Pular para o conteúdo

Medidas de Segurança Corporativas

Como protegemos seus dados de serviço

A Looplex está comprometida em fornecer um programa de segurança robusto e abrangente para seus serviços corporativos, incluindo as medidas de segurança estabelecidas nestes Termos Suplementares (“Medidas de Segurança Corporativas”). Durante o Período de Assinatura, essas Medidas de Segurança Corporativas podem mudar sem aviso prévio, à medida que os padrões evoluem ou conforme os controles adicionais são implementados ou os controles existentes são modificados conforme julgarmos razoavelmente necessário.

1. Medidas de segurança corporativa utilizadas por nós

Nós respeitaremos estas Medidas de Segurança Corporativas para proteger os Dados de Serviço, conforme necessário, para fornecer os Serviços Corporativos:

1.1 Políticas de segurança e pessoal. Temos e manteremos um programa de segurança gerenciada para identificar riscos e implementar controles apropriados, bem como tecnologia e processos para mitigação de ataques comuns. Este programa é e será revisado regularmente para fornecer eficácia e precisão contínuas. Temos e manteremos uma equipe de segurança da informação em tempo integral responsável por monitorar e revisar a infraestrutura de segurança de nossas redes, sistemas e serviços, responder a incidentes de segurança e desenvolver e fornecer treinamento aos nossos funcionários em conformidade com nossas políticas de segurança.

1.2 Transmissão de dados. Manteremos salvaguardas administrativas, físicas e técnicas comercialmente razoáveis para proteger a segurança, confidencialidade e integridade dos Dados de Serviço. Essas salvaguardas incluem a criptografia de Dados de Serviço em repouso e em trânsito com nossas interfaces de usuário ou APIs (usando TLS ou tecnologias semelhantes) pela Internet, exceto por qualquer serviço que não seja da Looplex que não suporta criptografia, que você pode vincular por meio de integração API ou conectores conforme sua escolha.

1.3 Auditorias e certificações. Mediante solicitação do assinante e sujeito às obrigações de confidencialidade estabelecidas neste acordo, a Looplex disponibilizará ao assinante que não seja concorrente da Looplex (ou ao auditor independente de terceiros do assinante que não seja concorrente da Looplex) informações sobre a conformidade da Looplex com as obrigações estabelecidas neste acordo na forma da certificação ISO 27001 ou comprovação de conformidade material (mesmo que estejamos sem a devida certificação emitida válida) e / ou relatórios SOC 2 (sob proteções apropriadas de não divulgação), ou relatórios SOC 3, quando disponíveis.

1.4 Resposta a incidentes. Temos um processo de gerenciamento de incidentes para eventos de segurança que podem afetar a confidencialidade, integridade ou disponibilidade de nossos sistemas ou dados, que inclui um tempo de resposta no qual a Looplex entrará em contato com seus assinantes após a verificação de um incidente de segurança que afete os Dados de Serviço. Este processo especifica cursos de ação, procedimentos de notificação e escalonamento.

1.5 Controle de Acesso e Gerenciamento de Privilégios. Restringimos o acesso administrativo aos sistemas de produção para pessoal aprovado. Exigimos que tal pessoal tenha IDs exclusivos e chaves criptográficas associadas e/ou use tokens efêmeros complexos. Essas chaves e/ou tokens são usados para autenticar e identificar as atividades de cada pessoa em nossos sistemas, incluindo o acesso aos Dados de Serviço. Ao ser contratado, nosso pessoal aprovado recebe IDs e credenciais exclusivas. Ao término do vínculo empregatício ou se houver suspeita de comprometimento dessas credenciais, essas credenciais são revogadas. Os direitos e níveis de acesso são baseados na função e no papel de trabalho de nossos funcionários, usando os conceitos de privilégio mínimo e necessidade de conhecimento para corresponder os privilégios de acesso a responsabilidades definidas.

