FAQ - Perguntas mais Frequentes de Segurança da Informação

Modificado em Sex, 29 Nov na (o) 12:27 PM

1. Desenvolvimento Seguro

1.1. Politica de Desenvolvimento Seguro

Quais tecnologias utilizadas no desenvolvimento do produto?
- RESPOSTA: ASP.NET WebForms;
- ASP.NET WebApi
- .NET Framework 4.7.2 com C#;
- React JS
- Banco de dados SQL Server 2019 Web Edition
O produto utilizada alguma infraestrutura interna?
- RESPOSTA: Não. Utilizamos a nuvem da AWS.
O desenvolvimento do produto é feito por equipe interna ou externa?
- RESPOSTA: Todo o desenvolvimento do produto é feito por uma equipe interna da própria Engage.
Existe segregação de ambientes ? Exemplo: Produção, Desenvolvimento, Homologação, Teste e QA"
- RESPOSTA: DEV: Utilizado para desenvolvimento e aprimoramento do produto. É utilizado apenas pelo time de TI.
- TESTE: Ambiente onde o time de desenvolvimento sobe as novas features para que a equipe de CS interna e o cliente externo possam testar e validar as melhorias aplicadas nas releases do produto.
- PRODUÇÃO: Ambiente utilizado pelos usuários finais e clientes
Ambientes físicos de desenvolvimento, homologação e produção foram e/ou estão estritamente controlados
- RESPOSTA: Sim.
A aplicação está ou estará hospedada em servidor (es) dedicados ?
- RESPOSTA: A aplicação está hospedada na AWS, em três níveis distintos:
- Aplicação (front-end): Está hospedada como um site estático no Amazon S3 integrado ao Amazon CloudFront para otimizar a entrega de conteúdo globalmente e garantir alta disponibilidade;
- Aplicação (back-end): Está hospedada em instâncias EC2, integradas a um Application Load Balancer (ALB), com o Auto Scaling configurado para ajustar automaticamente a capacidade de acordo com a demanda;
- Banco de dados: Está hospedado no Amazon RDS, utilizando o SQL Server em um ambiente gerenciado, o que simplifica tarefas como backup, atualização e alta disponibilidade.
- Servidor de Conteúdos: Armazena arquivos estáticos, como vídeos e documentos (PDF, DOC, etc.), utilizando o Amazon S3.
Como o sistema de desenvolvimento/teste e os dados são impedidos de serem inadvertidamente migrados para ambientes de produção e vice-versa (por exemplo, lançar replicação virtual, imagem ou mecanismos de instantâneo)
- RESPOSTA: A aplicação é desenvolvida em ambiente segregado do ambiente produtivo. O código fonte é versionado no GitHub e os scripts de banco de dados (sejam de criação/alteração de objetos e/ou inserção/atualização em tabelas de enumeração) são criados pelos desenvolvedores e armazenados, também, no GitHub. Quando vamos fazer o deploy para produção, fazemos a atualização em horário de baixo acesso, após o horário comercial. Os scripts de banco de dados criados durante a etapa de desenvolvimento são executados no banco de dados de produção, também.
A organização tem controles de mecanismo para garantir que todas as páginas e recursos exijam autenticação, exceto aqueles especificamente destinados ao público (Princípio da mediação concluída) (Controles de aplicativo)
- RESPOSTA: Todos os endpoints de API's são possuem acesso restrito, com raras exceções. Para poder consumi-los é necessário enviar o token de acesso e o mesmo deve ser válido e não estar expirado. Além disso, existem endpoints que necessitam de permissões mais elevadas, como os da área administrativa. Sendo assim, se o token não possuir tais permissões o acesso aos serviços é negado.
A organização possui controles de mecanismo em vigor para garantir que as questões relacionadas ao gerenciamento de sessões sejam tratadas no software desenvolvido?
