Segurança dos Serviços

Objetivos de segurança SGSI Gestão de riscos Normas e certificações Segurança física e ambiental Continuidade dos serviços Gestão de acessos lógicos Gestão de ativos Gestão de vulnerabilidades Recursos humanos

Última atualização: Novembro de 2024

Este documento descreve as medidas técnicas e organizacionais implementadas pela JOTELULU como parte de seus serviços, para garantir a segurança dos dados de seus clientes, em particular os dados hospedados nas infraestruturas disponibilizadas a eles. Também descreve as medidas técnicas e organizacionais de responsabilidade do cliente no uso dos serviços fornecidos pela JOTELULU. Este documento é parte integrante do contrato de serviços em vigor entre a JOTELULU e o Cliente.

  1. Objetivos de Segurança

JOTELULU

As medidas técnicas e organizacionais implementadas pela JOTELULU têm como objetivo garantir, no âmbito da prestação de seus serviços, a segurança dos dados processados em nome de seus clientes, especialmente os dados hospedados nas infraestruturas disponibilizadas a eles, protegendo esses dados contra destruição, perda, Indisponibilidade, alteração e acesso não autorizado.

Um resumo dos objetivos de segurança está disponível aqui: (https://jotelulu.com/pt-pt/infraestrutura-e-seguranca/)

Cliente

O cliente define seus próprios objetivos de segurança, especialmente os relacionados ao uso dos serviços da JOTELULU. Em particular, garante que os referidos serviços atendam aos seus objetivos de segurança e, quando aplicável, às necessidades e objetivos de segurança do cliente final.

  1. Sistema de Gestão de Segurança da Informação

JOTELULU

Para alcançar seus objetivos de segurança, a JOTELULU implementou e mantém um sistema de gestão de segurança da informação (SGSI) adequado, no qual políticas, procedimentos e uma organização são formalizados e implementados, permitindo-lhe, de forma sistemática e contínua:

  • Identificar riscos de segurança da informação e estabelecer um plano de tratamento e medidas técnicas e organizacionais apropriadas;
  • Designar as partes interessadas, garantindo que estejam cientes dos riscos inerentes às suas funções, possuam a expertise necessária e os recursos para lidar com essas questões;
  • Fornecer aos seus clientes informações que lhes permitam garantir que os serviços atendam às suas necessidades e utilizá-los de maneira apropriada para assegurar a segurança de seus dados e a continuidade de suas atividades.

Este SGSI atende aos requisitos da norma ISO27001:2022 e abrange todas as atividades realizadas pela JOTELULU e seus subcontratados como parte da prestação dos serviços.

As medidas técnicas e organizacionais implementadas nesse âmbito são periodicamente revisadas e, se necessário, adaptadas às mudanças no contexto (tecnológico, regulatório, organizacional, ambiental, etc.) em que os serviços são fornecidos.

A JOTELULU fornece aos seus clientes, mediante solicitação e de acordo com os termos do contrato de serviços, quaisquer informações adicionais úteis sobre seu SGSI, incluindo as ameaças consideradas e os critérios implementados como parte de seu sistema de gestão de riscos.

Cliente

O cliente implementa seu próprio sistema de gestão de segurança da informação para proteger seu sistema de informações e, em particular, o uso dos serviços da JOTELULU.

Nesse contexto, o cliente deve assegurar, em particular, que os serviços utilizados, incluindo as medidas técnicas e organizacionais implementadas pela JOTELULU, atendam às suas necessidades e, quando aplicável, às necessidades dos clientes finais, implementando quaisquer medidas adicionais necessárias.

  1. Gestão de Riscos

JOTELULU

A JOTELULU realiza análises de risco formalizadas utilizando uma metodologia baseada na norma ISO27005. Essas análises abrangem todas as atividades relacionadas à prestação de serviços oferecidos pela JOTELULU aos seus clientes.

A análise de riscos resulta na definição de um plano de tratamento implementado sob a responsabilidade do CISO (Chief Information Security Officer) e dos gestores de ativos.

A análise de riscos é revisada periodicamente, pelo menos uma vez por ano, gerando a atualização do plano de tratamento e promovendo a melhoria contínua.

