One Identity
A One Identity considera muito importante a proteção a informações ao processar e transferir dados pessoais. Esta visão geral da proteção a informações se aplica aos controles corporativos da One Identity para proteger os dados pessoais que são processados por ela ou suas afiliadas e/ou transferidos entre as empresas do grupo One Identity.
Práticas de segurança
As práticas e os padrões de proteção a informações corporativas da One Identity visam proteger o ambiente empresarial da One Identity e cumprir objetivos comerciais nas áreas de proteção a informações, gerenciamento de ativos e sistema, desenvolvimento e controle.
Tais práticas e padrões são aprovados pela gerência executiva da One Identity, são revisados periodicamente e atualizados quando necessário.
A One Identity deve manter um programa de privacidade de dados e proteção a informações apropriado, incluindo políticas e procedimentos para restrições de acesso físico e lógico, classificação de dados, direitos de acesso, programas de credenciamento, retenção de registros, privacidade de dados, proteção a informações e o tratamento de dados pessoais e confidenciais ao longo de seu ciclo de vida útil. As principais políticas serão revisadas pelo menos uma vez por ano.
Segurança organizacional
É responsabilidade de todos os funcionários da One Identity envolvidos no processamento de Dados pessoais de clientes cumprir estas práticas e padrões. A função de Proteção a informações ("IS") da One Identity é responsável pelas seguintes atividades:
- Estratégia de segurança: a função de IS trabalha para garantir a conformidade com suas próprias políticas e padrões relacionados à segurança e com todos os regulamentos relevantes, bem como para aumentar a conscientização e fornecer orientação aos usuários. A função de IS também realiza avaliações de risco e atividades de gerenciamento de riscos, além de gerenciar os requisitos de segurança de contratos.
- Engenharia de segurança: a função de IS gerencia testes, design e implementação de soluções de segurança para permitir a adoção de controles de segurança em todo o ambiente on-line e de tecnologia da informação da One Identity.
- Operações de segurança: a função de IS gerencia o suporte de soluções de segurança implementadas, monitora e verifica o ambiente e os ativos on-line e de tecnologia da informação da One Identity e gerencia a resposta a incidentes.
- Investigações forenses: a função de IS trabalha com o departamento jurídico e de conformidade e com o de recursos humanos para realizar investigações, incluindo detecção e perícia.
- Consultoria e testes de segurança: a função de IS trabalha com desenvolvedores de software no desenvolvimento de melhores práticas de segurança, presta consultoria no desenvolvimento de aplicações e na arquitetura para projetos de software e realiza testes de garantia.
Classificação e controle de ativos
A prática da One Identity é rastrear e gerenciar as principais informações e ativos físicos, lógicos e de software. Exemplos de ativos que a One Identity pode rastrear incluem:
- ativos de informação, como bancos de dados identificados, planos de recuperação de desastres, planos de continuidade dos negócios, classificação de dados, informações arquivadas;
- ativos de software, como aplicações identificadas e software de sistema;
- ativos físicos, como servidores identificados, desktops/notebooks, fitas de backup/arquivamento, impressoras e equipamentos de comunicação.
Os ativos são classificados com base na criticidade do negócio para determinar os requisitos de confidencialidade. A orientação do setor para o tratamento de dados pessoais fornece a estrutura para proteções técnicas, organizacionais e físicas. Tais proteções podem incluir controles como gerenciamento de acesso, criptografia, registro e monitoramento e destruição de dados.
Triagem, treinamento e segurança de funcionários
- Triagem/verificação de antecedentes: quando for razoavelmente praticável e apropriado, como parte do processo de contratação/recrutamento, a One Identity realiza triagem e verificações de antecedentes de funcionários ou potenciais funcionários (o que pode variar conforme o país, com base nas leis e nos regulamentos locais), quando esses funcionários terão acesso às redes, aos sistemas ou às instalações da One Identity.
- Identificação: a One Identity exige que todos os funcionários forneçam prova de identificação e qualquer documentação adicional que possa ser necessária com base no país de contratação ou se exigida por outras entidades ou clientes da One Identity para os quais o funcionário está prestando serviços.
- Treinamento: o programa anual de treinamento em conformidade da One Identity inclui a exigência de que os funcionários concluam um treinamento em conscientização sobre proteção a informações e proteção de dados on-line.
- Confidencialidade: a One Identity garante que seus funcionários sejam legalmente obrigados a proteger e manter a confidencialidade de todos os dados com os quais trabalham, conforme os acordos padrão.
Controles de acesso físico e segurança ambiental
- Programa de segurança física: a One Identity usa uma série de abordagens tecnológicas e operacionais em seu programa de segurança física para mitigar os riscos de segurança na medida do razoavelmente praticável. A equipe de segurança da One Identity trabalha em estreita colaboração com cada local a fim de determinar se há medidas adequadas em vigor para evitar que pessoas não autorizadas tenham acesso aos sistemas nos quais os dados pessoais são processados e monitorar continuamente quaisquer alterações na infraestrutura física, nos negócios e nas ameaças conhecidas. Ela também monitora as medidas de melhores práticas usadas por outros no setor e seleciona cuidadosamente as abordagens que atendem à exclusividade da prática comercial e às expectativas da One Identity. A One Identity equilibra sua abordagem em relação à segurança, levando em conta elementos de controle que incluem arquitetura, operações e sistemas.