- RESPOSTA: A aplicação permite que a sessão do usuário fique ativa por 24 horas. Caso o navegador seja fechado, a sessão do usuário é encerrada e ele terá que logar novamente. No app, o funcionamento é similar. Quando a sessão do usuário expira ou o mesmo efetua um logout na plataforma, todos os dados referente a sessão do usuário, também, são finalizados e uma nova autenticação será necessária para acessar a plataforma.
A organização possui mecanismos / controles para garantir que o aplicativo desenvolvido não emita mensagens de erro ou rastreamento de pilha contendo dados confidenciais que podem ajudar um invasor, incluindo ID de sessão em informações pessoais?
- RESPOSTA: Todos os erros na aplicação são logados para ajudar em diagnósticos de problemas e uma mensagem genérica é retornada ao usuário, não fornecendo quaisquer dados sobre a arquitetura e/ou stack trace que possam ser utilizados para explorar eventuais falhas do aplicativo.
A organização possui controles de mecanismo para garantir que o aplicativo desenvolvido não tenha falhas buffer overflow (transbordamento de dados)?
- RESPOSTA: A aplicação é tipada, de modo que apenas os valores esperados, de acordo com o tamanho do tipo do dado, sejam aceitos pela aplicação, de modo a evitar o estouro do buffer.
A organização possui controles de mecanismo para garantir que o aplicativo desenvolvido não tenha falhas de XSS (Cross Site Scripting)?
- RESPOSTA: Para blindar nossa aplicação de ataques XSS, adicionamos o header X-XSS-Protection.
A organização possui controles de mecanismo para garantir que o aplicativo desenvolvido aceite apenas um conjunto definido de métodos de solicitação HTTP, como GET e POST, e os métodos não utilizados sejam explicitamente bloqueados?
- RESPOSTA: Sim, apenas os métodos de solicitação GET, POST, PUT, PATCH, DELETE e OPTIONS são aceitos. Caso contrário, são bloqueados por nossa API.
A organização possui controles de mecanismo para garantir que o aplicativo desenvolvido restrinja o upload de arquivo com tipo perigoso?
- RESPOSTA: Em telas onde os usuários podem enviar arquivos, apenas aqueles cujas extensões e formatos são informados os uploads são permitidos. Caso contrário, o upload é bloqueado.
A organização realiza uma revisão do código-fonte antes de o software desenvolvido ser entregue ao cliente?
- RESPOSTA: O código desenvolvimento é sempre submetido a uma revisão dos Analistas Sêniors antes de entrar em produção.
A organização realiza testes de penetração abrangentes do aplicativo desenvolvido?
- RESPOSTA: Os testes de vulnerabilidade são realizados através da ferramenta Site Blindado.
Você realiza regularmente scans de vulnerabilidade e em qual periocidade?
- A plataforma é escaneada semanalmente pela plataforma Site Blidado - aplicações e servidores - e o pentest automatizado é realizado uma vez por ano
A organização possui mecanismos / controles em vigor para garantir que o aplicativo desenvolvido tenha controles com os respectivos Controles de Acesso, por exemplo, os usuários só podem acessar funções protegidas, URLs ou serviços para os quais possuem autorização específica?
- RESPOSTA: Além de estar autenticado na plataforma, o usuário precisa ter autorização para acessar determinados recursos, seja através da aplicação ou através de APIs, caso contrário o acesso aos recursos é negado pela aplicação ao usuário.
A organização possui controles de mecanismo para garantir que o aplicativo desenvolvido tenha controles criptográficos durante a apresentação e armazenamento?
- RESPOSTA:
  - O storage do banco de dados da plataforma é criptografado em repouso;
  - Além disso, apenas o Tech Lead e o CTO possuem ao ambiente de produção do produto.
- Apenas a senha do usuário é armazenada no formato de um hash SHA2_256;
- Toda a transmissão de dados na aplicação é feita sob protocolo HTTPS.

