Segurança e Conformidade na Gestão de Tempo
Conheça como protegemos nossos clientes e seus dados. Para mais informações sobre nossas práticas avançadas de segurança de dados, fique à vontade para nos contatar.
Certificações em Segurança e Conformidade
Nossa segurança na coleta e armazenamento de dados é fortalecida por processos certificados, assegurando a confiabilidade das nossas operações
SOC 2
A Oitchau está em conformidade com SOC 2 Type 2, adotando padrões rigorosos para segurança, disponibilidade, processamento de informações, confidencialidade e privacidade.
LGPD
Cumprimos rigorosamente a LGPD (Lei Geral de Proteção de Dados), implementando práticas avançadas para a proteção de dados pessoais.
GDPR
Atendemos as normas da GDPR (General Data Protection Regulation) o que assegura conformidade com os padrões internacionais de proteção de dados e privacidade.
Infraestrutura moderna e segura
Localização
Oitchau usa instalações de data center com certificação ISO 27001.
Nossos serviços são fornecidos a partir da infraestrutura GCP – Google Cloud Platform, onde hospedamos os dados nos Estados Unidos da América.
Segurança física
Nossos serviços de segurança física são fornecidos pelo Google, com instalações de data center com certificação ISO 27001 com acesso restrito, limitado e controlado.
Nossas soluções
Pontos de entrada
A Oitchau é uma empresa que oferece soluções em controle de ponto e timesheets que se adaptam a dispositivos móveis e com acesso Web em vários idiomas. Assim, nossos produtos foram desenvolvidos com o foco em oferecer um controle mais preciso de jornadas e tempo.
- Oitchau App (iOS e Android) é o principal ponto de entrada da UI para nossos clientes. Ele se conecta ao backend que está hospedado em clusters kubernets, configurado com HA multizona.
- Assim como as aplicações de navegadores web através das extensões:
- API Oitchau é o ponto de entrada para chamadas externas de API. Ela está hospedada na Google Cloud Platform.
Direitos de acesso e autenticação de usuário
Oitchau usa arquitetura de segurança baseada em funções e exige que os usuários do sistema sejam identificados e autenticados antes do uso de quaisquer recursos do sistema. Oitchau fornece várias formas de autenticação de usuário:
- Contas de usuários locais: os usuários podem se inscrever com um endereço de e-mail válido e definir sua senha. Opcionalmente, os usuários podem ativar a autenticação de dois fatores.
- Contas existentes: os usuários também podem usar suas contas existentes do Github, Google e Microsoft para usar o sistema com a funcionalidade de logon único.
Logon único: também é possível usar SSO para logon único corporativo: Acesso por SSO: como ativar e configurar? – Oitchau.
Segurança de dados
Processamento de PI
Oitchau processa e armazena um conjunto limitado de Informações Pessoais (PI) apenas para fornecer o processo de autenticação e autorização do usuário.
Nome / Sobrenome / Gênero / Foto / Senha / CEP / Endereço / Cidade / Estado / Dados / Biométricos / Endereço de e-mail / Endereço IP / Cookies / Dados de cartão de crédito / Dados de uso da plataforma (não considerados dados pessoais)
Tratamento de dados
A Oitchau, trata os dados pessoais de acordo com as melhores práticas de segurança da informação e, em especial, os armazena na nuvem da Google Cloud e seus demais serviços, sendo a mesma solução que muitas empresas de alto padrão utilizam. Ela aplica as mais avançadas técnicas de segurança da informação disponíveis no mercado, bem como backup automatizado dos servidores a cada 12h e certificado digital SSL 256 bits, sendo certificada e recertificada no atendimento a todos os requisitos de segurança determinados pela ISO 27018.
Backups de dados
Os backups são criados diariamente e os dados do backup são usados automaticamente para testes e restauração de backup completo, por isso temos sempre a certeza de que em caso de desastre, será possível restaurar o sistema para um estado de funcionamento a partir do backup. Todos os procedimentos de backup são documentados e mantidos atualizados.
HTTPS e HSTS para conexões seguras
Os clientes acessam os serviços do aplicativo Oitchau pela Internet usando a funcionalidade SSL de seu navegador. A comunicação é criptografada usando algoritmos atualizados, como TLS1.2. Além disso, usamos HSTS para garantir que os usuários possam interagir com nosso aplicativo somente por HTTPS.
Informações coletadas
Realizamos a coleta de informações de indivíduos que estão registrados ou autorizados pelo cliente a acessar os ambientes da plataforma.
Assim, todos os dados pessoais poderão ser utilizados como meio probatório em casos de atos ilícitos ou contrários a esta Política de Privacidade ou qualquer outro documento legal disponibilizado pela Oitchau, bem como para o cumprimento de ordem judicial ou de requisição administrativa.
Informações detalhadas e atualizadas sobre os dados e tipos coletados podem ser recuperadas em nossa Política de Privacidade.
Acesso aos dados do cliente
O suporte ao cliente e um número limitado de membros de nossa equipe DevOps podem conseguir acesso aos dados do cliente para suporte e solução de problemas.
Término do contrato
Após a rescisão do contrato, todos os dados do cliente, exceto as partes exigidas por lei, serão excluídos dos nossos sistemas e bancos de dados. O processo é automático e documentado em nossos procedimentos internos.
Solicitações do titular dos dados
As solicitações são tratadas manualmente. Eles podem ser enviados por meio do bate-papo no aplicativo ou direcionados para [email protected].
