Segurança

Infraestrutura segura

Nossos serviços estão hospedados na infraestrutura da Amazon Web Services (AWS). Não hospedamos nem operamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos. Os data centers da Amazon contam com segurança 24 horas por dia, controle de acesso biométrico, vigilância por vídeo e fechaduras físicas. Todos os sistemas, dispositivos em rede e circuitos são monitorados constantemente. As instalações da AWS são certificadas pela ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 Tipo II), PCI Nível 1, FISMA Moderate e Sarbanes-Oxley (SOX). Saiba mais sobre segurança da AWS.

Hospedado nos EUA ou na UE – a escolha é sua

Estados Unidos – atendidos por centros de dados e subcontratados localizados nos EUA, com nossos principais serviços hospedados na Virgínia do Norte; e a União Europeia – atendida por centros de dados e subcontratados localizados exclusivamente em países membros da UE, com nossos principais serviços hospedados em Frankfurt, na Alemanha.

Sempre criptografado

Criptografia em trânsito – Todos os dados enviados de ou para nossa infraestrutura são criptografados em trânsito, de acordo com as melhores práticas do setor, utilizando o Transport Layer Security (TLS 1.2 ou 1.3). Nossa configuração SSL recebeu a classificação de segurança A+ do Qualys SSL Labs.

Criptografia em repouso – Todos os dados dos nossos usuários são criptografados em nossos bancos de dados utilizando o algoritmo de criptografia AES256, de comprovada eficácia.

Pagamentos seguros

Nossa plataforma está em conformidade com a norma PCI DSS, garantindo o tratamento seguro dos dados de pagamento com medidas de proteção e conformidade líderes do setor. Não nos dedicamos ao tratamento ou armazenamento de números de cartão de crédito – os dados do seu cartão são capturados diretamente e armazenados com segurança pela Braintree (uma empresa do PayPal), nossa provedora de pagamentos. A Braintree é certificada como compatível com o PCI Nível 1 e listada como Provedora Global Compatível com Visa® e Provedora Compatível com MasterCard® (SDP). Saiba mais sobre segurança e conformidade da Braintree.

Monitoramento da segurança de aplicativos

• Utilizamos uma solução de monitoramento de segurança para obter visibilidade sobre a segurança de nossas aplicações, identificar ataques e responder rapidamente a uma violação de dados.
• Utilizamos tecnologias para monitorar exceções e registros, bem como para detectar anomalias em nossas aplicações.
• Coletamos e armazenamos registros detalhados para fornecer uma trilha de auditoria das atividades de nossas aplicações. Nossos registros são analisados regularmente pela nossa equipe de segurança para identificar anomalias.
• Os eventos de segurança são registrados e notificações são enviadas em caso de ataques críticos, a fim de permitir uma correção rápida.

Proteção da segurança de aplicativos

• Utilizamos o Amazon Web Application Firewall para proteger nossos usuários contra uma ampla variedade de vulnerabilidades. O AWS WAF integra proteções contra as categorias de ataque mais críticas, como injeções SQL e cross-site scripting. Ele bloqueia ataques em tempo real e nos avisa quando os invasores começam a sobrecarregar nossas aplicações.
• Utilizamos cabeçalhos de segurança para proteger nossos usuários contra ataques. Nossos serviços receberam a classificação A+ do SecurityHeaders.io.

Gerenciamento de incidentes

Os incidentes de segurança suspeitos, incluindo quaisquer violações de segurança lógica e física, são registrados, acompanhados e resolvidos de acordo com nossa política e nossos procedimentos de resposta a incidentes. Quando exigido pela legislação aplicável, incluindo a Lei de Resiliência Cibernética da UE, notificamos as autoridades competentes (como a ENISA) sobre incidentes de segurança significativos dentro dos prazos estabelecidos. Se você tiver alguma dúvida ou suspeitar que um incidente possa ter ocorrido, entre em contato com security@teamretro.com.

Relatórios de tempo de inatividade

Os clientes corporativos podem optar por ser notificados sobre quaisquer problemas por e-mail. Nossa plataforma de hospedagem geralmente evita a necessidade de interrupções no serviço quando realizamos alterações em nossos serviços. No entanto, notificaremos os clientes por e-mail com pelo menos 24 horas de antecedência sobre qualquer interrupção programada.

Sua privacidade está protegida

Seus dados continuam sendo de sua propriedade e só podem ser acessados por quem você decidir compartilhá-los. A TeamRetro (e a equipe da GroupMap Technology) só poderá acessar seus dados em circunstâncias específicas, como quando exigido por lei ou para prestar suporte técnico. Todos os detalhes podem ser encontrados na Política de Privacidade da TeamRetro.

Retenção e exclusão de dados

Nós mantemos os dados dos nossos usuários por um período de 365 dias após o término do período de avaliação ou da assinatura. Em seguida, todos os dados são completamente removidos do aplicativo. Os usuários podem solicitar a remoção dos dados a qualquer momento, excluindo sua conta ou entrando em contato com o suporte da TeamRetro. Saiba mais sobre nossas configurações de privacidade em nossa Política de Privacidade.

