Política de segurança dos serviços na nuvem prestados pela NUMINTEC
O presente documento estabelece as políticas e medidas técnicas e organizacionais que se aplicam aos serviços na nuvem prestados pela NUMINTEC.
1. MEDIDAS DE SEGURANÇA GERAIS
POLÍTICAS DA ORGANIZAÇÃO
Política de segurança e privacidade da informação
Existe uma política de segurança da informação e proteção de dados pessoais publicada e do conhecimento de todo o pessoal e colaboradores
Diretor de segurança
A NUMINTEC nomeou um diretor de segurança da informação (“CISO”) como responsável pela coordenação e supervisão das políticas, regulamentos e procedimentos de segurança. As suas responsabilidades incluem a definição das políticas de segurança da informação, a verificação do cumprimento destas políticas, a avaliação de riscos para a segurança da informação, a determinação das medidas técnicas e organizacionais necessárias para mitigar os riscos e a supervisão do desempenho dos controlos implementados.
Funções e responsabilidades em termos de segurança da informação e proteção da privacidade
As funções e responsabilidades em termos de segurança da informação e proteção da privacidade estão definidas e atribuídas apropriadamente dentro da organização. O pessoal da NUMINTEC que gere os serviços que contêm dados do cliente está sujeito a obrigações de confidencialidade e ao regulamento de segurança da informação e proteção dos dados pessoais.
Programa de gestão de riscos
No âmbito do sistema de gestão da segurança da informação, existe um plano de avaliação e tratamento de riscos da segurança da informação, que é revisto periodicamente.
Avaliação contínua
A NUMINTEC realiza uma verificação e avaliação periódica da eficácia das medidas técnicas e organizacionais implementadas para proteger a segurança da informação nos sistemas de tratamento, centros de trabalho e utilizadores que os utilizam. Esta avaliação e revisão realiza-se de acordo com o critério das normas de segurança da indústria, e as próprias políticas e procedimentos determinados pelo sistema de gestão da segurança da informação.
Política de segurança e privacidade dos prestadores
Existe um processo formal que permite avaliar o cumprimento dos requisitos de segurança da informação e proteção da privacidade que devem ser cumpridos pelos prestadores que tratam informações e dados pessoais. O acesso dos prestadores à informação é apenas dado quando existe uma necessidade legítima que justifique esse acesso.
PESSOAL E COLABORADORES
Responsabilidades
Além disso, todo o pessoal da NUMINTEC se comprometeu a cumprir e a fazer cumprir as políticas e regulamentos de segurança da informação da empresa.
Acordo de confidencialidade
Todo o pessoal e colaboradores da NUMINTEC assinam um documento de carácter contratual, mediante o qual se comprometem a manter em segredo e a garantir a confidencialidade e segurança em relação aos dados a que possam ter acesso, devido à sua responsabilidade laboral, contratual ou de qualquer outro tipo. Será considerada informação confidencial qualquer informação (comercial, técnica, administrativa ou outras) da NUMINTEC e dos seus clientes, sobre as suas questões comerciais, tecnológicas, de maquinaria, processos, produtos, planos, instalações e filiais, que, antes de ser recebida pelo trabalhador ou trabalhadora, não era do seu conhecimento ou estava em seu poder sem obrigação de confidencialidade.
Regulamento interno de segurança da informação
Existe um regulamento de segurança da informação, proteção de dados pessoais e utilização dos meios informáticos que todo o pessoal e colaboradores se comprometeu a cumprir. Esse documento inclui a advertência de que a violação de tais obrigações constitui uma falta grave de indisciplina ou desobediência no trabalho e, portanto, será alvo de sanção.
Formação e sensibilização
Todo o pessoal da NUMINTEC recebe formação adequada em relação à segurança da informação e à proteção de dados pessoais. Também são realizadas atividades e ações de sensibilização periódicas dirigidas a todo o pessoal
Regras para a utilização dos sistemas de informação
O regulamento de segurança da informação estabelece as regras para a utilização aceitável dos sistemas de informação e equipamentos que o pessoal tem à sua disposição.
Proibição da utilização pessoal dos equipamentos da empresa
Estabeleceu-se que não é permitida a utilização dos computadores e dispositivos destinados ao tratamento da informação empresarial e dos dados pessoais para fins particulares. Também não é permitido o acesso a informação empresarial a partir de equipamentos pessoais.
SEGURANÇA NO POSTO DE TRABALHO
Equipamentos sem utilizador
Foi criado um mecanismo que procede ao bloqueio do ecrã ou ao encerramento da sessão quando um equipamento fica sem utilizador.
Informação na nuvem
A NUMINTEC trata toda a informação através de serviços na nuvem, pelo que não é armazenada informação sensível nos equipamentos de trabalho.
Teletrabalho seguro
Foi definida uma política para que o teletrabalho possa ser realizado de forma segura. Toda a atividade da Numintec pode ser realizada em modalidade de teletrabalho.
Guarda da documentação
Foi criado um regulamento para que não fique, em nenhum momento, documentação em papel ou suportes de informação no posto de trabalho sem estarem guardados.