Anonimização de dados
Exceto em casos específicos de solução de problemas avançados em que possamos precisar dos dados reais, todos os dados do cliente são anonimizados por meio de uma solução personalizada desenvolvida internamente.
Integridade de dados
A integridade dos dados é garantida por mecanismos integrados no núcleo do aplicativo e pelas camadas inferiores da infraestrutura, como verificações de integridade do banco de dados e integridade do sistema de arquivos. Processos regulares de snapshot e backup garantem que, em caso de corrupção de dados, os dados possam ser restaurados para sua versão original. Além disso, possuímos criptografia em repouso e backups com recuperação point-in-time .Asseguramos a precisão e atualização dos dados de ponto e registros dos colaboradores, prevenindo erros, duplicidades ou manipulações indevidas, garantindo dados confiáveis para tomadas de decisão e conformidade legal.
Segurança de pagamento
Usamos um processador de pagamento de terceiros certificado pela PCI DSS, o Stripe, para processar pagamentos feitos à Oitchau de forma segura. Não retemos nenhuma informação pessoal identificável ou qualquer informação financeira, como números de cartão de crédito, em nossos serviços.
Segurança de corporativa
Na Oitchau, compreendemos a importância crucial da segurança de dados, não apenas para nossa própria operação, mas também para a confiança e o bem-estar de nossos clientes. A integridade e a proteção de informações sensíveis estão no cerne de nossas políticas internas, refletindo nosso compromisso inabalável com a segurança e o compliance
Para assegurar que cada aspecto de nossas operações esteja alinhado com os mais altos padrões de segurança, implementamos uma série de políticas internas rigorosas. Estas políticas são desenhadas não apenas para atender, mas para exceder as expectativas regulatórias e dos clientes em relação à segurança de dados.
Equipe de segurança
A Oitchau possui uma equipe interna de Segurança que cobre todos os aspectos relacionados à Segurança da TI. A equipe de Segurança trabalha em estreita colaboração com o departamento Jurídico em questões de conformidade e proteção de dados.
Políticas de segurança
Nossas operações de segurança estão alinhadas com os princípios e processos recomendados pelas principais certificações em segurança. Temos vários processos em vigor e um extenso conjunto de políticas relacionadas à cibersegurança, que ajudam a monitorar riscos de segurança. Técnicas como gerenciamento de logs, gerenciamento de acesso e varreduras de vulnerabilidade, bem como educação e avaliação contínua de usuários. Todos os procedimentos são documentados e em boa conformidade pela certificação SOC 2 Tipo 2.
Desempenho e monitoramento
Dispomos de várias soluções internas em vigor usadas para monitorar nossos sistemas, disponibilidade de aplicativos e outros parâmetros críticos. Também temos uma solução que nos permite gerenciar e monitorar o desempenho de nosso aplicativo.
Gestão de vulnerabilidades
Existe um processo contínuo de gestão de vulnerabilidades e atualizações em vigor. Sistemas operacionais de servidores são regularmente corrigidos e atualizados, e temos vários processos internos em vigor que ajudam a identificar possíveis vulnerabilidades.
Gestão de riscos de terceiros
Além dos riscos internos, a Oitchau também avalia os possíveis riscos gerados por terceiros. Para isso, eles são identificados com o objetivo de tratar ou mitigar seus possíveis impactos.
Resposta a incidentes
A Oitchau possui uma política estabelecida de Resposta a Incidentes. Assim, definimos um método para incidentes de segurança da informação gestão, incluindo identificação eficaz, reparos, investigação, prevenção e acompanhamento ações.
Se identificarmos que os dados do cliente foram afetados como resultado de um incidente, informaremos os clientes afetados. As informações fornecidas e o tempo dependerão de cada caso. Todos os incidentes podem ser relatados para o suporte em [email protected] .
Segurança de recursos humanos
A Oitchau possui sólidos princípios de ética empresarial, que mantemos contratando e retendo pessoal de alta qualidade. Todos os funcionários conhecem suas responsabilidades e papéis em conexão com a segurança da informação e passam por treinamentos regulares de conscientização de segurança. Dessa forma, minimizamos o risco de erro humano, como roubo, fraude e uso indevido de ativos de informação.
Proteção contra malware
O equipamento dos funcionários é protegido por uma solução antivírus.
Gestão de riscos internos
O processo de gerenciamento de riscos da Oitchau envolve a identificação, avaliação e minimização de riscos por meio do monitoramento contínuo. Assim, procedimentos de avaliação de risco ocorrem integrados às atividades recorrentes normais e incluem atividades regulares de gestão e supervisão. Esta abordagem visa alinhar a estratégia da empresa com seus principais stakeholders, ajudando as unidades organizacionais a gerenciarem a incerteza de forma mais eficaz, minimizar ameaças ao negócio e maximizar suas oportunidades no ambiente de mercado em rápida mudança.
Para isso, a Oitchau identifica as fontes subjacentes de risco, mede o impacto, estabelece níveis aceitáveis de tolerância ao risco e implementa medidas apropriadas para monitorar e gerenciar.
Divulgação responsável
Como forma de aprimorar nossos processos, realizamos testes de vulnerabilidade e pentesters regularmente e podemos compartilhar com o cliente, mediante solicitação.
Preocupações sobre segurança e vulnerabilidades?
Você possui alguma preocupação de segurança que gostaria de discutir conosco, ou deseja relatar uma vulnerabilidade nos serviços da Oitchau? Fale com nosso time de suporte via chat.