Temos um Programa de Segurança da Informação em vigor que é comunicado em toda a organização. Nosso Programa de Segurança da Informação segue os critérios estabelecidos pelo Framework SOC 2. O SOC 2 é um procedimento de auditoria de segurança da informação amplamente conhecido criado pelo American Institute of Certified Public Accountants.

Nossa organização passa por avaliações independentes de terceiros para testar nossos controles de segurança e conformidade.

Realizamos um teste de penetração de terceiros independente pelo menos anualmente para garantir que a postura de segurança de nossos serviços não seja comprometida.

Os cargos e responsabilidades relacionados ao nosso Programa de Segurança da Informação e à proteção dos dados de nossos clientes são bem definidos e documentados. Nossos membros da equipe são obrigados a revisar e aceitar todas as políticas de segurança.

Nossos membros da equipe são obrigados a passar por treinamentos de conscientização em segurança abrangendo práticas padrão da indústria e tópicos de segurança da informação, como phishing e gerenciamento de senhas.

Todos os membros da equipe são obrigados a assinar e aderir a um acordo de confidencialidade padrão da indústria antes do primeiro dia de trabalho.

Realizamos verificações de antecedentes em todos os novos membros da equipe de acordo com as leis locais.

Todos os nossos serviços e armazenamento de dados são hospedados na Google Cloud Platform (GCP) e MUX. Ambos empregam um programa de segurança robusto com múltiplas certificações. Para mais informações sobre os processos de segurança de nossos provedores, por favor visite Segurança do GCP e MUX

Todos os nossos dados são hospedados em bancos de dados GCP e MUX. Esses bancos de dados estão todos localizados nos Estados Unidos. Consulte a documentação específica do fornecedor vinculada acima para mais informações.

Todos os bancos de dados são criptografados em repouso.

Nossos aplicativos criptografam em trânsito apenas com TLS/SSL.

Monitoramos ativamente e registramos vários serviços em nuvem.

Utilizamos os serviços de backup de nosso provedor de hospedagem de dados para reduzir qualquer risco de perda de dados em caso de falha de hardware. Utilizamos serviços de monitoramento para alertar a equipe em caso de falhas que afetem os usuários.

Temos um processo para lidar com eventos de segurança da informação que inclui procedimentos de escalonamento, mitigação rápida e comunicação.

Usamos sistemas de IA que exigem dados para análise, mas desativamos todas as permissões de treinamento de dados. Configuramos todas as configurações de privacidade para proteger os dados dos clientes. Para mais detalhes, consulte as políticas dos fornecedores a seguir: OpenAI Enterprise, OpenAI Trust e VertexAI

Utilizamos uma Rede Privada Virtual (VPC) para todos os serviços e dados que gerenciamos, isolando-os de outros usuários de nosso provedor de nuvem e da internet como um todo.

Dentro de nossa VPC, somos arquitetados como um ambiente compartilhado multi-inquilino. Os dados de vários clientes podem ser combinados em um único banco de dados ou conta de armazenamento em nuvem e processados em um recurso de computação compartilhado.

Para acesso do cliente por meio de nossa aplicação, a arquitetura de acesso aos dados de nosso serviço garante que os dados entregues fora de nossa VPC sejam limitados apenas ao que o usuário autenticado foi autorizado a acessar, com base nos papéis RBAC concedidos pelo cliente.

O acesso à infraestrutura em nuvem e outras ferramentas sensíveis é limitado a funcionários autorizados que necessitam dele para suas funções.

Onde disponível, utilizamos autenticação de dois fatores (2FA) e políticas de senhas fortes para garantir que o acesso aos serviços em nuvem seja protegido.

Seguimos o princípio do menor privilégio em relação à identidade e gerenciamento de acesso.

Realizamos revisões trimestrais de acesso de todos os membros da equipe com acesso a sistemas sensíveis.

Todos os membros da equipe são obrigados a seguir um conjunto mínimo de requisitos de senha e complexidade para acesso.

Todos os laptops emitidos pela empresa utilizam um gerenciador de senhas para que os membros da equipe possam gerenciar senhas e manter a complexidade das senhas.

Realizamos pelo menos avaliações anuais de riscos para identificar quaisquer ameaças potenciais, incluindo considerações sobre fraudes.

O risco do fornecedor é determinado e as revisões adequadas do fornecedor são realizadas antes de autorizar um novo fornecedor.