Segurança nos dispositivos móveis
Foi definida uma política para proteger a utilização de dispositivos móveis e a informação que possam conter.
ACESSO AOS SISTEMAS
Política de controlo de acessos
A NUMINTEC mantém uma política de controlo de acessos que determina os direitos de segurança das pessoas que têm acesso à informação sob o princípio de direito mínimo.
Autorização de acesso
Existe um processo formal para gerir as autorizações, registos, cancelamentos e modificações dos acessos dos utilizadores aos sistemas.
Contas individuais
Cada pessoa utiliza uma conta de utilizador individual e intransferível.
Direito mínimo
A NUMINTEC definiu e aplica uma política de acesso mínimo por defeito, garantindo que o pessoal e colaboradores apenas têm acesso à informação necessária para desempenhar as tarefas do seu posto de trabalho
Contas com acesso privilegiado
Para realizar tarefas de administração e configuração dos sistemas utilizam-se contas de acesso nominais com direitos privilegiados que são diferentes e separadas das contas de uso comum dos sistemas.
Autenticação
A NUMINTEC utiliza práticas normalizadas do setor para identificar e autenticar os utilizadores que tentem aceder aos sistemas de informação. Para aceder a redes mais expostas ou para a administração de sistemas utilizam-se sistemas de autenticação de dois fatores. Todos os sistemas incluem controlos para evitar as tentativas reiteradas de conseguir aceder aos sistemas de informação através de uma palavra-passe inválida.
Segurança das palavras-passe
É garantida a existência de políticas de palavras-passe (ou mecanismos equivalentes) para o acesso aos sistemas e aplicações que cumpram, no mínimo, com o seguinte:
● comprimento da palavra-passe: mínimo de 8 carateres;
● renovação periódica das palavras-passe;
● requisitos de complexidade das palavras- passe; e
● limites à reutilização de palavras-passe.
Confidencialidade das palavras-passe
Existe um regulamento para assegurar a confidencialidade das palavras-passe, evitando que fiquem expostas ou sejam partilhadas com terceiros. Internamente, todas as palavras-passe são guardadas aplicando algoritmos de encriptação irreversíveis.
Registos de acessos
É mantido e supervisionado um registo dos acessos e tentativas de acesso aos sistemas
ATIVOS DE TRATAMENTO DA INFORMAÇÃO
Inventário de ativos
A NUMINTEC dispõe de um inventário dos sistemas e equipamentos utilizados no tratamento da informação, com a informação da pessoa que é responsável por esse equipamento.
Eliminação e reutilização segura
Foram definidos processos formais para a eliminação e/ ou reutilização segura dos equipamentos de tratamento da informação.
Manutenção dos equipamentos
Os sistemas e equipamentos utilizados para o tratamento da informação têm a devida manutenção e atualização
Proteção contra malware
Os equipamentos nos quais se processa ou armazena informação dispõem de proteção antimalware permanentemente ativa e atualizada.
Atualização do software
Todo o software que se utiliza para o tratamento da informação está devidamente atualizado e sem vulnerabilidades graves conhecidas.
Hardening dos sistemas
Foram aplicadas medidas de hardening dos sistemas, tais como, entre outras:
● ter apenas abertas as portas indispensáveis;
● desativar todos os serviços que não sejam estritamente necessários;
● bloquear ou mudar as palavras-passe por defeito das contas com acesso privilegiado; e
● encriptação dos discos que contêm a informação.
Limitação na instalação de software por parte dos utilizadores
Existe um regulamento ou medidas técnicas para impedir que o pessoal possa instalar software não autorizado nos seus equipamentos de trabalho, bem como para não poder utilizar software que possa violar a propriedade intelectual de terceiros.
Limitação dos direitos de administrador
Foram implementadas medidas técnicas para que os utilizadores não possam modificar ou desativar as configurações de segurança dos seus equipamentos
SEGURANÇA DA REDE
Equipa de segurança exclusiva
A supervisão da segurança e o sistema de alertas faz parte integrante das operações, oferecendo um controlo da segurança 24 horas por dia, 7 dias por semana e uma equipa sempre disponível para dar resposta a alertas e incidentes.
Proteção e segmentação de redes
No nível 2, a infraestrutura está protegida por meio de VLAN, o que assegura que, em cada porta de comunicações, apenas se pode aceder aos recursos imprescindíveis para a prestação do serviço a que se destinam. No nível 3 e superiores, a segurança da infraestrutura baseia-se numa camada dupla de segurança de firewall. As ligações a operadores e circuitos privados (Telefónica, ONO, etc.) estão separadas da restante infraestrutura por VLAN e regras específicas de acesso, assegurando a opacidade entre redes. Só é possível aceder à rede DMZ para os serviços que se oferecem aos clientes, que são os seguintes:
● serviços web: HTTP e HTTPS;
● serviços de voz: SIP (TLS) e RTP; e
● outros serviços relacionados com os serviços de voz: DNS, NTP, SMTP, Netflow, SNMP.
