Plataforma integrada com WhatsApp Business API. Saiba mais !

Políticas de Segurança

Como o TalkAll é oferecido como serviço (SaaS), nenhuma infraestrutura é necessária ao cliente, nós lidamos com a infraestrutura para garantir que seus dados estejam seguros. Sem dores de cabeça ao instalar hardware ou software, as empresas que usam o TalkAll, podem se concentrar no suporte a seus clientes.

Principais razões e vantagens pelas quais oferecemos o TalkAll como serviço (SaaS):

  • Redundância e alta disponibilidade das informações.

  • Escalabilidade dinâmica da infraestrutura que permite atender aos picos de demanda.

  • Acesso a atualizações frequentes no aplicativo.

  • Altos níveis de segurança e prevenção de desastres.

  • Informações criptografadas.

  • SLA 99,9%

Compromisso de confiança da TalkAll

A confiança é um princípio central do TalkAll. Temos o compromisso de criar sistemas confiáveis ​​e seguros dos quais você pode confiar para seus negócios. E estamos comprometidos com a transparência em torno de nossas operações e a Lei geral de proteção de dados (LGPD).

Conformidade e auditoria da estrutura de segurança

O TalkAll utiliza o Azure Web Services (Microsoft) para nossa infraestrutura de computação. A Azure obteve a certificação ISO 27001 e concluiu com êxito várias auditorias SSAE 16. Para obter mais detalhes sobre a segurança da Azure, consulte https://azure.microsoft.com/en-us/product-categories/security/.

Segurança física das instalações

Os funcionários da TalkAll não têm acesso físico de nenhum tipo às nossas instalações de produção, pois toda a nossa infraestrutura está na nuvem da Azure. A Microsoft tem muitos anos de experiência no design, construção e operação de data centers em larga escala. Essa experiência foi aplicada à plataforma e infraestrutura da Azure.

Os datacenters da Azure estão alojados em instalações indescritíveis, e locais críticos possuem extensos berços de controle de perímetro e de nível militar, além de outra proteção natural de limites. O acesso físico é estritamente controlado tanto no perímetro quanto nos pontos de entrada da construção pela equipe de segurança profissional que utiliza vídeo vigilância, sistemas de detecção de intrusões de última geração e outros meios eletrônicos. A equipe autorizada deve passar pela autenticação de dois fatores pelo menos três vezes para acessar os andares do datacenter do Azure Web Services Security.

Todos os visitantes e contratados são obrigados a apresentar identificação e são assinados e acompanhados continuamente por pessoal autorizado. A Azure fornece apenas acesso e informações ao centro de dados para funcionários que tenham uma necessidade comercial legítima desses privilégios. Quando um funcionário não tem mais uma necessidade comercial desses privilégios, seu acesso é imediatamente revogado, mesmo se continuar sendo funcionário da Microsoft ou da Azure Web Services. Todo acesso físico e eletrônico dos funcionários da Azure aos centros de dados é registrado e auditado rotineiramente.

Segurança de rede

Implementamos uma nuvem privada virtual (VNet), permitindo o provisionamento de uma seção isolada da nuvem Azure Web Services, na qual podemos iniciar recursos em uma rede virtual. Temos controle total sobre nosso ambiente de rede virtual, incluindo seleção de seu próprio intervalo de endereços IP, criação de sub-redes e configuração de tabelas de rotas e gateways de rede. A implementação de VNet também nos permite personalizar nossa configuração de rede com recursos em uma sub-rede pública e colocar nossos sistemas de back-end, como bancos de dados ou servidores de aplicativos em uma sub-rede privada sem acesso à Internet. Também temos várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso à rede, para controlar o acesso a cada sub-rede.

O firewall está configurado no modo de negação padrão e o TalkAll abre explicitamente as portas para permitir o tráfego de entrada. O tráfego pode ser restrito pelo protocolo, pela porta de serviço e também pelo endereço IP de origem (bloco individual de IP ou CIDR). O firewall está configurado para permitir apenas a conectividade mínima absoluta necessária para fornecer os serviços do TalkAll. A rede da Azure fornece proteção significativa contra problemas de segurança de rede tradicionais.

