Práticas de Segurança

Controle de Acesso Físico

O ambiente que hospeda os serviços da Convertize mantém várias certificações para seus data centers, incluindo conformidade com ISO 27001, autorização FedRAMP, certificação PCI e relatórios SOC. Com todas essas certificações, vêm os controles de acesso físico necessários para que sejam concedidas. Para obter mais informações sobre sua certificação e conformidade, visite o sites. Site de segurança do Google Cloud e Site de conformidade do Google Cloud Site de segurança da AWS e Site de conformidade da AWS

Controle de Admissão

O registro de acesso está disponível tanto no nível do aplicativo quanto no nível da infraestrutura, conforme fornecido pela Google Cloud ou AWS. As senhas têm uma complexidade mínima imposta, bem como autenticação de dois fatores, a fim de realizar tarefas administrativas, tanto no nível do aplicativo quanto da infraestrutura. Todas as senhas são armazenadas criptografadas, assim como quaisquer dados confidenciais.

Controle de Acesso Virtual

Na Convertize implementamos os meios para garantir que cada pessoa tenha acesso somente aos recursos necessários. As funções são definidas e as permissões concedidas e atribuídas de acordo com as necessidades.

Também há autorização baseada em função disponível no aplicativo, para que cada cliente tenha a capacidade de criar suas próprias funções e usá-las ao delegar acesso a seus usuários administrativos.

Controle de Transmissão

Quando transmitidos, todos os dados gerenciados e processados ​​pela Convertize são criptografados. As páginas da Web, incluindo seus formulários, são servidas apenas por meio de canais HTTPS, assim como nossa API. Esses canais são protegidos pelos protocolos mais atualizados e isso também é verificado por terceiros durante nossas avaliações de certificação.

O acesso à infraestrutura do ambiente de produção, quando eventualmente necessário para fins operacionais, só é possível usando uma VPN.

Controle de Entrada

O acesso a quaisquer dados pessoais é controlado de acordo com as funções e permissões estabelecidas em Controle de Acesso Virtual. Todas as ações de modificação neste tipo de dados são registradas. Todos os logs da Convertize são centralizados e podem ser usados ​​para auditoria.

Controle de Atribuição

A admissão de pessoal da Convertize inclui triagem pessoal até o limite permitido pela lei. Além disso, nosso contrato de trabalho inclui uma declaração que os vincula ao conhecimento de que todos os dados de propriedade de nossos clientes são considerados confidenciais e, portanto, assim devem ser tratados. Além disso, trilhas de auditoria estão disponíveis para permitir que a Convertize aplique essas vinculações.

Controle de Disponibilidade

Além de aproveitar todos os recursos de disponibilidade física fornecidos pelo Google Cloud e AWS como parte de seu serviço, a Convertize também implementa todas as melhores práticas sugeridas por eles para garantir que nossa solução esteja tão disponível quanto possível. Todos os nossos serviços implantados em um ambiente multi-AZ e nosso Plano de recuperação de desastres incluem a existência de uma região à prova de falhas.

Também fazemos parte do programa, pelo qual verificamos constantemente nossa arquitetura e práticas no uso dos recursos do Google Cloud e AWS em conjunto com um especialista do Google Cloud e AWS, para garantir que nossa solução esteja nas melhores condições de disponibilidade e escalabilidade.

Controle de Separação

A plataforma Convertize compreende mais de 60 serviços, cada um deles com sua própria infraestrutura e ciclo de vida. Cada aplicativo tem seus próprios servidores de aplicativos e bancos de dados em uma infraestrutura separada.

Além disso, os dados e o processamento são segregados no nível da conta. Uma conta é o contêiner com todos os dados pertencentes a um determinado cliente. Por design, não há maneira de acessar os dados sem ter que acesso a conta que os contém.

Há separação não apenas no nível da conta, mas também dependendo do tipo de ambiente: nossa versão estável funciona em servidores diferentes daqueles que servem as versões beta, que são os candidatos que estão sendo validados pelos usuários. Os ambientes de desenvolvimento também são separados dos ambientes de produção e beta.