Arquitetura
A infraestrutura de rede está alojada em dois centros de dados, um gerido pela Evolutio e outro gerido pela MBA Datacenters (Bitnap). Ambos possuem certificação ISO 27001. Nestas localizações estão os servidores que alojam as aplicações e bases de dados que se utilizam na empresa e toda a eletrónica de rede para garantir o acesso e a segurança. Ambos os centros de dados atuam de forma redundante, podendo executar-se serviços próprios da NUMINTEC, quer num centro de dados, quer noutro.
Segurança perimetral da rede
Existe uma camada dupla de segurança de firewall para filtrar o tráfego de rede de entrada não autorizado da internet e rejeitar qualquer tipo de ligação de rede que não esteja explicitamente autorizada:
● firewall externas: esta camada protege a DMZ onde estão todos os equipamentos e as conectividades da plataforma na nuvem da empresa com o exterior, tanto as de circuitos públicos na internet como os circuitos privados de clientes, VPN e ligações com operadores.
● firewall internas: esta camada separa a rede de acesso a partir do exterior, que pode ser acedida pelos clientes, da camada dos servidores internos que permitem os serviços e aplicações da empresa, à qual os clientes não podem aceder. O acesso administrativo às firewall está monitorizado e restringido aos empregados autorizados.
Protocolos seguros de transmissão da informação
Todo o tráfego nas redes da organização, especialmente quando passa total ou parcialmente por rede públicas, está encriptado através de protocolos seguros e sem vulnerabilidades graves conhecidas (por exemplo, no mínimo TLS 1.2)
Verificação de vulnerabilidades da rede
São realizados testes periódicos para verificar se as redes estão isentas de vulnerabilidades e são aplicadas as medidas corretivas necessárias. A verificação ativa da segurança da rede é executada ativamente em todas as sub-redes para a rápida identificação de sistemas que não cumprem os requisitos ou que são potencialmente vulneráveis. As verificações passivas programadas também se executam para todas as sub-redes internas ou privadas, bem como para todas as DMZ ou sub-redes públicas que enfrentam portas expostas ((http/https).
Testes de penetração
Além do nosso procedimento interno de supervisão, no mínimo uma vez por ano, a NUMINTEC realiza um vasto teste de penetração (pentest) nas redes e servidores de produção contra ataques de terceiros.
Gestão de alertas de segurança (SIEM)
O nosso sistema de supervisão recolhe registos de atividade, tanto nos sistemas na DMZ como na rede interna. O SIEM envia alertas sobre os incidentes, que notificam a equipa de segurança correspondente para a sua investigação e resposta.
Deteção e prevenção de intrusões
Os pontos de entrada e saída do fluxo de dados da aplicação são controlados pelos sistemas de deteção de intrusões (IDS) ou os sistemas de prevenção de intrusões (IPS). Isto está integrado com o SIEM e as operações 24 horas por dia, 7 dias por semana.
Mitigação de DDoS
A NUMINTEC monitoriza o tráfego de rede em tempo real para inspecionar o tráfego de entrada. Para realizar a mitigação automática da maioria das técnicas de DDoS, as firewall protegem contra todos os ataques de infraestrutura conhecidos (camadas 3 e 4).
OPERAÇÕES DE SEGURANÇA
Acesso lógico
A NUMINTEC utiliza uma arquitetura de segurança com base em funções, solicitando que os utilizadores do sistema se identifiquem e autentiquem antes de aceder a qualquer recurso do sistema, com direitos de acesso granulares e específicos por funcionário Os recursos de produção e todas as ações administrativas são registados e armazenados durante pelo menos 2 anos, com proteções específicas e cópias de segurança para evitar que se alterem os registos de auditoria. Todos os recursos de produção são geridos no sistema de inventário de ativos e é atribuído um proprietário a cada ativo. Os proprietários são responsáveis por aprovar o acesso ao recurso e por realizar revisões periódicas do acesso por função. O acesso a qualquer rede ou subsistema de administração da NUMINTEC está determinado por uma política de “necessidade de conhecer”, de acordo com o determinado pelos controlos ISO 27001 e ISO 27017.
Supervisão e gestão da capacidade
A NUMINTEC implementou um processo de supervisão dos sistemas e gestão da capacidade, para monitorizar de forma contínua o desempenho dos sistemas, supervisionar a utilização dos recursos e ajustar a utilização dos mesmos, bem como realizar projeções dos requisitos futuros de capacidade, para assegurar o rendimento necessário dos sistemas
Resposta a incidentes de segurança
Em caso de haver um alerta do sistema, os incidentes são escalados para as nossas equipas 24 horas por dia, 7 dias por semana, que oferecem cobertura de operações, engenharia de redes e segurança. Os clientes também têm à sua disposição uma equipa de serviço de apoio técnico ao cliente (SAT) para dar resposta a qualquer incidente que possam detetar. Os funcionários têm formação em processos de resposta a incidentes de segurança controlados, tanto na ISO 9001 como na ISO 27001. Adicionalmente, a NUMINTEC dispõe de um procedimento de resposta a ciberataques que define os mecanismos necessários para a deteção, contenção, resposta e recuperação perante ataques às nossas redes e sistemas.