- Controles de acesso físico: os controles de acesso físico/medidas de segurança nas instalações da One Identity foram elaborados para atender aos seguintes requisitos:
- o acesso aos edifícios, às instalações e a outros locais físicos da One Identity é controlado e baseado na necessidade do negócio, na confidencialidade dos ativos e no papel e relacionamento do indivíduo com a One Identity. Apenas o pessoal associado à One Identity tem acesso às suas instalações e recursos físicos. O acesso é fornecido apenas de maneira consistente com a função e as responsabilidades do pessoal na organização;
- as instalações relevantes da One Identity são protegidas por um sistema de controle de acesso. O acesso a essas instalações é concedido apenas com um cartão ativado;
- pessoas que precisam de acesso a instalações e/ou recursos controlados por cartão recebem credenciais de acesso físico adequadas e exclusivas (por exemplo, um crachá ou cartão-chave atribuído a um indivíduo) por parte da função de IS. Indivíduos que recebem credenciais de acesso físico exclusivas são instruídos a não permitir que outras pessoas acessem as instalações ou os recursos da One Identity usando suas credenciais exclusivas. Por exemplo, não pode haver "tailgating" (utilização não autorizada). Credenciais temporárias (de até 14 dias) poderão ser emitidas para indivíduos que não possuem identidades ativas quando necessárias (i) para acesso a uma instalação específica e (ii) para necessidades comerciais válidas. As credenciais únicas são intransferíveis e, se um indivíduo não puder apresentar suas credenciais mediante solicitação, poderá ter a entrada negada nas instalações da One Identity ou ser escoltado para fora do local. Nas entradas monitoradas por funcionários, os indivíduos são obrigados a apresentar uma identificação com foto válida ou credenciais válidas para o representante de segurança ao entrar. Quem perder suas credenciais ou outra identificação será obrigado a acessar as instalações por uma entrada monitorada por funcionário e receberá um crachá temporário de um representante de segurança;
- os visitantes que precisam de acesso às instalações da One Identity devem entrar por uma entrada principal e/ou monitorada por funcionário. Os visitantes devem registrar a data e a hora de chegada, a hora de saída e o nome de quem estão visitando. Os visitantes devem apresentar uma forma de identificação emitida pelo governo para validar sua identidade. Para evitar o acesso ou a divulgação de informações confidenciais da empresa, os visitantes não têm permissão para acesso sem escolta a áreas restritas ou controladas;
- algumas instalações da One Identity usam monitoramento CCTV, proteções de segurança e outras medidas físicas quando apropriado e legalmente permitido;
- recipientes de trituração com trava são fornecidos na maioria dos locais para permitir a destruição segura de informações confidenciais/dados pessoais;
- para projetos de desenvolvimento de software e implementação de infraestrutura, a função de IS usa um processo de avaliação de riscos e um programa de classificação de dados para gerenciar os riscos decorrentes de tais atividades.
Incidentes de segurança e plano de resposta
- Plano de resposta a incidentes de segurança: a One Identity mantém uma política de resposta a incidentes de segurança e um plano e procedimentos relacionados que abordam as medidas que a One Identity tomará em caso de perda de controle, roubo, divulgação não autorizada, acesso não autorizado ou aquisição não autorizada de dados pessoais. Tais medidas podem incluir análise de incidentes, contenção, resposta, correção, relatório e o retorno às operações normais.
- Controles de resposta: há controles em vigor para oferecer proteção contra uso malicioso de ativos e softwares e dar suporte à detecção desse uso, bem como para relatar possíveis incidentes à função de IS ou ao Service Desk da One Identity para que as medidas apropriadas sejam tomadas. Os controles podem incluir, entre outros, políticas e padrões de proteção a informações; acesso restrito; ambientes de desenvolvimento e teste designados; detecção de vírus em servidores, desktops e notebooks; verificação de anexos de e-mail em busca de vírus; verificações de conformidade do sistema; monitoramento e resposta de prevenção contra intrusão; regras de firewall; registros e alertas sobre eventos importantes; procedimentos de tratamento de informações com base no tipo de dados; aplicação de e-commerce e segurança de rede; e verificações de vulnerabilidade de sistemas e aplicações. Controles adicionais podem ser implementados com base no risco.
