Medidas Técnicas e Organizacionais (TOMs)

1. Confidencialidade

1.1 Controle de Acesso Físico

Estão em vigor medidas para impedir que indivíduos não autorizados acedam aos sistemas de processamento de dados utilizados para processar dados pessoais.

Medidas Técnicas	Prédio e escritório trancados acesso biométrico Sistema de travamento manual Portas com sistema de travamento automático Pessoal de segurança Videovigilância de entrada Nenhum servidor de produção no local
Medidas Organizacionais	Lista de verificação de regulamentação principal Recepção com Pessoal de Segurança Livro de Visitantes Crachá de Funcionário/Visitante Visitante acompanhado de funcionário Política de Segurança da Informação Controle de acesso às instruções de trabalho

Embora a Vtiger priorize a segurança dos dados, é importante reconhecer o modelo de responsabilidade compartilhada na computação em nuvem. Vtiger utiliza provedores de serviços de nuvem (CSPs), como AWS, DigitalOcean e OV para fornecer recursos de nuvem. Esses CSPs protegem a infraestrutura subjacente e mantêm controles de segurança robustos. Mais detalhes sobre como os controles de segurança do ISP podem ser encontrados aqui.

1.2 Controle de Acesso Lógico

Estão em vigor medidas de segurança para impedir o acesso não autorizado aos sistemas de processamento de dados.

Medidas Técnicas

Faça login com um nome de usuário e senha forte
firewall
Sistemas de detecção de intrusão
Use VPN para acesso remoto
Criptografia de discos, dispositivos/laptops/tablets
Autenticação de dois fatores
Bloqueio automático de desktop/laptop
Software antivírus instalado em dispositivos e servidores
O acesso é monitorado e registrado
Bloqueio automático de conta quando logins/autenticações malsucedidas
Todas as atividades de uso e alterações de dados são registradas

Medidas Organizacionais

Gerenciamento de permissões de usuário, incluindo autorização baseada em função
Criação de perfis específicos de usuário
Política de Segurança da Informação
Política de Senha
Política de dispositivos móveis
Instruções de trabalho: SOP de segurança de TI e controle de acesso de funcionários
Verificação de funcionários
Formação e Consciência
Princípio De Minimis

Acesso de funcionários Vtiger e controle de clientes

Os funcionários da Vtiger podem acessar produtos Vtiger e dados de clientes somente por meio de interfaces seguras. Esse acesso é concedido somente quando os clientes o habilitam explicitamente em suas configurações. As solicitações de acesso total são meticulosamente registradas para fins de auditoria.

A Vtiger limita o acesso de funcionários a funcionários específicos conforme a necessidade, garantindo que apenas indivíduos autorizados possam visualizar os dados do cliente por motivos legítimos. O aplicativo do cliente é acessado para:

Fornecendo suporte ao cliente
Solução de problemas técnicos enfrentados pelos clientes
Identificando e respondendo a possíveis ameaças à segurança

1.3 Controle de Autorização

Estão em vigor medidas para garantir que apenas indivíduos autorizados possam aceder ao sistema de processamento de dados. Os dados pessoais não podem ser lidos, copiados, modificados ou removidos sem a devida autorização durante o processamento, uso e armazenamento.

Medidas Técnicas	Exclusão física de suportes/dispositivos de dados Acesso criptografado SSH Criptografia SSL certificada Destrua arquivos e papéis que não estão mais em uso Exclusão automática de backups do arquivamento após o período de retenção ou quando o cliente solicitar Registo de acessos a aplicações, nomeadamente ao inserir, alterar e eliminar dados
Medidas Organizacionais	Política de Segurança da Informação Minimize as funções de administrador Gerenciamento de direitos de usuário por administradores Instruções de trabalho sobre como lidar com as informações e ativos

1.4 Controle de Separação

São implementadas medidas para práticas rigorosas de segregação de dados para garantir que os dados coletados para diferentes fins permaneçam isolados. Isto inclui a separação lógica, onde os dados são categorizados e armazenados em seções distintas dentro do sistema, e potencialmente a separação física, onde os dados são armazenados em hardware totalmente diferente.

Medidas Técnicas	Separação física (sistemas/bancos de dados/suportes de dados) Multilocação de aplicativos relevantes O aplicativo cliente e os dados são separados logicamente Preparação do ambiente de desenvolvimento, teste e produção
Medidas Organizacionais	Política de Segurança da Informação Política de proteção de dados Controle via conceito de autorização Instruções de trabalho para: Segurança operacional e Segurança no desenvolvimento e teste de software

1.5 Controle de criptografia

São implementadas medidas para proteger os dados em trânsito e em repouso, usando metodologia avançada.