Gestão de alterações
A NUMINTEC dispõe de um procedimento de gestão de alterações, através do qual se evita que qualquer alteração possa afetar a segurança da informação e dos serviços. Caso seja uma alteração que possa afetar um serviço, o procedimento contempla a obrigação de informar os clientes de forma prévia às alterações, que são fornecidas informações suficientes para que o cliente possa avaliar o impacto, e que é dada informação sobre a planificação da alteração e possíveis alterações na disponibilidade do serviço.
Registos de auditoria
Os registos de auditoria das operações realizadas sobre os dados (acesso, alteração e eliminação) são recolhidos, conservados e revistos.
ENCRIPTAÇÃO DE DADOS
Encriptação de dados em trânsito
Toda a informação em trânsito é sempre transmitida de forma segura dentro do possível e tendo em conta os requisitos específicos de cada cliente. Os protocolos de serviços expostos diretamente à internet são HTTP/ HTTPS e SIP por TLS, ativando apenas as versões mais recentes e seguras. Em relação ao protocolo HTTPS, a NUMINTEC realiza testes de penetração na rede para assegurar que as encriptações permitidas não são vulneráveis a ataques e aplica as atualizações e configurações de segurança necessárias. As comunicações com serviços de terceiros por necessidades dos clientes (integrações, webservices) são realizadas preferencialmente utilizando HTTPS.
Encriptação de chamadas
Em relação ao protocolo SIP através de TLS, é utilizado o SSLv3 para negociar o protocolo de encriptação mais alto (TLS 1.1 ou 1.2), que se utilizará para a comunicação dos telefones a nível de sinalização (ordem de efetuar a chamada, receber chamadas, transferir, etc.). O áudio, à escolha do cliente, pode ser transmitido forçado por protocolo seguro SRTP de acordo com o RFC3711. De ressaltar que estas encriptações são opcionais dependendo das necessidades dos diferentes clientes e dos seus tipos de terminais, uma vez que alguns terminais não suportam encriptação. Em relação às diferentes encriptações suportadas pelo protocolo SIP, deve ter-se em conta que, apesar de se permitirem algumas encriptações frágeis, os telefones negociam sempre a encriptação superior dentro das compatíveis, pelo que o grau de segurança da encriptação depende em parte do tipo de terminal utilizado. Podemos assegurar a encriptação no nosso sistema para chamadas internas, mas, infelizmente, isso não é possível para chamadas que tenham origem ou se destinem à PSTN na sua parte pública, uma vez que enviamos as chamadas ao prestador de serviços. Isto deve-se ao facto dos prestadores de serviços não suportarem encriptação nas chamadas, uma vez que a rede telefónica não está concebida para tal. Não obstante, na medida do possível, utilizamos canais encriptados (MPLS) para a comunicação com prestadores de serviços de telefonia, o que adiciona uma camada extra de segurança, pelo menos na parte entre a NUMINTEC e o prestador, que, por fim, encaminha a chamada à PSTN. De notar que a NUMINTEC tem a capacidade de desencriptar chamadas para poder prestar serviços ao cliente a pedido (gravação ou escuta) e para a interceção legal de comunicações, conforme a Lei 25/2007, de 18 de outubro, sobre a conservação de dados relativos às comunicações eletrónicas e às redes públicas de comunicações, e a Lei 9/2014, de 9 de maio, Geral de Telecomunicações.
Encriptação no armazenamento
Em relação à encriptação de informação armazenada em discos, é utilizado o dm-crypt luks, uma vez que tem um bom suporte pelo Kernel linux. Isto evita que, no caso muito improvável de furto de discos dos servidores localizados nos centros de dados, seja possível utilizar a informação contida nesses discos
DISPONIBILIDADE E CONTINUIDADE
Disponibilidade
A NUMINTEC realiza uma supervisão contínua da disponibilidade dos nossos sistemas e serviços com o objetivo de garantir o cumprimento dos objetivos de disponibilidade do serviço comprometido.
Redundâncias
A redundância está integrada na infraestrutura do sistema que suporta os serviços de produção para ajudar a assegurar que não há um único ponto de falha, incluindo firewall, routers e servidores. No caso de um sistema primário falhar, o hardware redundante está configurado para ocupar o seu lugar. Adicionalmente, dispomos de sistemas em centros de dados redundantes na Evolutio e BITNAP, podendo executar-se serviços próprios da NUMINTEC, tanto num centro de dados como no outro.
Cópias de segurança
As cópias de segurança são feitas de forma automatizada. O processo de execução das cópias é supervisionado e, em caso de ocorrer algum erro na realização das cópias, o pessoal de sistemas intervirá para determinar a raiz do erro e retomar a execução da cópia. São feitas cópias de segurança de:
● máquinas virtuais: cópia de segurança semanal na caixa de alta disponibilidade, mantendo-se 2 versões de todas as máquinas virtuais. Os dados das aplicações contidos nas máquinas virtuais são incluídos nestas cópias de segurança. Também é feita uma cópia de segurança adicional das máquinas virtuais no sistema S3 da Amazon, com uma retenção de um mês. Dado que a cópia de segurança é feita de forma semanal, a retenção é de 4 versões de cada máquina virtual.