A JOTELULU fornece aos seus clientes, mediante solicitação e de acordo com as condições estabelecidas no contrato de serviços, quaisquer informações adicionais úteis sobre sua gestão de riscos, em particular as ameaças consideradas e os critérios implementados como parte de seu sistema de gestão de riscos.

Cliente

O cliente é responsável por sua própria gestão de riscos, especialmente no que diz respeito ao uso dos serviços.

O Cliente assegura que as características e condições de uso dos serviços da JOTELULU, e em particular as medidas técnicas e organizacionais implementadas pela JOTELULU, sejam adaptadas às suas atividades e, quando aplicável, às atividades dos clientes finais, considerando os riscos inerentes a essas atividades.

Os serviços da JOTELULU podem ser auditados pelo cliente, conforme previsto no contrato de serviços.

  1. Normas e Certificações

JOTELULU

No âmbito de suas atividades, a JOTELULU implementa normas reconhecidas pelo setor, em particular os seguintes padrões de certificação:

  • Certificação ISO/IEC27001

A conformidade do SGSI da JOTELULU com a norma ISO27001:2022 foi auditada por um auditor independente reconhecido para os seguintes serviços:

  • Servidores
  • Desktop remoto
  • Armazenamento de arquivos
  • Armazenamento de objetos..
  • Código de Conduta CISPE

A JOTELULU está comprometida em garantir que seus serviços cumpram o Código de Conduta para Provedores de Serviços de Infraestrutura em Nuvem, publicado pela associação CISPE (Cloud Infrastructure Services Providers in Europe) e aprovado pela CNIL em 3 de junho de 2021 (veja a Deliberação 2021-065 de 3 de junho de 2021). Esse código define as melhores práticas que podem ser implementadas por provedores de infraestrutura em nuvem para atender ao Regulamento Geral de Proteção de Dados (RGPD).

  • INCIBE – Catálogo de Cibersegurança.

A JOTELULU está registrada no catálogo de empresas e serviços de cibersegurança do INCIBE (Instituto Nacional de Cibersegurança)

  • Selo de PME Inovadora

Selo que certifica que, nos últimos anos, a empresa realizou atividades nos campos de Pesquisa, Desenvolvimento Tecnológico ou Inovação Tecnológica.

A conformidade da JOTELULU com essas normas de certificação é reavaliada e auditada anualmente, tanto internamente quanto por auditores externos independentes e reconhecidos.

Quando uma não conformidade é identificada, medidas corretivas e remediais são implementadas.

Cliente

Considerando o contexto em que o uso dos serviços da JOTELULU ocorre, especialmente seus compromissos contratuais com terceiros e as regulamentações aplicáveis às suas atividades, o cliente garante que os serviços da JOTELULU possuam todas as certificações necessárias.

O cliente leva em conta, em particular, o tipo de dados hospedados nas infraestruturas disponibilizadas pela JOTELULU, os processamentos realizados nesses dados, bem como, quando aplicável, a natureza das atividades dos clientes finais.

  1. Segurança física e ambiental

JOTELULU

Os serviços da JOTELULU são hospedados em data centers europeus de alto padrão, selecionados com base em critérios rigorosos de segurança, disponibilidade e conectividade.

  • Controle de Acesso Físico
  • Acesso físico sujeito a autorização prévia e verificação sistemática de identidade.
  • Controle de acesso por crachás individuais ou sistema de gerenciamento de acesso biométrico.
  • Implementação de cinco (5) camadas de proteção de segurança física (acesso ao perímetro, edifício, salas técnicas, racks, etc.).
  • Presença de vigilantes de segurança profissionais 24/7.
  • Sistema contínuo de videovigilância 24/7, incluindo câmeras internas e externas, com gravação para investigação de incidentes.
  • Registro e revisão periódica de acessos.
  • Sistema de Proteção Contra Incêndios

Todos os ambientes contam com sistemas de combate a incêndios projetados para extinguir rapidamente qualquer foco, sem deixar resíduos:

  • Detectores de fumaça.
  • Sistemas de extinção automáticos.
  • Botões de parada de emergência em todas as salas.
  • Detectores ópticos e iônicos com sistema VESDA.
  • Alarmes monitorados 24/7.
  • Controle Ambiental

Data centers localizados em áreas sem riscos conhecidos de inundações ou terremotos.