1.6 Gerenciamento e Segurança de Rede. Os Subprocessadores utilizados por nós para serviços de hospedagem mantêm uma arquitetura de rede totalmente redundante e segura em conformidade com os padrões do setor, com largura de banda razoavelmente suficiente e infraestrutura de rede redundante para mitigar o impacto de falhas individuais de componentes. Nossa equipe de segurança utiliza utilitários padrão do setor para fornecer defesa contra atividades de rede não autorizadas comuns conhecidas, monitora listas de avisos de segurança para vulnerabilidades e realiza verificações e auditorias regulares de vulnerabilidades externas.

1.7 Ambiente do Data Center e Segurança Física. Os ambientes dos Subprocessadores utilizados por nós para serviços de hospedagem em conexão com a prestação dos Dados de Serviço empregam as seguintes medidas de segurança:

  • Uma organização de segurança responsável pelas funções de segurança física 24x7x365.

  • O acesso a áreas onde os sistemas ou componentes do sistema são instalados ou armazenados dentro dos data centers é restrito por meio de medidas e políticas de segurança consistentes com os padrões do setor.

  • Sistemas N+1 de alimentação ininterrupta e HVAC, arquitetura de gerador de energia de backup e supressão avançada de incêndio.

2. Medidas de segurança técnicas e organizacionais para provedores de serviços terceirizados que processam Serviços de Dados

Qualquer provedor de serviços terceirizados que seja utilizado pela Looplex e suas afiliadas só terá acesso à sua Conta e aos serviços de dados na medida em que for razoavelmente necessário para fornecer os serviços de dados. A Looplex mantém um programa de revisão de segurança de fornecedores que avalia e gerencia quaisquer riscos potenciais envolvidos no uso desses provedores de serviços terceirizados que têm acesso aos serviços de dados e tais provedores estarão sujeitos, entre outros requisitos dos Termos de Uso e Licenciamento, a implementar e manter a conformidade com as seguintes medidas de segurança técnica e organizacional apropriadas:

2.1 Controles de Acesso Físico. Os provedores de serviços terceirizados deverão tomar medidas razoáveis, como pessoal de segurança e prédios seguros, para impedir que pessoas não autorizadas obtenham acesso físico aos sistemas de processamento de dados nos quais os serviços de dados são processados.

2.2 Controles de Acesso ao Sistema. Os provedores de serviços terceirizados deverão tomar medidas razoáveis para impedir que os sistemas de processamento de dados sejam utilizados sem autorização. Esses controles variam de acordo com a natureza do processamento realizado e podem incluir, entre outros controles, autenticação via senhas e/ou autenticação de dois fatores, processos de autorização documentados, processos documentados de gerenciamento de mudanças e/ou registro de acesso em vários níveis.

2.3 Controles de Acesso aos Dados. Os provedores de serviços terceirizados deverão tomar medidas razoáveis para garantir que os serviços de dados sejam acessíveis e gerenciáveis apenas por funcionários devidamente autorizados, que o acesso direto às consultas do banco de dados seja restrito e que os direitos de acesso do aplicativo sejam estabelecidos e aplicados para garantir que as pessoas autorizadas a acessar os serviços de dados tenham acesso apenas aos serviços de dados aos quais têm o privilégio de acesso; e que os serviços de dados não possam ser lidos, copiados, modificados ou removidos sem autorização durante o processamento.

2.4 Controles de Transmissão. Os provedores de serviços terceirizados deverão tomar medidas razoáveis para garantir que seja possível verificar e estabelecer a quais entidades se destina a transferência de serviços de dados por meio de instalações de transmissão de dados, para que os serviços de dados não possam ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão ou transporte eletrônico.

2.5 Controles de Entrada. Os provedores de serviços terceirizados deverão tomar medidas razoáveis para garantir que seja possível verificar e estabelecer se e por quem os serviços de dados foram inseridos nos sistemas de processamento de dados, modificados ou removidos; e, que qualquer transferência de serviços de dados para um provedor de serviços terceirizados seja feita por meio de uma transmissão segura.