● base de dados InvoxContact: é feita uma cópia de segurança diária de tipo Snapshot no Aurora. Além disso, é feita uma exportação completa de todas as bases de dados uma vez por semana, mantendo versões com um mínimo de 3 meses. Estão cópias são conservadas num armazenamento no centro de dados alternativo, havendo, portanto, georredundância destas cópias.
Supervisão das cópias de segurança
A execução correta das cópias de segurança é supervisionada de forma contínua.
Testes de recuperação
São feitos testes periódicos de recuperação e verificação de informação contida nas cópias de segurança
Plano de continuidade
Foi elaborado e testado um plano de continuidade para poder dar resposta em prazos e condições adequadas aos incidentes, que possam provocar uma interrupção dos serviços contratados.
Procedimentos de recuperação perante desastres
A NUMINTEC dispõe de procedimentos específicos de proteção e recuperação perante ameaças que comprometam a integridade da informação, tal como os ataques por ransomware ou falhas graves na infraestrutura tecnológica.
SEGURANÇA FÍSICA DOS ESPAÇOS DE TRATAMENTO
Perímetro de segurança física
Existe um perímetro de segurança para proteger os recintos e filiais onde se processa ou armazena informação.
Controlo de acesso
Foram implementados controlos de acesso físico às filiais onde se realiza o tratamento da informação para assegurar que apenas o pessoal autorizado tem acesso permitido.
Proteção contra as ameaças externas e ambientais
Foram definidas as medidas necessárias para proteger as pessoas, equipamentos e instalações essenciais em caso de desastres naturais, ataques maliciosos ou incidentes, tais como incêndios, inundações, fugas de água, falhas no ar condicionado, etc..
Instalações de fornecimento
Foram definidas as medidas necessárias para assegurar a continuidade do fornecimento elétrico nas instalações essenciais.
Segurança dos centros de tratamento de dados
Os serviços da NUMINTEC são executados em servidores localizados em centros de dados da EVOLUTIO e BINAP, que possuem certificações ISO 27001. Consequentemente, os controlos de segurança física estão delegados a estes prestadores: https://www.bitnap.net/MBADATACENTERS-iso.pdf https://www.aenor.com/certificacion/certificado/? codigo=4 2390
Estes centros de dados estão localizados em Espanha.
Segurança dos prestadores de serviços IaaS e PaaS
Os prestadores de serviços IaaS e PaaS fornecem os controlos de segurança física necessários e garantidos através das certificações apropriadas, tal como ISO 27001, SOC 2, ENS (nível alto), PCI-DSS, etc. Neste caso, os serviços são contratados em centros de dados localizados na UE.
2. SEGURANÇA DAS APLICAÇÕES
POLÍTICAS DE DESENVOLVIMENTO SEGURO
Formação em segurança
Os nossos engenheiros e programadores participam periodicamente em programas de formação interna e externa relativa a princípios de engenharia de sistemas seguros, boas práticas de segurança através de conceção e desenvolvimento de código seguro.
Controlos de segurança no código
A NUMINTEC contempla todas as medidas de segurança recomendadas pelo OWASP. Estas incluem as orientações para proteger aplicações contra as principais ameaças conhecidas, tais como injection, broken authentication, exposição de dados sensíveis, broken access control, cross-site scripting XSS e cross site request gorgery (CSRF), entre outras. Além disso, o processo de testes aplica todas as verificações relevantes para as nossas aplicações incluídas na orientação de teste do OWASP
QA
Durante o processo de testes, o código é revisto e são feitos testes detalhados antes de se colocar em produção qualquer alteração. O processo inclui igualmente a realização de testes de regressão para evitar impactos imprevistos devido às alterações introduzidas no código, nas bibliotecas e componentes utilizados, e nos sistemas operativos onde as aplicações são executadas. A equipa de QA participa ativamente no ciclo de desenvolvimento, de modo que as suas recomendações são contempladas a partir da conceção.
Ambientes separados
Os programadores trabalham no seu equipamento local sincronizando tudo. Os ambientes de teste ligam-se a bases de dados separadas da produção, com dados ofuscados ou fictícios. Os ambientes de testes estão num ambiente completamente separado do da produção, com servidores específicos para estes ambientes.
3. CARACTERÍSTICAS DE SEGURANÇA DO PRODUTO
SEGURANÇA NA AUTENTICAÇÃO
Opções de autenticação
Para aceder às aplicações web da plataforma InvoxContact, os utilizadores devem identificar-se através das suas próprias credenciais de identificador de utilizador e palavra-passe. Nos casos em que seja possível, serão utilizados certificados SSL cliente assinados pela autoridade certificadora da Numintec (assinatura automática) Adicionalmente, para os clientes que o solicitem, pode ser ativado um processo de autenticação de 2 fatores (2FA) para oferecer uma camada adicional de proteção para as contas com direitos de administrador.