Infraestruturas operam em ambientes permanentemente controlados:

  • Resfriamento contínuo (24/24).
  • Equipamentos de ar-condicionado redundantes.
  • Temperatura de 21 ºC e 50% de umidade relativa.
  • Sistema automático de detecção e monitoramento de incidentes.
  • Certificações

Os data centers que hospedam os serviços da JOTELULU possuem certificações de acordo com os seguintes padrões:

  • ISO14001 – Gestão Ambiental
  • ISO22301 – Segurança e Resiliência
  • ISO27001 – Gestão de Segurança da Informação
  • ISO9001 – Gestão da Qualidade
  • ISO50001 – Sistemas de Gestão de Energia
  • SOC1/SOC2 – Controles de Organização de Serviços
  • PCI-DSS – Padrão de Segurança de Dados para o Setor de Cartões de Pagamento
  • HDS – Hospedagem de dados pessoais de saúde (Data Centers em Paris)
  • ENS – Esquema Nacional de Segurança Espanhol (Data Centers em Madri)
  • Monitoramento

A JOTELULU realiza avaliações periódicas para garantir que os fornecedores responsáveis pela operação dos data centers implementem medidas técnicas e operacionais apropriadas.

Cliente

O cliente é exclusivamente responsável pela segurança física e ambiental das infraestruturas que utiliza e que não são fornecidas pela JOTELULU.

  1. Continuidade dos Serviço

JOTELULU

A JOTELULU implementou um plano de continuidade de serviços composto pelas diversas medidas descritas abaixo.

Esse plano é revisado periodicamente e, caso necessário, adaptado às mudanças que possam ocorrer no contexto em que os serviços são prestados.

As medidas implementadas para garantir a continuidade de ativos críticos são testadas periodicamente.

  • Redundância de Infraestruturas

A JOTELULU implantou uma arquitetura redundante para que a falha de um componente não impacte a operação normal dos serviços. Em particular:

  • Os data centers estão equipados com conexões redundantes à rede elétrica e geradores a diesel cinéticos dimensionados para atender às necessidades energéticas de todo o edifício e da infraestrutura.
  • Cada servidor possui duas fontes de alimentação, cada uma conectada a um segmento elétrico diferente do data center.
  • Os data centers onde os serviços são hospedados são neutros e oferecem uma ampla gama de conectividade, permitindo à JOTELULU possuir vários circuitos de rede de diferentes fornecedores, protegendo-se contra a perda de conectividade devido à falha de um fornecedor.
  • O equipamento das infraestruturas possui pelo menos duas conexões de rede de alta disponibilidade (LAG), e cada conexão de rede tem seu próprio switch, garantindo que a falha de um switch não cause interrupção no serviço.
  • A JOTELULU implementou uma agregação de link multi-chassi em que cada roteador e cada switch (de agregação e de acesso) é redundante, assegurando a disponibilidade e escalabilidade da rede.
  • A infraestrutura do Portal é de alta disponibilidade (HA) em 2 data centers diferentes.
  • Redundância N x 1,25 em hipervisores, oferecendo capacidade suficiente para suportar a falha de até 25% deles. Em caso de falha de um hipervisor, os servidores hospedados nele são automaticamente iniciados em outros hipervisores.
  • Alta disponibilidade de armazenamento, combinando clusters baseados em armazenamento com espelhamento síncrono, permitindo recuperação contínua em caso de falhas.
  • Sistema Anti-DDoS

As infraestruturas estão equipadas com um sistema anti-DDoS que previne e filtra ataques de negação de serviço para garantir a disponibilidade dos serviços.

Esse sistema é estruturado em várias linhas de filtragem e detecção, permitindo diferenciar pequenos ataques (algumas centenas de Mb/s) de grandes ataques de milhares de Gb/s.

  • Planeamento de Capacidade

A JOTELULU garante, por meio de monitoramento e revisões periódicas, que a capacidade e o dimensionamento das infraestruturas utilizadas para fornecer os serviços estão adaptados aos acordos de nível de serviço.

No que diz respeito a recursos compartilhados por vários clientes, a JOTELULU faz o melhor esforço para atender às necessidades de capacidade de seus clientes, mas não pode garantir nenhum volume específico de recursos disponíveis.

  • Gestão de Mudanças

A JOTELULU implementa uma política de gestão de mudanças projetada para garantir a continuidade dos serviços em caso de alterações ou modificações.