Medidas Técnicas

Criptografia de dados em trânsito (em movimento)

Implementação dos protocolos Transport Layer Security (TLS 1.2 e superior) e Secure Sockets Layer (SSL) para todas as transmissões de dados.
Esses protocolos criptografam os dados à medida que viajam entre os sistemas, tornando-os ilegíveis para qualquer pessoa que os intercepte.

Criptografia de dados em repouso (armazenada)

Discos de armazenamento: criptografados com criptografia em nível de disco
Dados confidenciais: criptografados com AES-256 (padrão de criptografia avançado de 256 bits)
Gerenciamento de chaves: AWS Key Management Service (KMS)
Backups: criptografados com AES-256 no AWS S3
Mascaramento de dados: detalhes específicos do cliente são ofuscados.

Medidas Organizacionais

Rotação de chaves: Rotação regular de chaves de criptografia usadas para dados e backups para minimizar o risco associado a uma chave comprometida.
Controle de acesso: restrinja o acesso às chaves de criptografia a um número limitado de pessoal autorizado com uma estrita necessidade de conhecimento.
Auditoria: mantenha registros detalhados de uso de chaves para monitorar o acesso e identificar possíveis anomalias.

2. Integridade

2.1 Controle de transferência

Estão em vigor medidas para impedir o acesso não autorizado aos dados pessoais durante a transmissão eletrónica ou enquanto armazenados em dispositivos de armazenamento de dados, garantindo que não possam ser lidos, copiados, alterados ou removidos.

Medidas Técnicas	Uso de VPN Registro de acessos e recuperações Fornecimento por meio de conexões criptografadas, como SFTP, HTTPS e armazenamentos seguros na nuvem
Medidas Organizacionais	Levantamento dos processos regulares de recuperação e transmissão Seleção cuidadosa de pessoal e veículos de transporte Transferência pessoal com protocolo Política de Segurança da Informação Política de proteção de dados

2.2 Controle de entrada

As medidas estão em vigor para verificar e analisar quem inseriu, modificou ou removeu dados pessoais dos sistemas de processamento de dados. O log controla a entrada em diferentes níveis, como sistema operacional, rede, firewall, banco de dados e aplicativo.

Medidas Técnicas	Registro técnico de entrada, modificação e exclusão de dados Controle manual ou automatizado dos logs (de acordo com rigorosas especificações internas)
Medidas Organizacionais	Levantamento de quais programas podem ser usados para inserir, alterar ou excluir quais dados Rastreabilidade da entrada, modificação e exclusão de dados por meio de nomes de usuários individuais Atribuição de direitos para inserir, alterar e excluir dados com base em um conceito de autorização Responsabilidades claras para exclusões Política de Segurança da Informação

3. Disponibilidade e resiliência

3.1 Controle de Disponibilidade

Estão em vigor medidas para proteger os dados pessoais contra destruição ou perda acidental (por exemplo, UPS, ar condicionado, protecção contra incêndios, cópias de segurança de dados, armazenamento seguro em suportes de dados).

Medidas Técnicas

Um mínimo de 99.9% de tempo de atividade (excluindo manutenção programada nas noites de fim de semana).
Disponibilidade Contínua de Dados
Sistemas de detecção de incêndio e fumaça
Sala de servidores de extintores de incêndio
Temperatura e umidade do monitoramento da sala do servidor
Ar condicionado da sala de servidores
Sistema UPS e geradores diesel de emergência
Tiras de proteção de tomadas na sala do servidor
Sistema RAID / espelhamento de disco rígido
Sala de servidores de videovigilância

Medidas Organizacionais

Conceito de backup
Existência de um plano de emergência
Armazenamento de backup externo
Separação de SO e partições de dados, se necessário

3.2 Controle de Recuperabilidade

Estão em vigor medidas para restaurar rapidamente o acesso aos dados pessoais em caso de incidente físico ou técnico.

Medidas Técnicas	Monitoramento e relatórios de backup Restaurabilidade de ferramentas de automação Conceito de backup de acordo com a criticidade e especificações do cliente
Medidas Organizacionais	Plano de Recuperação de Desastres Controle do processo de backup Testes regulares de recuperação de dados e registro de resultados Armazene a mídia de backup em um local seguro fora da sala do servidor Existência de um plano de emergência

4. Procedimentos para revisão, avaliação e avaliação regulares

4.1 Gestão de Proteção de Dados (DPM)

O Gerenciamento de Proteção de Dados (DPM) abrange uma estratégia abrangente e um conjunto de práticas para proteger, gerenciar e proteger informações confidenciais durante todo o seu ciclo de vida. Isto inclui controlar o acesso, prevenir o uso não autorizado e garantir a recuperação de dados em caso de incidentes.