Política de palavras- passe
As palavras-passe apenas podem ser redefinidas pelo utilizador final com um endereço de e-mail ativo (o nome do utilizador é igual ao e-mail). As políticas de palavra-passe implicam o cumprimento de requisitos mínimos de comprimento e complexidade para assegurar que as palavras-passe são sólidas, bem como políticas para obrigar à renovação anual das mesmas. O mecanismo de atribuição de palavras-passe permite assegurar o segredo das mesmas, dado que o utilizador pode definir a sua própria palavra-passe desde o primeiro acesso. Além disso, o processo de recuperação da palavra- passe assegura que apenas o utilizador pode saber a sua nova palavra-passe.
Gestão de contas de utilizador
Uma vez ativado o painel do cliente, o administrador do cliente pode gerir as suas próprias contas de utilizador, a fim de ativar ou revogar os acessos dos agentes e supervisores da organização. Os novos utilizadores recebem um e-mail com as instruções e credenciais temporárias que devem ser alteradas pelo próprio utilizador no primeiro acesso. O administrador do painel do cliente pode determinar os
Acesso de administrador
O administrador do painel do cliente pode determinar Os técnicos de suporte técnico da NUMINTEC podem aceder ao serviço do cliente através das suas próprias credenciais de utilizador, pelo que não necessitam que o utilizador lhes comunique as suas credenciais para tratarem das incidências, de forma que fica assegurado o segredo da palavra-passe dos utilizadores.
Restrição de acesso na aplicação
O administrador do painel do cliente pode definir a que aplicações e serviços cada usuário tem acesso e atribuir sedes, agentes e/ou supervisores a um utilizador.
Registos de auditoria
É feito um registo de auditoria de todos os acessos e alterações efetuadas a partir da aplicação web InvoxContact. Estes registos podem ser consultados pelo administrador do painel do cliente.
Armazenamento seguro de palavras-passe
A NUMINTEC segue as boas práticas de armazenamento seguro de palavras-passe. As palavras-passe nunca são guardadas em formato legível, é gerada uma encriptação unidirecional das mesmas, que inclui o uso de bits aleatórios (salt). O trânsito de palavras-passe entre o navegador e o servidor é protegido através da utilização do protocolo HTTPS, que implica a encriptação dos dados dos formulários enviados.
Segurança da API
As aplicações cliente apenas acedem aos serviços no servidor através de um HTTPS full REST-API. Para efetuar qualquer chamada, o cliente precisa de ter uma API Key secreta e ter passado o fluxo de autorização de pedidos à API.
Segurança na transmissão de dados
Todas as comunicações através de redes públicas com os servidores da NUMINTEC (de ida e volta) são encriptadas utilizando HTTPS. Isto garante que todo o tráfego de dados entre o cliente e a NUMINTEC seja secreto durante o trânsito. Para as funções em tempo real, tal como o chat em tempo real, a NUMINTEC utiliza o protocolo WebSocket seguro como uma alternativa HTTP complementar segura e orientada para a transmissão.
4. PROTEÇÃO DE DADOS PESSOAIS
MEDIDAS TÉCNICAS E ORGANIZACIONAIS
Sistema de gestão
A NUMINTEC implementou um sistema de gestão da privacidade da informação que permite assegurar o cumprimento das obrigações legais, o tratamento adequado dos riscos para os direitos e as liberdades dos utilizadores, e um processo de revisão e melhoria contínua das políticas aplicadas.
Responsabilidades
A NUMINTEC nomeou um responsável pela proteção de dados pessoais encarregado da supervisão do sistema de proteção de dados pessoais. As suas responsabilidades incluem a definição das políticas de proteção dos dados pessoais, a verificação do cumprimento destas políticas, a avaliação de riscos no tratamento de dados pessoais, a determinação das medidas técnicas e organizacionais necessárias para mitigar os riscos, a supervisão do desempenho das medidas envolvidas e a avaliação do cumprimento regulamentar. Além disso, todo o pessoal da NUMINTEC se comprometeu a cumprir e a fazer cumprir as políticas e regulamentos de proteção de dados da empresa.
Obrigações
Todo o pessoal da NUMINTEC assina um documento de carácter contratual mediante o qual fica sujeito ao cumprimento das políticas de proteção de dados pessoais Esse documento inclui a advertência de que a violação de tais obrigações constitui uma falta grave de indisciplina ou desobediência no trabalho e, portanto, será alvo de sanção.
Formação e sensibilização
Todos os empregados da NUMINTEC participam em sessões de sensibilização e formação sobre a proteção do tratamento dos dados pessoais.
Medidas técnicas
Todos os tratamentos de dados pessoais estão protegidos através das mesmas medidas técnicas que se aplicam a toda a informação da empresa de acordo com a certificação ISO 27001.
Política de privacidade
Nos “Termos e condições gerais de contratação dos serviços prestados pela Numintec Comunicaciones”, a NUMINTEC incluiu uma cláusula em que se define a política de privacidade para a proteção dos dados pessoais. Essa política inclui a informação sobre as finalidades e legitimidade dos tratamentos, as categorias dos dados tratados, os critérios de conservação dos dados, as comunicações ou transferências de dados possíveis e o procedimento para que os interessados possam exercer os seus direitos.
