1. SEGURANÇA DOS PRODUTOS FORTICS

 

A Fortics atua de forma sistemática, preventiva e proativa e tem como preceito fundamental no desenvolvimento de seus produtos, a segurança, a proteção e a privacidade dos dados. Para isso trabalha com uma infraestrutura projetada para fornecer segurança em todo o ciclo de vida das informações. Nesse modelo de segurança priorizamos ações de privacidade e proteção de dados do usuário final, comunicações seguras entre serviços, além da comunicação particular e segura com clientes na Internet e com os respectivos administradores.

 

1.1 - PRIVACY BY DESIGN – PRIVACY BY DEFAULT

 

Nosso time de desenvolvimento segue o conceito de privacidade by design, tendo como padrão a privacidade e proteção dos dados. Com atitude proativa, nossos desenvolvedores inserem os elementos de privacidade desde a concepção do produto. Além do conjunto de práticas e políticas de compliance adotadas rigorosamente no desenvolvimento dos produtos da Fortics, em virtude da utilização e integração das tecnologias de alguns de nossos parceiros, herdamos também o conjunto de conformidades preconizados nas políticas de segurança e privacidade deles. 


1.2 - HOSPEDAGEM


Nossa plataforma funciona no modelo SaaS (Software as a Service). Tanto em relação a hospedagem quanto os serviços utilizam o Google Cloud Platform e MS Azure.


1.3 - SEGURANÇA EM NUVEM


Os ambientes utilizados pela Fortics para a prestação dos serviços atendem aos mais rígidos requisitos de segurança, os quais são auditados e certificados.


1.4 - POLÍTICA DE SENHAS


Nossa política de senhas preconiza a utilização senhas fortes que contenham números e letras, sem possibilidade de repetição, e um caractere especial e esta informação está disponível no (i) do campo Complexidade de senha.

Por padrão as configurações de Segurança de Senha são:

  • Tamanho mínimo de caracteres: 8
  • Tempo de expiração: 90 dias
  • Complexidade de senha: ativada
  • Histórico de senha: 6

 

1.5 - CRIPTOGRAFIA


O armazenamento dos dados utiliza o conceito de Data Lake (repositório de armazenamento e engine para processamento de grandes volumes de dados) criptografado onde o cliente tem autonomia sobre a chave sem a necessidade de ser reconhecido pela Fortics.


1.6 - ANONIMIZAÇÃO DOS DADOS


Os dados são anonimizados sempre que possível em respeito à privacidade. A anonimização, quando necessária, é realizada em razão de mapeamento dos dados sensíveis existentes nas bases relacionais.


1.7 - LOGS DE AÇÕES E TRILHA DE AUDITORIA


Nossa plataforma mantém, e permite uma auditoria de acessos e gestão dos log's do sistema e possuem as seguintes informações de registro:

  • IP; 
  • Login; 
  • Data / Horário; 
  • Sucesso / Falha; 


1.8 - RETENÇÃO DOS DADOS

 

O prazo de retenção de dados utilizados pela Fortics é de 05 anos. 


1.9 - WEB APPLICATION FIREWALL

 

Nosso ambiente está protegido por firewall de aplicação altamente escalonável (WAF - Web Application Firewall), que minimiza riscos de ataques e protege nossa infra contra ameaças e vulnerabilidades. 

 

1.10 - AUTENTICAÇÃO REMOTA

 

Utilizamos a Integração de Autenticação através do protocolo SAML 2.0. Ela é registrada no Cadastro de Servidores de Autenticação Remota e possui integração com o AD (Active Directory) e Google Identity. 

 

1.11 - REPOSITÓRIO DE CÓDIGO FONTE SEGURO


Todos os códigos fontes são armazenados em repositório seguro, com acesso autorizado utilizando autenticação integrada.

1.12 - BACKUPS


Os backups referentes aos bancos de dados de produção são realizados diariamente com retenção de 7 (sete) dias.