Medidas Técnicas

Documentação central de todos os regulamentos de proteção de dados com acesso para funcionários
Certificação de segurança de acordo com ISO 27001
Uma revisão da eficácia dos TOMs é realizada pelo menos anualmente, e os TOMs são atualizados

Medidas Organizacionais

É nomeado um responsável pela proteção de dados (DPO).
Todos os funcionários foram treinados e estão obrigados a manter a confidencialidade e o sigilo dos dados. Eles recebem treinamento regular de conscientização pelo menos uma vez por ano.
As Avaliações de Impacto na Proteção de Dados (AIPD) são realizadas conforme necessário.
Foram estabelecidos processos para cumprir as obrigações de informação conforme os Art. 13 e 14 do RGPD.
Está em vigor um processo formalizado para tratar pedidos de informações dos titulares dos dados.
Os aspectos de proteção de dados estão integrados à nossa gestão de riscos corporativos.
Partes importantes da empresa, incluindo operações de data center, são certificadas pela ISO 27001 e são realizadas auditorias anuais de monitoramento.

4.2 Gestão de Resposta a Incidentes

Estão em vigor medidas para apoiar a resposta a violações de segurança e o processo de violação de dados.

Medidas Técnicas

Uso de firewall e atualização regular
Uso de filtro de spam e atualização regular
Uso de antivírus e atualização regular
Sistema de detecção de intrusão (IDS) para sistemas do cliente sob encomenda
Sistema de prevenção de intrusões (IPS) para sistemas do cliente sob encomenda

Medidas Organizacionais

Um processo documentado para identificar e relatar incidentes de segurança e violações de dados, incluindo obrigações de reportar às autoridades supervisoras
O procedimento padrão para lidar com incidentes de segurança envolvendo o Encarregado de Proteção de Dados (DPO)
Documentar incidentes de segurança e violações de dados usando o sistema interno de tickets
O processo padrão para acompanhamento de incidentes de segurança e violações de dados
Política de notificação de violação

4.3 Proteção de dados desde o projeto e por padrão

Estão em vigor medidas para cumprir os princípios de proteção de dados desde a conceção e por defeito, de acordo com o artigo 25.º do RGPD.

Medidas Técnicas

Aprovação de aplicativos de terceiros: A aprovação dos líderes de equipe e gerentes de operações de TI é necessária para todos os aplicativos de terceiros usados no desenvolvimento.
Fonte de download segura: obrigue downloads de ferramentas de desenvolvimento apenas de fontes seguras, como servidores de fabricantes.
Single Sign-On (SSO): Implemente o SSO sempre que possível para que aplicativos de terceiros gerenciem o acesso centralmente.
Desativação de aplicativos menos seguros: desative aplicativos de terceiros menos seguros por padrão por meio das configurações do administrador.

Medidas Organizacionais

Design consciente da privacidade: Incentive o desenvolvimento de produtos que minimizem a quantidade de dados que os usuários são obrigados a inserir. Evite campos de dados desnecessários ou torne-os opcionais.
Configurações de privacidade padrão: pré-selecione configurações de privacidade por padrão para priorizar a proteção dos dados do usuário.
PbD: Política de Proteção de Dados (inclui princípios “privacidade desde a concepção/por defeito”)

4.4 Controle de pedidos (terceirização, subcontratados e processamento de pedidos)

Estão em vigor medidas para garantir que os dados pessoais tratados em nome do cliente apenas sejam tratados de acordo com as instruções do cliente.

Medidas Técnicas

Monitoramento de acesso remoto por partes externas, por exemplo, no contexto de suporte remoto
Acompanhamento dos subcontratados em conformidade.

Medidas Organizacionais

Processar os dados de acordo com as instruções do cliente
Criar instruções de trabalho para gerenciamento e avaliação de fornecedores
Cumpra os regulamentos relativos ao uso de subcontratados adicionais
Selecione cuidadosamente os subprocessadores, concentrando-se principalmente na proteção e segurança de dados
Celebrar acordos de processamento de dados necessários, como processamento encomendado ou cláusulas contratuais padrão da UE
Garantir que os funcionários da contratada mantenham o sigilo dos dados e cumpram a Política de Segurança da Informação
Certifique-se de destruir os dados após o término do contrato.