Confira abaixo algumas perguntas e respostas sobre segurança da informação, processos e metodologias voltadas a acesso e criptografia, juntamente a métodos utilizados para fornecer camadas de segurança nos produtos HCM em relação à LGPD:

1. A criptografia é usada para dados em repouso? 

R: Sim, todos os bancos de dados que compõem hoje a solução Senior X possuem o recurso de criptografia habilitado.
Utilizamos o recurso oferecido pela própria AWS para este fim, segue documentação com detalhes: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html#Overview.Encryption.Enabling

2. A criptografia é usada para dados em movimento?

R: Sim, toda transferência de dados entre os usuários e a plataforma e também entre seus componentes é realizada através do protocolo HTTPS/SSL.

3. Existem dados de produção no ambiente de desenvolvimento para este aplicativo?

R: Não.

4. Como os ambientes DEV/HML/UAT/PRD são segregados? Quais controles de segurança são usados na segregação?

R: Cada ambiente é segregado em um tenant distinto dentro da plataforma Senior X, assim sendo, seus dados são separados logicamente dentro dos diversos bancos de dados.

5. Quais controles são aplicados se o aplicativo for exposto à Internet?

R: A plataforma Senior X possui um Web Application Firewall o qual monitora e aplica os bloqueios, quando necessário, de todas as requisições realizadas contra a mesma. Além disto rodamos periodicamente testes dinâmicos de segurança (DAST) contra a plataforma para identificar possíveis vulnerabilidades não tratadas.

6. Se o aplicativo for SaaS, quais controles de segurança a organização possui e quais controles de segurança o provedor de serviços possui no aplicativo?

R: O acesso as nossas contas AWS são bastante restritos e todos usuários que possuem acesso atualmente precisam passar por um processo de autenticação multi-fator para realizar este acesso. Além disso, o nível de privilégio que cada usuário possui dentro destas contas é restrito as funções desempenhadas pelo mesmo, obedecendo sempre a boa prática do menor privilégio possível.

7. Os logs são enviados para uma ferramenta de segurança?

R: Não.

8. Descreva outras medidas de segurança que são aplicadas atualmente.

R: A solução Senior X possui na borda sua infraestrutura um Web Application Firewall, responsável pela análise e eventual bloqueio das requisições em caso de suspeita de ataque. Além disto rodamos testes dinâmicos de segurança mensalmente, atuando imediatamente em qualquer falha detectada.

9. Informe o(s) país(es) no(s) qual(is) o banco de dados da aplicação está localizado, para cada sistema, separadamente.

R: Brasil.

10. Em qual país o site de Disaster Recovery está localizado (backup, contingência, redundância etc.) para cada sistema citado, caso aplicável?

R: Brasil.

11. Explique o processo de anonimização de dados, caso aplicável, o processo de anonimização dos dados ocorre nas situações em que a Senior utiliza dados com informações sensíveis para fins de análise de dados estatísticos e comportamento de perfil de usuário.

R: Nestes casos, uma vez que a informação é elegida para tratamento, uma análise dos campos sensíveis é realizada e os dados são anonimizados durante o processo de ingestão.

12. Existe alguma rotina automatizada para exclusão dos dados para respeitar o período de retenção definido para os dados, caso aplicável?

R: Há ferramentas na Senior X que possibilitam a automação do processo de exclusão dos dados, utilizando rotinas específicas para LGPD criadas para a exclusão, aliadas ao agendador de tarefas.

13. Há alguma medida de proteção/salvaguarda p/ transferência internacional de dados?

R: Sim, o local de armazenamento das informações do cliente respeitam o estabelecido em contrato.

14. Qual medida de proteção/salvaguarda é utilizada na transferência internacional de dados?

R: A infraestrutura da Senior X hoje está situada no território nacional, não havendo transferência para outras regiões do globo.
Quanto ao acesso ao sistemas, há a possibilidade de restrição de IP de origem, medida que pode impedir o acesso indevido.

15. Os usuários privilegiados (conta admin/master)possuem controles de acesso aos dados, quais?

R: Os usuários administradores possuem acesso a todos os recursos disponíveis no sistema, sendo que, podem acessar os dados que são disponibilizados através dos produtos. Os dados podem ser listados através de telas do sistema e relatórios. Não há acesso direto aos bancos de dados das aplicações.

16. Indique outras medidas de segurança que são aplicadas atualmente(firewalls, SoD, controle de datacenter, etc...)

R: A solução Senior X possui na borda sua infraestrutura um Web Application Firewall, responsável pela análise e eventual bloqueio das requisições em caso de suspeita de ataque. Além disto rodamos testes dinâmicos de segurança mensalmente, atuando imediatamente em qualquer falha detectada