A Prosperi leva a sério a segurança de seus dados e de seus clientes e garante que apenas pessoas autorizadas tenham acesso aos seus recursos.
Temos um Programa de Segurança da Informação em vigor que é comunicado em toda a organização. Nosso Programa de Segurança da Informação segue os critérios estabelecidos pelo SOC 2. SOC 2 é um procedimento de auditoria de segurança da informação amplamente conhecido criado pelo American Institute of Certified Public Accountants.
As funções e responsabilidades relacionadas ao nosso Programa de Segurança da Informação e à proteção dos dados de nossos clientes são bem definidas e documentadas. Nossas políticas de segurança são revisadas periodicamente, e aceitas por todos da Prosperi.
Todos da Prosperi realizam, periodicamente, treinamentos de conscientização de segurança, abrangendo as melhores práticas e tópicos de segurança da informação, como phishing e gerenciamento de senhas.
Todos da Prosperi assinam e aderem à um acordo de confidencialidade no momento da admissão.
Realizamos verificações de antecedentes em todos os novos membros da equipe de acordo com as leis locais.
Todos os projetos de desenvolvimento de software, seguem princípios de ciclo de vida de desenvolvimento seguro.
Todo o desenvolvimento de novos produtos, ferramentas e serviços, passam por uma revisão de projeto para garantir que os requisitos de segurança sejam incorporados ao desenvolvimento proposto.
Todos os membros da equipe que estão regularmente envolvidos em qualquer desenvolvimento de sistema passam por treinamento anual de desenvolvimento seguro em linguagens de codificação ou script com as quais trabalham, bem como qualquer outro treinamento relevante.
O desenvolvimento de software é conduzido de acordo com as 10 principais recomendações do OWASP para segurança de aplicativos da Web.
Regularmente é realizado teste de penetração (Pen Test), por fornecedores independentes, e varredura de vulnerabilidades de todos os sistemas de produção.
Todos os novos sistemas e serviços são verificados antes de serem implantados em produção.
Testes de penetração são executados, em novos sistemas ou novas versões de sistemas e serviços, tanto por engenheiros de segurança interna quanto por fornecedores independentes.
Realizamos testes estáticos e dinâmicos de segurança de software em todo o código, incluindo bibliotecas de código aberto, como parte de nosso processo de desenvolvimento de software.
Todos os nossos serviços são hospedados nos serviços Microsoft Azure. A Microsoft possui um programa de segurança robusto com várias certificações. Para obter mais informações sobre os processos de segurança do nosso provedor, visite Azure Security.
Todos os nossos dados são hospedados em bancos de dados do Microsoft Azure. Esses bancos de dados estão todos localizados nos Estados Unidos. Consulte a documentação específica do fornecedor vinculada acima para obter mais informações.
Todos os bancos de dados são criptografados em repouso.
Nossos aplicativos trafegam dados criptografados via TLS/SSL.
Realizamos a verificação de vulnerabilidades e monitoramos ativamente as ameaças.
Monitoramos e registramos o log dos vários serviços em nuvem.
Usamos os serviços de backup do nosso provedor de hospedagem de dados para reduzir qualquer risco de perda de dados no caso de uma falha de hardware. Utilizamos serviços de monitoramento para alertar a equipe no caso de quaisquer falhas que afetem os usuários.
Temos um processo para lidar com eventos de segurança da informação que inclui procedimentos de escalonamento, mitigação rápida e comunicação.
O acesso à infraestrutura de nuvem e outras ferramentas confidenciais é limitado a funcionários autorizados e que precisem do acesso para execução de suas funções.
Quando disponível, temos políticas de logon único (SSO), autenticação de 2 fatores (2FA) e senha forte para garantir que o acesso aos serviços de nuvem seja protegido.
Seguimos o princípio do menor privilégio em relação ao gerenciamento de identidade e acesso.
We perform quarterly access reviews of all team members with access to sensitive systems.
Todos os membros da equipe são obrigados a aderir a um conjunto mínimo de requisitos de complexidade de senha.
Todos os membros da equipe utilizam-se de aplicativo de gerenciador de senhas.
Passamos por avaliações de risco, pelo menos anuais, para identificar quaisquer ameaças potenciais, incluindo considerações sobre fraude.
O grau de risco do fornecedor é determinado e revisões apropriadas são executadas antes da contratação do fornecedor.
A Prosperi está comprometida em fornecer produtos e serviços seguros para gerenciar bilhões de identidades digitais em todo o mundo com segurança e facilidade. Nossas certificações externas fornecem garantia da dedicação da Prosperi em proteger nossos clientes, através da avaliação e validação regular da eficácia das proteções e práticas de segurança que a Prosperi tem em vigor.
A Prosperi concluiu com êxito a auditoria AICPA Service Organization Control (SOC) 2 Tipo II. A auditoria confirma que as práticas, políticas, procedimentos e operações de segurança da informação da Prosperi atendem aos padrões SOC 2 para segurança.
A Prosperi foi auditada pela Prescient Assurance, líder em certificações de segurança e conformidade para empresas B2B, SAAS em todo o mundo. A Prescient Assurance é uma “registered public accounting” no EUA e no Canadá que fornece serviços de gerenciamento e garantia de riscos que incluem, entre outros, SOC 2, PCI, ISO, NIST, GDPR, CCPA, HIPAA, CSA STAR etc. Para obter mais informações sobre a Prescient Assurance, você pode contatá-los em info@prescientassurance.com.
O relatório de auditoria SOC 2 Tipo II demonstra aos clientes atuais e futuros da Prosperi que os seus dados são gerenciados com o mais alto padrão de segurança e conformidade.
Clientes podem solicitar acesso ao relatório de auditoria, mas ele exige que um acordo de confidencialidade (NDA) seja assinado por sua empresa. Para solicitar uma cópia do nosso NDA e/ou relatório SOC, entre em contato com privacy@prosperiglobal.com.
Se você tiver dúvidas, comentários ou preocupações ou se desejar relatar um possível problema de segurança, entre em contato com privacy@prosperiglobal.com.