SEGURANÇA DE INFRAESTRUTURA
A Engegraph hospeda dados e produtos em nuvem em data centers distribuídos geograficamente confiáveis no Brasil, EUA e Canadá.
Os data centers empregam os mais altos padrões de segurança física para restringir o acesso físico não autorizado e proteger a segurança dos dados dos clientes. Apenas os funcionários autorizados têm acesso aos data centers, com base em gerenciamento rigoroso de acesso, protocolos de controle e monitoramento por câmeras de vigilância (CCTV).
Os sistemas de energia elétrica dos data centers são projetados para fornecer fonte de alimentação ininterrupta para toda a infraestrutura 24 horas por dia, 7 dias por semana. Os data centers são alimentados por pelo menos duas fontes de energia independentes. O uso de fontes automáticas não interruptivas protege contra surtos de energia em caso de troca de linhas de energia e fornece suporte de energia durante a troca para geradores a diesel.
A infraestrutura de alta disponibilidade e redundante foi projetada para minimizar os riscos associados e eliminar pontos únicos de falha.
Essa infraestrutura redundante permite que a Engegraph cumpra a maioria dos tipos de preventivos e manutenção sem interrupção do serviço. A manutenção e alteração programadas para a infraestrutura são realizadas de acordo com as especificações dos fabricantes e procedimentos internos documentados.
Para todos os ativos críticos, a Engegraph mantém planos de continuidade de negócios e recuperação de desastres que são periodicamente testados. Os objetivos de ponto de recuperação e tempo para serviços em nuvem são estabelecidos de acordo com a criticidade de suas arquiteturas e recursos de serviço.
A Engegraph fornece criptografia em tempo real para todos os dados transferidos entre clientes e data centers, entre funcionários da Engegraph e data centers e entre os data centers. Essa criptografia em tempo real fornece a melhor proteção para interação de rede e impede o acesso não autorizado (leitura, alteração ou exclusão ou fabricação de cópias) aos dados transmitidos.
A rede Engegraph é multicamadas e baseada em zonas. O equipamento de rede gerenciado separa e isola ambientes internos, externos e clientes, e fornece roteamento e filtragem de protocolos e pacotes de rede.
Para garantir a segurança da rede e minimizar os riscos de penetração externa, o Engegraph usa um firewall de aplicativo web (WAF) que inclui proteção instantânea contra injeção de SQL, scripting entre sites, acesso a recursos não autorizados, inclusão remota de arquivos e outras ameaças OWASP (Open Web Application Security).
A Engegraph usa protocolos de transferência de dados seguros HTTPS (TLS) com algoritmos de criptografia fortes para proteger os dados transmitidos e reduzir os riscos de informações-chave comprometidas.
CONTROLE DE ACESSO
A Engegraph implementou uma política de controle de acesso em toda a empresa para restringir o acesso a recursos e dados de informações de acordo com as funções oficiais. O provisionamento de acesso é baseado nos princípios "Necessidade de saber" e "Menos Privilégios".
Procedimentos internos de controle de acesso detectam e impedem o acesso não autorizado aos sistemas Engegraph e aos recursos de informação. Ao fornecer acesso, a Engegraph usa sistemas de controle de acesso centralizados com mecanismos seguros e protocolos de autenticação (LDAP, Kerberos, certificados SSH), IDs de usuário exclusivos, senhas fortes, mecanismos de autenticação de dois fatores e listas de acesso de controle limitados para minimizar a probabilidade de acesso não autorizado.
Além disso, qualquer acesso é registrado em registros de auditoria do sistema, alterações às quais não são permitidas. Os registros de auditoria são revisados periodicamente.
SEGURANÇA DE ARMAZENAMENTO DE DADOS
Os discos e equipamentos nos quais o armazenamento e/ou processamento de dados são realizados podem ser quebrados, trocados para reparo ou desativados. Nesses casos, a Engegraph toma medidas voltadas para a eliminação completa dos dados dos discos e a remoção de dados residuais da memória interna do equipamento. Caso não seja possível apagar (excluir) tais informações, a destruição física dos equipamentos é realizada de forma impossível de ler (restaurar) tais dados.
SEGURANÇA DO PESSOAL
Seu pessoal é o ativo mais importante da Engegraph. O pessoal é obrigado a cumprir a confidencialidade, a ética empresarial e as políticas de código de conduta da Engegraph. A Engegraph presta especial atenção à seleção de pessoal, realizando verificações de antecedentes adequadas sobre os candidatos ao emprego de acordo com as leis locais aplicáveis, regulamentos estatutários e ética.
Todos os funcionários recebem treinamento de conscientização sobre segurança da informação, proteção de privacidade e processamento de dados, como é apropriado em relação às suas funções de trabalho e funções atribuídas.
RELAÇÃO COM FORNECEDORES
Antes de contratar com qualquer fornecedor ou prestador de serviços de terceiros, a Engegraph realiza um processo minucioso para garantir que cada terceiro possa fornecer um nível adequado de segurança e privacidade correspondente ao nível de acesso aos dados. Os contratos com terceiros contêm requisitos de segurança da informação, privacidade e confidencialidade. Durante o prazo de cada contrato, a Engegraph monitora e revisa regularmente os controles de segurança do terceiro, a prestação de serviços e o cumprimento dos requisitos contratuais.
AVALIAÇÃO DE DESEMPENHO DO PROGRAMA DE SEGURANÇA DA INFORMAÇÃO E MELHORIA CONTÍNUA
A Engegraph monitora continuamente seu Programa de Segurança da Informação para detectar e responder a novos riscos de segurança da informação em tempo hábil.