Continuidade de negócios e recuperação de desastres

Fazemos backup de todos os nossos ativos críticos e testamos regularmente a restauração desses backups para garantir uma recuperação rápida em caso de desastre. Realizamos um backup completo dos dados dos clientes a cada 24 horas. Os backups são criptografados com segurança e armazenados por 30 dias, após os quais são destruídos de forma segura. Estabelecemos planos de Continuidade de Negócios e Recuperação de Desastres e os revisamos anualmente.

Programação segura

Nossos desenvolvedores são obrigados a seguir nossa Política de Segurança de Aplicações, formalmente documentada, bem como as melhores práticas e estruturas de segurança (OWASP Top 10, SANS Top 25). Utilizamos as seguintes melhores práticas para garantir o mais alto nível de segurança em nosso software:

• Os desenvolvedores participam de treinamentos regulares de segurança para se informarem sobre vulnerabilidades e ameaças comuns
• Revisamos nosso código em busca de vulnerabilidades de segurança
• Atualizamos regularmente nossas dependências e garantimos que nenhuma delas apresente vulnerabilidades conhecidas
• Utilizamos o Teste Estático de Segurança de Aplicações (SAST) para detectar vulnerabilidades básicas de segurança em nosso código-fonte
• Utilizamos o Teste Dinâmico de Segurança de Aplicações (DAST) para analisar nossas aplicações
• Ao utilizar o Datadog, podemos corrigir com mais eficiência as vulnerabilidades identificadas por testes de segurança, auditorias ou programas de divulgação de vulnerabilidades. Também somos alertados quando componentes de aplicativos com vulnerabilidades conhecidas são utilizados em produção (dependências).

Análise de vulnerabilidades

O TeamRetro é analisado mensalmente, e após lançamentos importantes, pelo intruder.io para identificar possíveis vulnerabilidades na infraestrutura, na plataforma e nas aplicações. Quaisquer vulnerabilidades identificadas são avaliadas e mitigadas de acordo com nossas políticas de segurança de aplicações.

Testes de penetração

Periodicamente, contratamos testes de penetração independentes para validar a segurança da plataforma TeamRetro. Corrigimos todas as falhas críticas em até 48 horas e as falhas de alta gravidade em até 7 dias.

Avaliações de risco

É realizada uma avaliação de riscos anual para identificar ameaças e vulnerabilidades nos sistemas da TeamRetro. As estratégias de mitigação são desenvolvidas com base nos resultados dessa avaliação de riscos.

Fortalecimento do sistema

CONTAINERIZAÇÃO DE SERVIDORES – O TeamRetro utiliza a containerização do sistema operacional por meio do AWS Fargate para garantir que o acesso aos dados e ao código do TeamRetro seja devidamente restrito. Todos os serviços do TeamRetro são executados em recursos de computação dedicados, isolados em sua própria rede virtual.

SISTEMAS DE ARQUIVOS EFÉMEROS DO SERVIDOR – Os servidores da TeamRetro operam com um sistema de arquivos efêmero, restaurado para uma cópia atualizada do código implantado mais recentemente pelo menos uma vez por dia, ou sempre que uma nova versão é implantada.

ATUALIZAÇÕES DO SISTEMA – As atualizações no nível da plataforma (sistema operacional, bibliotecas do sistema e serviços) dos servidores de aplicativos e bancos de dados do TeamRetro são realizadas de forma contínua.

ATUALIZAÇÃO DE APLICATIVOS – A atualização de aplicativos (bibliotecas de aplicativos, etc.) é realizada pela TeamRetro de forma contínua.

COMPUTADORES – Todos os equipamentos da equipe (como laptops e computadores de mesa de desenvolvimento) utilizam armazenamento criptografado e são protegidos por software antivírus atualizado.

Registro abrangente

Mantemos registros detalhados de todas as transações realizadas no sistema, incluindo registros específicos das tentativas de login. Nossos registros são analisados regularmente pela nossa equipe de segurança para identificar tentativas de acesso não autorizado.

Acesso da nossa equipe

• Nosso rigoroso procedimento interno impede que qualquer funcionário ou administrador tenha acesso aos dados dos usuários. Só podemos acessar seus dados em circunstâncias específicas, como quando exigido por lei ou para prestar suporte técnico. Todos os detalhes podem ser encontrados em nossa Política de Privacidade.
• Nossos funcionários e prestadores de serviços assinam um Acordo de Não Divulgação e Confidencialidade para proteger as informações confidenciais dos nossos clientes.
• Nossos funcionários e prestadores de serviços são avaliados por um serviço líder em verificação de antecedentes.
• O nível de acesso de cada um dos nossos funcionários é determinado com base na necessidade, revisto periodicamente e revogado caso não seja mais necessário. Exigimos a autenticação multifatorial para todos os sistemas críticos da TeamRetro.
• É necessária a autenticação de dois fatores para o acesso de administrador.

Divulgação responsável

Incentivamos todos aqueles que praticam a divulgação responsável e cumprem nossas políticas e termos de serviço a participarem do nosso programa de divulgação de vulnerabilidades. Evite testes automatizados e realize testes de segurança apenas com seus próprios dados. Não divulgue nenhuma informação sobre as vulnerabilidades até que as corrijamos. As recompensas são concedidas a nosso critério, dependendo da gravidade da vulnerabilidade relatada. Saiba mais sobre o programa de divulgação responsável da TeamRetro.