bibliotecas, e busca de vulnerabilidades .

Guarda de código fonte - Os códigos fontes são armazenados em repositório Git privado, com acesso autorizado utilizando autenticação integrada .

Gestão de segredos - Informações sensíveis de aplicativos como chaves de API e senhas de bancos de dados são armazenadas em cofre de senha com log de atividade e acesso restrito de rede .

Equipe de segurança dedicada - Nossa equipe de segurança está disponível para responder a alertas e eventos de segurança .

Segurança do produto

Autenticação - O netLex suporta nativamente o SSO com os protocolos SAML 2.0 e LDAP. Mais detalhes sobre esta configuração, clique aqui.

Controle de acesso - Controle de acesso granular baseado em funções com níveis de permissão, seguindo o modelo RBAC, com a possibilidade de integração com SSO para autorização, além de autenticação .

Restrições de IP - O netLex pode ser configurado, no contexto de integrações, para permitir o acesso à API, somente de intervalos de endereço IP específicos definidos .

Resposta a incidentes de segurança - Em caso de incidente de segurança, o time responsável pela gestão de incidentes é acionado. Esta equipe é treinada em processos de resposta a incidentes de segurança, com o objetivo de aplicar ações rápidas para minimizar impactos .

Segurança dos dados

Criptografia - Usamos padrões de criptografia fortes para proteger os dados em trânsito entre os clientes netLex e o provedor de serviços de nuvem AWS e em repouso.

Criptografia de dados em trânsito - Toda a comunicação com a interface e as APIs do netLex é criptografada pelo padrão HTTPS/TLS (TLS 1.2 ou posterior) em redes públicas.
Criptografia de dados em repouso - Os dados são criptografados em repouso na AWS usando o algoritmo criptográfico AES-256.

Backups - Os backups são automáticos e dispersos geograﬁcamente. São aplicados fortes controles de proteção de backup e realizados testes de restore frequentes .

Localização de armazenamento dos dados - Os dados são armazenados nos data centers da AWS nos EUA, Europa e América do Sul. Os clientes podem optar por definir o local de armazenamento dos dados .

Segurança em recursos humanos

Cultura e conscientização - Nosso programa de cultura e conscientização tem como objetivo treinar todos os colaboradores do netLex e fazer com que pensar sobre Segurança da Informação se torne naturalmente parte do dia a dia. Para isso, contamos com o processo de onboarding, em que novos colaboradores são treinados pelo time de Segurança da Informação antes de iniciarem suas atividades, para conhecerem a Política da Segurança da Informação (PSI), Lei Geral de Proteção de Dados (LGPD) e outros tópicos.

Os times recebem rotineiramente, do time de Segurança da Informação, treinamentos a respeito de temas ligados à segurança e privacidade, em que são utilizados os canais de comunicação interna do netLex para manter todos os colaboradores informados sobre temas relacionados à segurança, buscando a conscientização e que se mantenham atualizados a respeito da Política da Segurança da Informação (PSI) .

Comitê de segurança da informação e conformidade - Possuímos um Comitê de Segurança da Informação e Conformidade com a participação de pessoas de diversos times, com o objetivo de identificação de necessidades de segurança, para uma ação proativa frente a possíveis riscos aos projetos bem como discussão de ações internas de Segurança da Informação no netLex .

Links úteis

Links de informações complementares:

O time de Segurança da Informação do netLex está à disposição para esclarecimentos por meio do endereço eletrônico: infosec@netlex.com.br

O netLex conta com um comitê de segurança da informação e privacidade para apoio nos direcionamentos relacionados à privacidade dos dados. Questões relacionadas à privacidade dos dados podem ser encaminhadas ao endereço eletrônico: compliance@netlex.com.br