Segurança Certificada na Bizneo HR

Revisamos nossos sistemas regularmente para identificar novos riscos e avaliar medidas implantadas de mitigação, realizando uma análise exaustiva pelo menos uma vez ao ano ou nos seguintes casos:

• Quando há mudanças nas informações.
• Quando há mudanças nos serviços.
• Se ocorrer um incidente de segurança grave.
• Se forem detectados problemas importantes de não conformidade em auditorias internas ou externas.
• Considerando mudanças na legislação.
• Se surgirem novos requisitos de qualidade.

• Nossa equipe de Segurança mantém-se atualizada sobre as últimas vulnerabilidades e patches para proteger nossa infraestrutura contra ataques, como os recentes ataques aos protocolos SSL.
• Dentro do nosso processo de desenvolvimento seguro, na fase de integração contínua, analisamos todas as vulnerabilidades recentes descobertas pelas principais comunidades de segurança de aplicações, como OWASP e SANS.
• Graças a uma monitoramento constante, conseguimos antecipar a detecção de vulnerabilidades, notificando formalmente os clientes sobre as mesmas.
• Temos, também, um canal dedicado para que, interna ou externamente, clientes possam notificar qualquer possível incidente (através do nosso canal de suporte ou pelo e-mail security@bineo.com).

• Toda a equipa do Bizneo HR deve conhecer e seguir nossa Política de Segurança da Informação. Organizamos sessões de conscientização anualmente e oferecemos treinamento contínuo em segurança.
• Cada colaborador assina a aceitação de uma política de confidencialidade no início de sua relação de trabalho com o Bizneo.
• Também avaliamos nossos fornecedores para garantir que cumpram nossos padrões, e eles devem assinar a aceitação de conformidade com os mesmos.

• Limitamos e controlamos o acesso aos nossos sistemas e dados. Definimos quem e em que medida pode acessar os recursos, assegurando que somente o pessoal autorizado tenha o acesso necessário para realizar suas tarefas.
• O Sistema de Segurança da Informação implementado no Bizneo segue o Princípio do Mínimo Privilégio, segundo o qual os usuários do sistema recebem apenas os níveis (ou permissões) mínimos de acesso necessários para desempenhar suas funções, com o objetivo de restringir o acesso a informações e recursos exclusivamente ao que for estritamente necessário para cumprir uma tarefa específica.
• Esse princípio de mínimo privilégio garante que cada parte (seja um processo, um usuário ou um programa) só possa acessar o que é essencial para seu propósito legítimo, não concedendo privilégios desnecessários.
• Ao limitar os privilégios, reduzimos a exposição a ciberataques e evitamos a “acumulação de privilégios”.

• Dispomos de autoescalonamento automático por meio do Kubernetes, o que nos permite responder em poucos segundos a altas demandas de tráfego (aumentando rapidamente o número de servidores).
• O autoescalonamento está presente tanto nos servidores da aplicação quanto naqueles responsáveis por processar as informações de nossos clientes.
• Com essas e outras medidas, conseguimos uma disponibilidade superior a 99,5%; nos últimos meses, foi praticamente de 100%.

• As aplicações oferecidas pelo Bizneo S.L como SaaS são executadas e hospedadas integralmente em serviços da Amazon Web Services (AWS).
• Os serviços AWS utilizados são certificados em ISO 27001, PCI-DSS Compliance, SOC 1 e SOC 2/SSAE, entre outros.

Mais informações sobre a segurança da AWS aqui.

• Bizneo depende dos sistemas de informação. Por isso, tomamos as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, integridade, confidencialidade, autenticidade ou rastreabilidade das informações tratadas e dos serviços prestados.
• Desenvolvemos procedimentos adequados, assim como políticas para o manejo e tratamento das informações, implementando medidas de criptografia e proteção para assegurar a segurança das informações em todos os momentos, tanto durante o armazenamento quanto no transporte.
• Nossa base de dados (BBDD) conta com controles de confidencialidade e integridade para manter os dados armazenados em segurança. Esses mecanismos são implementados em nossos servidores, utilizando algoritmos de criptografia AES-256 GCM.
• Da mesma forma, para acesso aos dados em trânsito, as informações são sempre criptografadas por https (com os protocolos SSL correspondentes: TLS 1.2 e 1.3).
• Para a gestão de chaves, utilizamos o serviço gerenciado da AWS chamado KMS. Na geração de chaves, contamos com um módulo de segurança de hardware (HSM) que possui um gerador de bits aleatórios determinístico (DRBG validado pelo FIPS), alimentado por um gerador de números verdadeiramente aleatórios (TRNG) no módulo de hardware HSM que atende aos requisitos da norma SP800-90B. - Este é um recurso de entropia de alta qualidade capaz de produzir 20 Mb/s de entropia por HSM