Contratação do tratamento
Através das cláusulas de contratação do tratamento incluídas no acordo de tratamento de dados, a NUMINTEC assume a sua responsabilidade como subcontratante para o tratamento dos dados que trata em nome dos nossos clientes, necessários para prestar os serviços contratados. Portanto, a NUMINTEC oferece garantias para:
● assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;
● repor a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidente físico ou técnico; e
● verificar, estimar e avaliar, de forma regular, a eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do tratamento.
Comunicação e transferência de dados
Os dados que a NUMINTEC trata como subcontratante para o tratamento dos nossos clientes não serão transferidos nem comunicados a terceiros exceto a:
● empresas que, na qualidade de subcontratantes para o tratamento, nos prestam serviços relacionados com a atividade normal e administrativa da empresa, tais como, entre outros, alojamento de serviços web, serviços de gestão na modalidade SaaS, arquivo de ficheiros na nuvem e outros;
● operadores de redes de telecomunicações que prestam serviços necessários ao encaminhamento das chamadas realizadas pelos clientes dos nossos serviços até aos seus destinatários; e
● entidades e organismos oficiais que o solicitem para cumprir as suas obrigações com as Administrações Públicas, nos casos em que tal seja exigido de acordo com a legislação em vigor num determinado momento e, se necessário, também a outros órgãos, tais como as Forças de Segurança Pública do Estado e os órgãos judiciais.
Transferências internacionais de dados
A prestação dos serviços da NUMINTEC pode implicar o tratamento dos dados pessoais por parte de empresas sediadas em países fora do Espaço Económico Europeu, caso em que apenas se realiza quando os países oferecem um nível adequado de proteção ou, proporcionar salvaguardas adequadas, tais como as Cláusulas Contratuais-tipo (CEC) adoptadas pela Comissão em conformidade com o artigo 46(2) do Regulamento (UE) 2016/679. No caso do encaminhamento de chamadas até ao destinatário implicar a transferência de informações para países terceiros, essa transferência estará ao abrigo dos acordos de interligação existentes, no âmbito da legislação em vigor, em matéria de telecomunicações.
Critério de conservação
Tal como se especifica nas cláusulas de rescisão do contrato incluídas nos “Termos e condições gerais de contratação dos serviços prestados pela Numintec Comunicaciones”, decorrido o prazo de noventa (90) dias desde a interrupção ou, se for o caso, o prazo estipulado nas condições do contrato, a NUMINTEC elimina definitivamente os dados incluídos nas nossas bases de dados, exceto nas circunstâncias em que possam decorrer obrigações legais ou responsabilidades da execução da prestação do serviço, caso em que se poderá conservar uma cópia, com os dados devidamente bloqueados, até que tais responsabilidades ou obrigações cessem.
PRIVACIDADE POR CONCEÇÃO E POR DEFEITO
Minimização da recolha de dados
Apenas são recolhidos os dados estritamente necessários para a finalidade a que se destina o tratamento.
Limitação do prazo de conservação dos dados
A NUMINTEC definiu procedimentos para limitar a retenção dos dados e evitar a sua conservação além dos prazos estabelecidos. Os ficheiros temporários criados como resultado do tratamento são eliminados assim que deixarem de ser necessários.
Limitação de finalidade
A NUMINTEC definiu mecanismos para evitar que a informação tratada em nome do responsável possa ser utilizada para finalidades diferentes das estabelecidas neste acordo de tratamento de dados (ATD).
Pseudonimização e encriptação de dados
Eventualmente, serão aplicadas medidas de pseudonimização e encriptação, especialmente quando a informação tratada inclui dados particularmente sensíveis.
Separação de informação sensível
O acesso à informação mais sensível está separado de forma a que a mesma apenas possa ser consultada e tratada por pessoal especificamente autorizado.
EXERCÍCIO DOS DIREITOS DOS INTERESSADOS
Processo de resposta
A NUMINTEC definiu um processo formal para o atender e auxiliar o responsável na resposta aos pedidos de exercício dos direitos dos interessados.
Comunicação dos pedidos de exercício dos direitos
A NUMINTEC definiu os canais para comunicar ao responsável pelo tratamento os pedidos de exercício dos direitos dos interessados.
Limitação do tratamento
Existem mecanismos para limitar o tratamento dos dados sempre que tal seja solicitado.
FALHAS DE SEGURANÇA
Gestão de falhas de segurança em dados pessoais
O procedimento permite identificar quando ocorre uma violação de segurança dos dados pessoais e contemplar a notificação imediata e sem atrasos indevidos do responsável acerca dessas violações de segurança, incluindo todas as informações necessárias para avaliar o impacto e determinar as causas e as medidas corretivas aplicadas.
Assistência ao responsável na notificação de falhas de segurança
Está previsto auxiliar o responsável a fazer a notificação da violação da segurança à autoridade de supervisão e, se aplicável, aos interessados, tendo em conta a informação à disposição do subcontratante.