No âmbito do desenvolvimento, atualização e evolução do sistema de informação, aplicam-se, em particular, os seguintes princípios:

  • Avaliação de requisitos e riscos na fase de planejamento.
  • Desenvolvimento em ambiente de desenvolvimento (dev).
  • Testes e aceitação de Garantia de Qualidade (QA), incluindo segurança.
  • Testes em ambientes beta.
  • Implementação em produção após aprovação conforme o processo de planejamento de mudanças.

Os clientes são informados sobre mudanças que possam impactar as condições de uso dos serviços (em especial níveis de desempenho, condições de interoperabilidade, níveis de segurança, continuidade dos serviços, alterações de funcionalidades, etc.).

Cliente

O cliente é responsável pela continuidade de suas atividades, em particular pela disponibilidade do sistema de informação que ele hospeda nas infraestruturas disponibilizadas pela JOTELULU.

Nesse sentido, o cliente:

  • garante a gestão adequada dos elementos e processos sob sua responsabilidade conforme estabelecido no contrato de serviço;
  • assegura que as características e condições dos serviços (especialmente o dimensionamento e o nível de desempenho dos serviços) sejam suficientes para alcançar seus objetivos de disponibilidade e continuidade;
  • é responsável por ativar e configurar quaisquer funções e opções disponibilizadas para garantir a continuidade de suas atividades (especialmente funções de backup e versionamento);
  • implementa quaisquer medidas adicionais (como backups remotos, recursos redundantes, etc.) que possam ser necessárias para garantir que esses objetivos sejam alcançados;
  • considera incidentes, bem como mudanças e evoluções nos serviços comunicados pela JOTELULU, e adapta, se necessário, sua organização e as condições sob as quais utiliza os serviços.

 

  1. Gestão de Acessos Lógicos

JOTELULU

  • Acesso da JOTELULU ao Sistema de Informação

A JOTELULU implementa as seguintes medidas para garantir a segurança do acesso aos diversos componentes do sistema de informação utilizados no contexto dos serviços:

  • Gestão de identidade e acesso documentada e centralizada;
  • Processo formalizado para a atribuição e remoção de direitos de acesso;
  • Implementação dos princípios de menor privilégio e minimização;
  • Atribuição de direitos de acesso com base em papéis predefinidos ou na associação a grupos operacionais;
  • Revisão periódica dos direitos de acesso;
  • Supervisão do processo de entrada/saída de colaboradores, especialmente para garantir a atribuição e revogação adequadas de direitos de acesso, principalmente quando um colaborador deixa a organização ou muda de função;
  • Uso de contas de usuário individuais e nominais sempre que possível;
  • Implementação de uma política de gestão de senhas de última geração;
  • Implementação de um sistema obrigatório de autenticação multifator (MFA) para papéis com privilégios, em especial administradores;
  • Registro de conexões e armazenamento seguro de logs.
  • Acesso do Cliente aos Serviços

A JOTELULU disponibiliza ao cliente uma plataforma que permite designar as pessoas autorizadas, em seu nome, a utilizar os serviços da JOTELULU.

Essa plataforma possibilita: Criar e excluir usuários, criar diferentes perfis de usuário com direitos de acesso específicos, utilizar a autenticação de dois fatores (2FA).

Os registros de acessos e eventos são gravados e mantidos por 12 (doze) meses, estando disponíveis para o cliente dentro da plataforma, ou mediante solicitação ao Suporte ao Cliente.

Cliente

O cliente é o único responsável por gerenciar o acesso dos membros de sua equipe aos serviços e à plataforma de gestão de serviços disponibilizada pela JOTELULU. Em particular, o cliente é responsável por:

  • A JOTELULU disponibiliza ao cliente uma plataforma que permite designar as pessoas autorizadas, em seu nome, a utilizar os serviços da JOTELULU.
  • Essa plataforma possibilita:
  • Criar e excluir usuários;
  • Criar diferentes perfis de usuário com direitos de acesso específicos;
  • Utilizar a autenticação de dois fatores (2FA).
  • Os registros de acessos e eventos são gravados e mantidos por 12 (doze) meses, estando disponíveis para o cliente dentro da plataforma.

Além disso, o cliente é exclusivamente responsável por gerenciar autorizações e acessos lógicos a sistemas e aplicativos não fornecidos pela JOTELULU (incluindo aqueles implantados como parte dos serviços).