Criptografia e controle de transmissão de dados
A One Identity deve, na medida em que tenha controle sobre qualquer transmissão eletrônica ou transferência de dados pessoais, tomar todas as medidas razoáveis para garantir que tal transmissão ou transferência não possa ser lida, copiada, alterada ou removida sem a devida autoridade durante sua transmissão ou transferência. Em particular, a One Identity deve:
- implementar práticas de criptografia padrão do setor em sua transmissão de dados pessoais. Os métodos de criptografia padrão do setor usados pela One Identity incluem Secure Sockets Layer (SSL), Transport Layer Security (TLS), um programa de shell seguro como SSH e/ou Internet Protocol Security (IPSec);
- para aplicações voltadas à Internet que podem lidar com dados pessoais confidenciais e/ou fornecer integração em tempo real com sistemas na rede que contém tais informações (incluindo a rede principal da One Identity), um Firewall de aplicações da Web (WAF) pode ser usado para fornecer uma camada adicional de verificação de entrada e mitigação de ataques. O WAF será configurado para mitigar potenciais vulnerabilidades, como ataques de injeção, estouros de buffer, manipulação de cookies e outros métodos de ataque comuns.
Controles de acesso ao sistema
O acesso aos sistemas da One Identity é restrito a usuários autorizados. Procedimentos e controles formais controlam o modo como o acesso é concedido a pessoas autorizadas e o nível de acesso necessário e apropriado para que essas pessoas desempenhem suas funções.
Controle de acesso a dados
A One Identity aplica os controles definidos abaixo em relação ao acesso e uso de dados pessoais:
- o pessoal é instruído a usar apenas a quantidade mínima de dados pessoais necessários para atingir os objetivos comerciais relevantes da One Identity
- o pessoal é instruído a não ler, copiar, modificar ou remover dados pessoais, a menos que seja necessário para realizar suas tarefas de trabalho;
- o uso de dados pessoais por terceiros é regido por termos e condições contratuais entre o terceiro e a One Identity, que impõe limites ao uso de dados pessoais por terceiros e restringe tal uso ao que é necessário para o terceiro fornecer os serviços;
Controle de disponibilidade
A One Identity protege os dados pessoais contra destruição ou perda acidental, seguindo estes controles:
- os dados pessoais são retidos de acordo com o contrato do cliente ou, na sua ausência, as políticas e práticas de gerenciamento de registros da One Identity, assim como os requisitos legais de retenção;
- os dados pessoais em cópia impressa são descartados em uma lixeira segura ou em uma picotadora de papel com corte transversal, de forma que as informações não sejam mais decifráveis;
- dados pessoais eletrônicos são fornecidos à equipe de Gerenciamento de ativos de TI da One Identity para descarte adequado;
- medidas técnicas apropriadas estão em vigor, incluindo (entre outras) software antivírus instalado em todos os sistemas; proteção de rede fornecida via firewall; segmentação de rede; usuário de filtro de conteúdo/proxies; fonte de alimentação sem interrupções; geração regular de backups; espelhamento de disco rígido quando necessário; sistema de segurança contra incêndio; sistemas de proteção contra água quando apropriado; planos de emergência; e salas de servidores com ar-condicionado.
Controle de entrada de dados
A One Identity tem, quando apropriado, medidas destinadas a verificar se e por quem os dados pessoais foram introduzidos nos sistemas de processamento de dados ou se esses dados foram modificados ou removidos. O acesso às aplicações relevantes é registrado.
Desenvolvimento e manutenção do sistema
As vulnerabilidades de terceiros lançadas publicamente são revisadas quanto à aplicabilidade no ambiente da One Identity. Com base no risco para os negócios e clientes da One Identity, existem prazos pré-determinados para correção. Além disso, avaliações e verificações de vulnerabilidade são realizadas tanto em aplicações novas e importantes quanto na infraestrutura com base nos riscos. Revisões de código e scanners são usados no ambiente de desenvolvimento antes da produção para detectar proativamente vulnerabilidades de codificação com base nos riscos. Tais processos permitem a identificação proativa de vulnerabilidades, assim como da conformidade.
Conformidade
Os departamentos de proteção a informações, jurídico, de privacidade e de conformidade trabalham para identificar as leis e os regulamentos regionais que podem ser aplicáveis à One Identity. Os requisitos abrangem áreas como propriedade intelectual da One Identity e seus clientes, licenças de software, proteção de informações pessoais de funcionários e clientes, proteção de dados e procedimentos de manuseio de dados, transmissão transfronteiriça de dados, procedimentos financeiros e operacionais, controles regulamentares de exportação relacionados à tecnologia e requisitos forenses.
Mecanismos como o programa de proteção a informações, o conselho executivo de privacidade, auditorias/avaliações internas e externas, consultoria jurídica interna e externa, avaliação de controles internos, teste de penetração interno e avaliações de vulnerabilidade, gerenciamento de contratos, conscientização de segurança, consultoria de segurança, análises de exceção à política e gerenciamento de riscos se combinam para impulsionar a conformidade com esses requisitos.
Subprocessadores
Informações sobre os subprocessadores atuais estão disponíveis em https://support.oneidentity.com/subprocessor. O cliente pode se inscrever para receber notificações sobre novos subprocessadores.
Informações sobre outras medidas técnicas e organizacionais específicas do produto estão disponíveis nos Guias de segurança relacionados ao produto.