Backup: O Bizneo mantém um sistema de backup para melhorar a segurança de todas as configurações e dados de nossos clientes, além de minimizar o tempo de reação frente a um problema. Este sistema de backup possui as seguintes características principais:

• Periodicidade e duração: Configuramos backups completos diários automáticos. Além disso, mantemos um backup do banco de dados por pelo menos 1 ano.
• Tipo de Backup: Snapshots da AWS, são dumps diários realizados durante a noite e armazenados em armazenamento de longa duração com criptografia em repouso. Point In Time Recovery.
• Armazenamento de arquivos: Nunca armazenamos arquivos no banco de dados. Eles são guardados no S3, onde a própria AWS oferece suporte e backup dos arquivos. Todos os arquivos são armazenados em buckets S3 com a configuração apropriada de backup, cópias, etc. Ou seja, os dados e os arquivos são armazenados separadamente.
• Testes de recuperação: Semanalmente, estas cópias de segurança são implantadas em ambientes controlados, garantindo sua funcionalidade.
• Plataforma de backup e proteção: O backup completo é gerenciado dentro da AWS, onde é criptografado (tanto em repouso - AES-256 - quanto em trânsito - https com TLS 1.2 e 1.3).

Recuperação: A empresa estabeleceu um procedimento para lidar com interrupções nas atividades empresariais e proteger os processos críticos contra falhas importantes nos sistemas de informação, assegurando sua restauração imediata. Para isso, implementou um plano de continuidade de negócios para reduzir o impacto sobre a infraestrutura do Bizneo e, consequentemente, sobre a empresa, além de garantir a recuperação de ativos de informação (sejam eles afetados por acidentes, falhas de equipamento ou atos deliberados). Dessa forma, os processos do departamento atingem um nível aceitável de continuidade por meio de medidas de recuperação corretivas e preventivas.

• A empresa realizou uma análise completa de riscos e obteve resultados que fundamentam a definição da gestão destes. Essa análise permite entender o impacto da perda de disponibilidade dos ativos, determinando sua criticidade e a probabilidade de uma ameaça se concretizar, explorando vulnerabilidades técnicas ou procedimentais, além de identificar as interdependências entre eles.
• Com esses resultados, são consideradas situações que poderiam causar a interrupção da continuidade da empresa. Diferentes cenários são planejados, obtendo-se uma escala de efeitos para os quais são definidas respostas, considerando os controles implementados para resolver as interrupções.
• Entre outras características, nossa infraestrutura pode ser implantada em qualquer região da Europa. Nosso backup diário pode ser restaurado em outra instância AWS em menos de 1 dia (em caso de desastre na nossa instância principal: EU-WEST-1)

• A metodologia de desenvolvimento usada pelo Bizneo é o S-SDLC (Secure Software Development Life Cycle), que incorpora os requisitos de segurança em todas as fases do desenvolvimento do software, desde a definição até a verificação antes da implantação.
• Isso garante que as medidas preventivas para a segurança da informação e dos sistemas sejam consideradas desde as fases iniciais de desenvolvimento, reduzindo a fricção e o custo de implementação.
• Os pilares dessa metodologia incluem atenção aos detalhes, identificação precoce de vulnerabilidades (acompanhando as publicações mais recentes das principais comunidades de segurança, como OWASP) e melhoria contínua durante o ciclo de desenvolvimento.

• O Bizneo, em matéria de segurança, cumpre o que está estabelecido no âmbito da comunidade internacional, conforme comprovado por nossas certificações ISO 27001 e ENS.
• Além disso, para fornecer mais evidências disso, submetemo-nos a testes de invasão externos (pentests) pelo menos uma vez ao ano. Os resultados são analisados minuciosamente para implementar as ações necessárias em um mundo em constante mudança como o da cibersegurança.
• Também estamos abertos a que nossos clientes realizem suas próprias baterias de testes de invasão contra o Bizneo, caso necessário. Nesse caso, é recomendável notificar o Bizneo para evitar que as conexões sejam bloqueadas inicialmente por serem consideradas um ataque direto

• Estamos totalmente comprometidos em desenvolver, implementar, manter e melhorar continuamente nossa Política de Segurança e o Sistema de Gestão da Segurança da Informação (SGSI), assegurando uma melhoria constante em nossas práticas de segurança.