Política de Segurança e Divulgação
Política de Segurança e Divulgação
Política de Segurança
Manter os dados de nossos clientes seguros é a nossa prioridade número um. Levamos a divulgação de vulnerabilidades a sério e trabalhamos arduamente para proteger nossos clientes e seus dados.
A SoWork acredita que nenhuma tecnologia é perfeita e que trabalhar com pesquisadores de segurança qualificados em todo o mundo é crucial para identificar pontos fracos em qualquer tecnologia.
Se você deseja relatar uma vulnerabilidade ou tem alguma preocupação com os aspectos de segurança, entre em contato através de security@sowork.com
Política de Divulgação
Se você acredita ter descoberto uma vulnerabilidade em potencial, informe-nos pelo e-mail security@sowork.com. Confirmaremos o recebimento do seu e-mail em até uma semana.
Inclua uma prova de conceito, uma lista de ferramentas utilizadas (incluindo as versões) e os resultados obtidos com as ferramentas. Nós levamos todas as divulgações muito a sério. Assim que as divulgações são recebidas, verificamos rapidamente cada vulnerabilidade antes de tomar as medidas necessárias para corrigi-la.
Forneça-nos um período de tempo razoável para resolver o problema antes de qualquer divulgação ao público ou a terceiros.
Faça um esforço de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação do nosso serviço. Interaja apenas com contas de sua propriedade ou com a permissão explícita do proprietário da conta.
Obrigado por ajudar a manter a SoWork e nossos usuários protegidos!
Exclusões
Durante suas pesquisas, pedimos que você evite:
Ataques de negação de serviço (DoS)
Spamming
Engenharia social (incluindo phishing) contra funcionários ou prestadores de serviços da SoWork
Quaisquer tentativas físicas contra propriedades ou funcionários da SoWork
Safe Harbor (Porto Seguro)
Quaisquer atividades conduzidas de maneira consistente com esta política serão consideradas condutas autorizadas e não iniciaremos ações legais contra você. Se uma ação legal for iniciada por terceiros contra você em conexão com atividades realizadas sob esta política, tomaremos medidas para deixar claro que suas ações foram realizadas em conformidade com esta política.
Compromissos de Segurança
Temos um Programa de Segurança da Informação em vigor que é comunicado por toda a organização e segue as melhores práticas do setor. Nossa organização passa por avaliações independentes de terceiros para testar nossos controles de segurança e conformidade, incluindo testes de invasão (penetration testing) anuais realizados por terceiros para garantir que a postura de segurança de nossos serviços permaneça inviolável.
As funções e responsabilidades relacionadas ao nosso Programa de Segurança da Informação e à proteção dos dados dos nossos clientes são bem definidas e documentadas. Os membros da nossa equipe são obrigados a revisar e aceitar todas as políticas de segurança e passar por treinamentos de conscientização de segurança que abrangem práticas padrão do setor e tópicos de segurança da informação, como phishing e gerenciamento de senhas. Além disso, todos os membros da equipe assinam e cumprem um acordo de confidencialidade antes do primeiro dia de trabalho, e realizamos verificações de antecedentes em todos os novos membros da equipe, de acordo com as leis locais.
Todos os nossos serviços estão hospedados na Amazon Web Services (AWS) e no Google Cloud Platform (GCP), que utilizam programas de segurança robustos com múltiplas certificações. Todos os dados dos nossos clientes estão localizados nos Estados Unidos e são criptografados quando em repouso. Nossos aplicativos usam criptografia TLS/SSL em trânsito, e realizamos regularmente varreduras de vulnerabilidades e monitoramento ativo contra ameaças. Para garantir a continuidade dos negócios e a recuperação de desastres, utilizamos os serviços de backup e sistemas de monitoramento de nosso provedor de hospedagem de dados para alertar a equipe sobre quaisquer falhas que afetem os usuários. O acesso à infraestrutura de nuvem e ferramentas confidenciais é restrito a funcionários autorizados, com o uso de Logon Único (SSO), autenticação de dois fatores (2FA) e políticas de senhas fortes, quando disponíveis. Seguimos o princípio de menor privilégio para o gerenciamento de identidade e acesso, realizamos revisões trimestrais de acesso e aplicamos requisitos rigorosos de senha.
Realizamos avaliações anuais de risco para identificar possíveis ameaças, incluindo fraudes, e realizamos análises de gerenciamento de risco de fornecedores antes de autorizar novos parceiros. Se tiver dúvidas, comentários ou preocupações, ou se desejar relatar um possível problema de segurança, entre em contato através de security@sowork.com.