Segurança Organizacional

A Prosperi leva a sério a segurança de seus dados e de seus clientes e garante que apenas pessoas autorizadas tenham acesso aos seus recursos.


- Programa de Segurança da Informação

Temos um Programa de Segurança da Informação em vigor que é comunicado em toda a organização. Nosso Programa de Segurança da Informação segue os critérios estabelecidos pelo SOC 2. SOC 2 é um procedimento de auditoria de segurança da informação amplamente conhecido criado pelo American Institute of Certified Public Accountants.


- Funções e Responsabilidades

As funções e responsabilidades relacionadas ao nosso Programa de Segurança da Informação e à proteção dos dados de nossos clientes são bem definidas e documentadas. Nossas políticas de segurança são revisadas periodicamente, e aceitas por todos da Prosperi.


- Treinamento de conscientização de segurança

Todos da Prosperi realizam, periodicamente, treinamentos de conscientização de segurança, abrangendo as melhores práticas e tópicos de segurança da informação, como phishing e gerenciamento de senhas.


- Confidencialidade

Todos da Prosperi assinam e aderem à um acordo de confidencialidade no momento da admissão.


- Antecedentes

Realizamos verificações de antecedentes em todos os novos membros da equipe de acordo com as leis locais.

Desenvolvimento Seguro

Todos os projetos de desenvolvimento de software, seguem princípios de ciclo de vida de desenvolvimento seguro.

Todo o desenvolvimento de novos produtos, ferramentas e serviços, passam por uma revisão de projeto para garantir que os requisitos de segurança sejam incorporados ao desenvolvimento proposto.

Todos os membros da equipe que estão regularmente envolvidos em qualquer desenvolvimento de sistema passam por treinamento anual de desenvolvimento seguro em linguagens de codificação ou script com as quais trabalham, bem como qualquer outro treinamento relevante.

O desenvolvimento de software é conduzido de acordo com as 10 principais recomendações do OWASP para segurança de aplicativos da Web.


- Teste seguro

Regularmente é realizado teste de penetração (Pen Test), por fornecedores independentes, e varredura de vulnerabilidades de todos os sistemas de produção.

Todos os novos sistemas e serviços são verificados antes de serem implantados em produção.

Testes de penetração são executados, em novos sistemas ou novas versões de sistemas e serviços, tanto por engenheiros de segurança interna quanto por fornecedores independentes.

Realizamos testes estáticos e dinâmicos de segurança de software em todo o código, incluindo bibliotecas de código aberto, como parte de nosso processo de desenvolvimento de software.

Segurança na nuvem

- Segurança da infraestrutura de nuvem

Todos os nossos serviços são hospedados nos serviços Microsoft Azure. A Microsoft possui um programa de segurança robusto com várias certificações. Para obter mais informações sobre os processos de segurança do nosso provedor, visite Azure Security.


- Segurança de hospedagem de dados

Todos os nossos dados são hospedados em bancos de dados do Microsoft Azure. Esses bancos de dados estão todos localizados nos Estados Unidos. Consulte a documentação específica do fornecedor vinculada acima para obter mais informações.


- Criptografia em repouso

Todos os bancos de dados são criptografados em repouso.


- Criptografia em trânsito

Nossos aplicativos trafegam dados criptografados via TLS/SSL.


- Varredura de vulnerabilidades

Realizamos a verificação de vulnerabilidades e monitoramos ativamente as ameaças.


- Registro em log e monitoramento

Monitoramos e registramos o log dos vários serviços em nuvem.


- Continuidade de negócios e recuperação de desastres

Usamos os serviços de backup do nosso provedor de hospedagem de dados para reduzir qualquer risco de perda de dados no caso de uma falha de hardware. Utilizamos serviços de monitoramento para alertar a equipe no caso de quaisquer falhas que afetem os usuários.


- Resposta a incidentes

Temos um processo para lidar com eventos de segurança da informação que inclui procedimentos de escalonamento, mitigação rápida e comunicação.

Segurança de Acesso

- Permissões e autenticação

O acesso à infraestrutura de nuvem e outras ferramentas confidenciais é limitado a funcionários autorizados e que precisem do acesso para execução de suas funções.

Quando disponível, temos políticas de logon único (SSO), autenticação de 2 fatores (2FA) e senha forte para garantir que o acesso aos serviços de nuvem seja protegido.


- Controle de Acesso de Privilégios Mínimos

Seguimos o princípio do menor privilégio em relação ao gerenciamento de identidade e acesso.


- Avaliações trimestrais de acesso

We perform quarterly access reviews of all team members with access to sensitive systems.


- Requisitos de senha

Todos os membros da equipe são obrigados a aderir a um conjunto mínimo de requisitos de complexidade de senha.


- Gerenciadores de senhas

Todos os membros da equipe utilizam-se de aplicativo de gerenciador de senhas.

Gestão de Fornecedores e Riscos

- Avaliações Anuais de Risco

Passamos por avaliações de risco, pelo menos anuais, para identificar quaisquer ameaças potenciais, incluindo considerações sobre fraude.


- Gerenciamento de riscos de fornecedores

O grau de risco do fornecedor é determinado e revisões apropriadas são executadas antes da contratação do fornecedor.

Conformidade

A Prosperi está comprometida em fornecer produtos e serviços seguros para gerenciar bilhões de identidades digitais em todo o mundo com segurança e facilidade. Nossas certificações externas fornecem garantia da dedicação da Prosperi em proteger nossos clientes, através da avaliação e validação regular da eficácia das proteções e práticas de segurança que a Prosperi tem em vigor.

SOC 2 Type 2

A Prosperi concluiu com êxito a auditoria AICPA Service Organization Control (SOC) 2 Tipo II. A auditoria confirma que as práticas, políticas, procedimentos e operações de segurança da informação da Prosperi atendem aos padrões SOC 2 para segurança.

A Prosperi foi auditada pela Prescient Assurance, líder em certificações de segurança e conformidade para empresas B2B, SAAS em todo o mundo. A Prescient Assurance é uma “registered public accounting” no EUA e no Canadá que fornece serviços de gerenciamento e garantia de riscos que incluem, entre outros, SOC 2, PCI, ISO, NIST, GDPR, CCPA, HIPAA, CSA STAR etc. Para obter mais informações sobre a Prescient Assurance, você pode contatá-los em info@prescientassurance.com.

O relatório de auditoria SOC 2 Tipo II demonstra aos clientes atuais e futuros da Prosperi que os seus dados são gerenciados com o mais alto padrão de segurança e conformidade.

Clientes podem solicitar acesso ao relatório de auditoria, mas ele exige que um acordo de confidencialidade (NDA) seja assinado por sua empresa. Para solicitar uma cópia do nosso NDA e/ou relatório SOC, entre em contato com privacy@prosperiglobal.com.

Fale Conosco

Se você tiver dúvidas, comentários ou preocupações ou se desejar relatar um possível problema de segurança, entre em contato com privacy@prosperiglobal.com.