Segurança do Host

A equipe do data center monitora sistemas e equipamentos elétricos, mecânicos e de suporte à vida, para que os problemas sejam identificados imediatamente. A manutenção preventiva é realizada para manter a operabilidade contínua do equipamento. Estamos aproveitando a Azure para toda a nossa infraestrutura de computação. A Azure possui o hardware físico. A Azure fornece grupos de segurança para limitar o acesso aos dispositivos. Utilizamos totalmente grupos de segurança para limitar o acesso aos nossos recursos de computação. Nosso ambiente de produção é completamente separado dos outros ambientes, incluindo desenvolvimento e controle de qualidade.

Segurança de aplicativos

ANALISE DE VULNERABILIDADE / TESTE DE PENETRAÇÃO Temos fornecedores terceirizados que verificam e monitoram periodicamente nossos aplicativos e rede para encontrar vulnerabilidades. Isso nos ajuda a evitar possíveis problemas de segurança em nossos aplicativos, servidores e camadas de rede. Os scanners incluem:

  • Examine os aplicativos da Web para procurar vulnerabilidades de segurança conhecidas, incluindo scripts entre sites ou injeção de SQL.

  • Examine também configurações inseguras do servidor.

  • Teste a autenticação através de vários métodos, incluindo Basic, Digest, Kerberos ou NTLM.

  • Teste as injeções de banco de dados comumente conhecidas contidas nas php, jsp, asp SQL e XPath Injections.

  • Digitalize o código binário (também conhecido como código "compilado" ou "byte") que pode conter vulnerabilidades conhecidas.

Criptografia

Implementamos criptografia via SSL em nosso aplicativo. Ao usar a criptografia, minimizamos as chances de alguém possivelmente interceptar combinações de nome de usuário / senha e / ou outras informações confidenciais. As áreas em que utilizamos o SSL incluem:

  • Todos os logins de aplicativos exigem SSL. Qualquer área que exija que um usuário efetue login em nosso sistema também exige que o SSL seja usado.

  • As interfaces administrativa, usuário, analítica e API aproveitam e exigem SSL por toda parte.

Políticas de armazenamento e retenção de dados

Os dados geralmente são armazenados em um banco de dados MySQL. Todos os dados (exceto senhas e cadeias de autenticação) são criptografados. O banco de dados MySQL de produção é configurado com alta disponibilidade com dados replicados para várias instâncias redundantes.

O backup do banco de dados é feito todas as noites, com cópias de backup criptografadas sendo enviadas para proteger o armazenamento externo. Além do uso desses dados na produção, também ocasionalmente pegamos uma cópia dos dados e os carregamos em nossos ambientes de teste. Essas cópias são removidas de qualquer informação sensível ou de identificação pessoal antes de serem usadas para fins de teste ou desenvolvimento.

Políticas de Gerenciamento de Incidentes

Implementamos mais de três mil verificações de serviço, algumas das quais são executadas a cada minuto, o que rapidamente nos alertará sobre atividades anormais. Todos os eventos do sistema são registrados em um serviço de registro central e quaisquer eventos incomuns são sinalizados para revisão por um membro da equipe de operações.

Todas as ações do usuário são registradas em um log de acesso seguro que registra as informações do usuário, registro de data e hora, endereço IP, navegador e recurso acessado. Essas informações podem ser recuperadas mais rapidamente, caso seja necessária uma investigação forense. Nós planejamos sempre notificando nossos clientes sobre incidentes de segurança assim que for seguro e prudente e compartilhará todas as informações relevantes para permitir que nossos clientes tomem as ações necessárias.

Acesso aos dados do cliente

A equipe da TalkAll não acessa ou interage com dados ou aplicativos do cliente como parte das operações normais. Pode haver casos em que a TalkAll é solicitada a interagir com dados ou aplicativos do cliente, a pedido do cliente para fins de suporte ou quando exigido por lei. Os dados do cliente são controlados por acesso e todo o acesso da equipe da TalkAll é acompanhado pela aprovação do cliente ou mandato do governo, motivo do acesso, ações executadas pela equipe e horário de início e término do suporte.