5. RELAÇÃO COM OS PRESTADORES
MEDIDAS GERAIS
Política de segurança dos prestadores
Existe um processo formal que permite avaliar o cumprimento dos requisitos de segurança da informação que os prestadores que tratam informações e dados pessoais devem cumprir. O acesso dos prestadores à informação é apenas dado quando existe uma necessidade legítima que justifique esse acesso.
Confidencialidade
Todos os nossos prestadores devem assinar acordos de confidencialidade e acordos de não divulgação (NDA) para proteger o segredo da informação da NUMINTEC e dos nossos clientes
Certificação e homologação
Todos os prestadores que prestem serviços que impliquem o tratamento de informação da NUMINTEC e dos nossos clientes nas suas instalações devem possuir certificações ISO 27001 ou equivalentes. No caso particular de prestadores de serviços e infraestruturas de tratamento da informação na nuvem (SaaS, IaaS, PaaS), as certificações ISO 27001 ou equivalentes devem abranger no seu âmbito os serviços prestados à NUMINTEC. No caso de não disporem dessas certificações, o processo de homologação implica a verificação da existência de garantias equivalentes adequadas aos riscos identificados e, inclusivamente, a possibilidade de responder a auditorias de terceiros para verificar o desempenho das garantias fornecidas.
Avaliação dos serviços
A NUMINTEC tem um processo de avaliação de prestadores implementado, que implica a revisão periódica do cumprimento das garantias do nível de serviço (SLA) acordadas e o cumprimento dos requisitos dos serviços estabelecidos.
Garantia da cadeia de fornecimento
A política da NUMINTEC é garantir a continuidade dos nossos serviços através da diversificação e redundância de prestadores.
Tratamento dos dados pessoais
A NUMINTEC possui acordos de contratação de tratamento de dados pessoais (DPA) com todos os prestadores que prestam serviços que envolvem o tratamento de dados pessoais pelos quais a NUMINTEC ou os nossos clientes são responsáveis nas suas instalações
Cessação do serviço
A NUMINTEC solicita aos seus prestadores, e em especial àqueles que prestam serviços na nuvem, que eliminem qualquer informação que tratem, assim que se acordar a cessação do serviço. Esta política aplica-se a toda a informação que se processa em virtude do serviço prestado, quer seja próprio da NUMINTEC, quer dos nossos clientes.
Separação de ambientes
A NUMINTEC solicita aos seus prestadores, e em especial àqueles que prestam serviços na nuvem, que assegurem a separação dos ambientes virtuais de processamento da informação, com garantias de estanqueidade do acesso aos diferentes ambientes e da capacidade de serviço.
6. CUMPRIMENTO REGULAMENTAR
CERTIFICAÇÕES
Auditores
A SGS, a entidade certificadora que nos audita, possui acreditações oficiais que asseguram a sua fiabilidade, entre as quais se destacam as que se referem a OCA, ECA, Ministério da Defesa, Ministério da Saúde e do Consumo, Ministério da Indústria e Energia, Ministério do Desenvolvimento, Conselho de Segurança Nuclear e ENAC.
ISO 9001:2015
A NUMINTEC possui a certificação ISO 9001:2015.
ISO 27001:2013
A NUMINTEC possui a certificação ISO 27001:2013
ISO 27017:2014
A NUMINTEC está em conformidade com a ISO 27017:2014.
CUMPRIMENTO LEGAL
Proteção dos dados pessoais
A NUMINTEC cumpre a legislação de proteção de dados de acordo com:
● Regulamento (UE) 2016/679 de Proteção de Dados (RGPD)
● Lei 3/2018 (Espanha), de 5 de dezembro, sobre a Proteção de Dados de Carácter Pessoal e Garantia dos Direitos Digitais (LOPD-GDD). A informação referente aos tratamentos de dados que a NUMINTEC realiza pode ser consultada na nossa política de privacidade: https://www.numintec.com/pt-pt/politica-de-privacidade/
Operador de telecomunicações
A NUMINTEC está sujeita à legislação aplicável enquanto operador de telecomunicações:
● Lei 11/2022 de 28 de Junho sobre as Telecomunicações Gerais (LGT); e
● Lei 25/2007 de 18 de outubro, sobre a conservação de dados relativos às comunicações eletrónicas e às redes públicas de comunicações
● Lei 25/2007 de 18 de outubro, sobre a conservação de dados relativos às comunicações eletrónicas e às redes públicas de comunicações Entre outros aspetos, o cumprimento desta legislação implica que a NUMINTEC é obrigada a conservar e a transferir para os agentes autorizados dados sobre a origem, destino, dia, hora e duração das chamadas, entre outros.
Propriedade intelectual
A NUMINTEC está sujeita à legislação da propriedade intelectual:
● Lei 2/2019. de 1 de março No âmbito desta lei, a NUMINTEC assegura que definiu políticas para garantir a proteção dos direitos intelectuais de terceiros, respeitando os termos das licenças de utilização de todo o software que utiliza para prestar os seus serviços.
DC-036 Rev. 01 05/5/2022