1.13 - PENTEST

 

A Fortics realiza a execução independente de Pentest (Testes de Penetração) com o objetivo de identificar fragilidades (vulnerabilidades) de cyber segurança no ambiente tecnológico que suporta seus processos de negócio, de modo a mapear os principais riscos que a organização possa estar exposta. Os testes são realizados semestralmente através de empresa independente e altamente especializada. 

 

1.14 - ANÁLISE ESTÁTICA DE CÓDIGO (SAST) E GESTÃO DE VULNERABILIDADES

 

Sempre comprometida com a segurança e privacidade, nosso time de desenvolvimento adota um pipeline de validações automatizadas que sempre passam por análise estática de código. Com esta ferramenta são avaliadas categorias de defeitos de software, entre eles: Code Smells, Vulnerabilidades, e Security Hotspots. 

São realizados testes de segurança a cada versão, sendo possível avaliar vulnerabilidades em aplicações, redes e serviços frente aos diferentes tipos de ataques de segurança: ataques de negação de serviço (DOS), SQL Injection, ataque man-in-the-middle (MITM) entre outros, e descobrir novas vulnerabilidades antes que sejam exploradas por atacantes.

 

2 – PROCESSO E CULTURA DA PRIVACIDADE


2.1 - GESTÃO DE INCIDENTES

 

A gestão de incidentes e acompanhamento das não conformidades são realizadas de acordo com as boas práticas e temos com referência as normas ISO/IEC 27001:2013 e ISO/IEC 27.701:2019.

 

2.2 – AMBIENTAÇÃO E TREINAMENTOS

 

Os colaboradores da Fortics assinam um contrato de confidencialidade e realizam treinamentos relacionados a confidencialidade e privacidade, bem como nosso treinamento no código de conduta. Nosso código de conduta trata especificamente das responsabilidades e do comportamento esperado em relação à proteção das informações.

 

2.3 – COMUNICAÇÃO

 

A equipe responsável pela Segurança da Informação utiliza os canais de comunicação interna da Fortics para manter todos os colaboradores informados sobre os temas relacionados à segurança buscando a conscientização e fomentando a cultura de privacidade e proteção de dados.

 

2.4 COMISSÃO DA PRIVACIDADE E PROTEÇÃO DE DADOS

 

A Fortics possui uma comissão responsável por assegurar a implementação e o acompanhamento de um programa robusto de Gestão de Segurança de Informação e Privacidade, atenta à necessidade de consolidação do seu Programa de Governança em Privacidade, nos termos da legislação vigente. 

 

3 - SEGURANÇA DO AMBIENTE

 

3.1 - ACTIVE DIRECTORY


O acesso ao ambiente de todas as estações utilizadas pelos colaboradores da Fortics é controlado e gerenciado através de um Active Directory.


3.2 - FIREWALL


Possuímos em nossas redes firewalls que executam bloqueio de acordo com potenciais riscos da plataforma. 


3.3 BLOQUEIOS


Análise de reputação de IPs são realizadas em cada request recebido pela plataforma, de maneira que uma requisição poderá ser bloqueada em razão dessa condição.


4 - SEGURANÇA DAS ESTAÇÕES E TRABALHO REMOTO


4.1 Instalação de softwares seguros


Impossibilidade de instalação de software sem o conhecimento da equipe da Segurança da Informação. Trabalhamos com a gestão de inventário de software instalado.

4.2 Antivírus


Todas as estações de trabalho da Fortics possuem antivírus instalados com gerência controlada por administração remota.


5 LINKS ÚTEIS


Links de informações complementares sobre os nossos produtos


Portal do Cliente

https://support.fortics.com.br/pt-BR/support/home

Política de Privacidade

https://www.fortics.com.br/politica-de-privacidade

Política de Cookies

https://www.fortics.com.br/politica-de-cookies

Declaração de Conformidade

https://www.fortics.com.br/declaracao-de-conformidade

Status Page

https://fortics.statuspage.io

Portal da Privacidade

https://www.fortics.com.br/portal-da-privacidade