  1. Gestão de Ativos

JOTELULU

Todos os ativos necessários para a prestação dos serviços (incluindo máquinas físicas e virtuais, equipamentos de rede, espaços de armazenamento, etc.) são inventariados.

O inventário de ativos é atualizado periodicamente.

Cada ativo tem um equipe responsável designado, encarregado de garantir a gestão adequada do ativo em conformidade com as políticas implementadas pela JOTELULU (análise e tratamento de riscos associados, gestão de vulnerabilidades, gestão de acessos, manutenção em condições operacionais, etc.).

Ao final de sua vida útil ou em caso de alteração de uso de um ativo que possa conter dados, é implementado um processo de exclusão que esteja em conformidade com os padrões da indústria.

Da mesma forma, equipamentos que chegam ao final de sua vida útil são destruídos em conformidade com os padrões da indústria.

Cliente

O cliente é responsável por gerenciar e proteger os ativos que utiliza como parte dos serviços (instâncias, espaços de armazenamento, sistemas e aplicativos instalados nas infraestruturas disponibilizadas, etc.).

Antes da data efetiva de rescisão ou expiração dos serviços utilizados, os clientes devem garantir que os dados hospedados sejam excluídos.

  1. Gestão de Vulnerabilidades

JOTELULU

O sistema de informação utilizado para fornecer os serviços possui proteção adequada contra os riscos de intrusão, incluindo particionamento, firewalls, filtragem de IP, sistemas de detecção de intrusão e acesso via bastion.

As estações de trabalho dos funcionários estão equipadas com software antivírus atualizado e um sistema de detecção de códigos maliciosos.

Além disso, a JOTELULU realiza uma vigilância tecnológica que lhe permite detectar e corrigir vulnerabilidades nos ativos utilizados para fornecer seus serviços.

As vulnerabilidades são detectadas, em particular, por meio de:

  • Informações dos fabricantes e desenvolvedores dos componentes utilizados;
  • Comunidades de usuários;
  • Comunidades de código aberto, quando aplicável;
  • Incidentes detectados pela JOTELULU e/ou seus clientes;
  • Monitoramento de serviços;
  • Revisões de código e configuração, especialmente no caso de novos desenvolvimentos;
  • Auditorias internas e testes de penetração realizados periodicamente.

Quando uma vulnerabilidade é detectada, são realizadas as seguintes ações: Um estudo de impacto; implementação de ações de mitigação e correção; comunicação aos clientes expostos.

Cliente

O cliente é responsável pela gestão das vulnerabilidades dos elementos que estão fora do escopo de responsabilidade da JOTELULU, especialmente sistemas e aplicações implantados nas infraestruturas disponibilizadas pela JOTELULU.

O cliente implementa todas as medidas úteis para minimizar o impacto e corrigir vulnerabilidades das quais tenha conhecimento, em particular aquelas reportadas pela JOTELULU.

  1. Recursos Humanos

JOTELULU

A JOTELULU implementa medidas adequadas para garantir que os colaboradores que emprega possuam as habilidades e conhecimentos necessários para contribuir com a segurança da informação. Em particular:

  • A entrada e saída de colaboradores são regulamentadas por processos que controlam a atribuição e devolução de ativos, bem como a concessão e revogação de acessos lógicos ao sistema de informação.
  • Todos os colaboradores recebem conscientização sobre segurança da informação e proteção de dados pessoais na chegada à empresa e, posteriormente, de forma periódica (pelo menos uma vez por ano).
  • Todos os contratos (de trabalho ou prestação de serviços) incluem uma cláusula de confidencialidade.
  • Políticas e procedimentos formalizados relacionados à gestão e uso dos diversos componentes do sistema de informação são disponibilizados aos colaboradores, que se comprometem a cumprir tais políticas e procedimentos.
  • Campanhas de comunicação e testes são realizadas regularmente com os colaboradores.

Cliente

O cliente permanece responsável pelos membros de sua equipe, especialmente aqueles responsáveis por utilizar os serviços.

O cliente deve garantir que os membros de sua equipe possuam o conhecimento e as habilidades necessárias para utilizar os serviços e que lhes sejam comunicadas as condições de uso dos serviços (inclusive em caso de alterações) e, de forma geral, todas as instruções e informações úteis.