1.2. Arquitetura

As aplicações devem ser desenvolvida de acordo com as melhores práticas de segurança como OWASP, NIST, entre outros. A adoção destas recomendações provavelmente reduzirá as vulnerabilidades mais comuns em aplicações, como por exemplo:
- A1 - Injeção de Código
- A2 - Quebra de Autenticação e da Gestão de Sessões
- A3 - Script Cruzado entre Sites (XSS)
- A4 - Referências Diretas a Objetos de forma Insegura
- A5 - Configurações Insegura
- A6 - Exposição de Dados Sensíveis
- A7 - Ausência de Função de Controle de Acesso
- A8- Requisição Forjada entre Sites (CSRF)
- A9 - Uso de Componentes com Vulnerabilidades Conhecidas A10 - Encaminhamentos e Redirecionamentos sem Validação
  - RESPOSTA:
    - 1. Semanalmente nossa plataforma é scaneada pela ferramenta Site Blindado em busca de vulnerabilidades. Caso sejam detectadas, temos um processo detalhado para saná-los de acordo com seu nível de criticidade.
      A1. A aplicação é blindada contra SQL Injection, uma vez que as consultas são manipuladas via Entity Framework e Stored Procedures;
      A2. A aplicação utiliza o protocolo HTTPS TLS 1.2 durante o tráfego de dados, cookies seguros são utilizados na, além da sessão do usuário ter um tempo de expiração de 24 horas, podendo esse tempo ser reduzido caso seja solicitado pelo cliente
      A3. O Header x-xss-protection: 1; mode=block está implementado na plataforma.
      A4. Apesar de serem exibidos parâmetros na URL, o acesso em nossa API REST exige que o usuário esteja autenticado para fazer GET's, portanto, o simples fato de passar um parâmetro na URL não é suficiente para consultar dados da plataforma através da manipulação de parâmetros.
      A6. Todo o tráfego de dados é feito sob protocolo HTTPS TLS 1.2, a senha do usuário é armazenada no formato de um hash SHA2_256, e recomendamos os clientes a armazenar na plataforma apenas as informações dos usuários necessárias para utilização do sistema, ou seja, login (podendo ser o e-mail) e nome completo.
      A7. Os usuários só podem acessar os recursos da plataforma de acordo com o nível de roles estipulados no cadastro de seu perfil.
      A8. Estamos implementando uma função que (Nonce) nas requisições para evitarmos ataques de CSRF
      A9. Atualmente utilizamos a tecnologia do React-JS em nosso produto.
      A10. Todos os dados que são submetidos para nossa aplicação são tipadas e validadas.
A (Arquitetura do Sistema/Aplicação) está dividido em 3 camadas? Sendo a Camada de apresentação ao Usuário final (podendo ser WEB ou Local), Camada Responsável pela execução da Operação solicitada pelo Usuário (geralmente conhecida como "Camada de Aplicação") e Camada de Banco de Dados (DB)
- RESPOSTA: Nossa aplicação é composta:
  1. Do front-end, escrito em React JS
  2. API REST escrita em C# .NET Full Framework
  3. Banco de dados SQL Server 2019
A (Arquitetura do Ambiente) possui os ambientes de Desenvolvimento, Testes, Homologação e/ou qualquer outro ambiente segregado (separado) do ambiente de Produção?
- RESPOSTA:
- DEV: Utilizado para desenvolvimento e aprimoramento do produto. É utilizado apenas pelo time de TI.
- TESTE: Ambiente onde o time de desenvolvimento sobe as novas features para que a equipe de CS interna e o cliente externo possam testar e validar as melhorias aplicadas nas releases do produto.
- PRODUÇÃO: Ambiente utilizado pelos usuários finais e clientes
A (Arquitetura Sistema/Aplicação) possui a Topologia desenhada com todas as integrações e conexões que o mesmo realiza para executar suas operações? (Enviar anexo da arquitetura dos elementos, exemplo: Servidores, Clients, Firewalls, Redes, etc.)
- RESPOSTA: A topologia da nossa infraestrutura está disponível neste arquivo do Sharepoint da Engage:
Nos servidores das camadas WEB, Aplicação e Banco de Dados, estão habilitados os serviços de transferência de arquivos como, por exemplo: FTP, Telnet, RDP, TFTP entre outros?
- RESPOSTA: O único protocolo que está habilitado é o RDP. Não temos serviços de FTP, SFTP, TelNet ou TFTP configurados em nosso ambiente produtivo.
Caso o seu(Sistema/Aplicação) possa ser acessado à partir da Internet, o mesmo está segregado por DMZ?
- RESPOSTA: Hoje toda infraestrutura da aplicação está segregada por DMZs definidas pelo cloud provier para cada um dos serviços necessários e não possuímos aplicação local, pois a plataforma é cloud native.
Os Bancos de Dados utilizados pelo ativo de informação possuem uma rotina de backup documentada, aplicada e testada periodicamente?
- RESPOSTA: O arquivo com as políticas de backup da Engage encontra-se disponível para download aqui.

2. Autenticação, Credenciais de Usuários e Políticas de Senha

Sua solução ou serviço tem recursos para: 1. Access Federation / 2. Multi-Factor Authentication (MFA) / 3. IP restrictions / 4. None
- RESPOSTA:
- Azure AD
- Active Directory (LDAP)
- ADFS 4.0 ou superior
- Contas do Google
- SAML 2.0
- Credenciais locais
  - 1. Primeiramente o usuário realiza a autenticação com suas crendenciais (usuário e senha)
  - 2. Quando a 2FA está habiliatada, esse segundo fator de autenticação é realizado através do protocolo TOTP - gerado através de aplicativos como Google Authenticator ou Microsoft Authenticator.
Você pode integrar-se diretamente com meu AD (Active Directory), e se possível, como?
- RESPOSTA: Sim, estabelecendo uma VPN Side to Side onde nosso ambiente na AWS conecta no AD do cliente para autenticar os usuários.
Você suporta ADFS (Active Directory Federation Services)?
- RESPOSTA: Sim, porém suportamos apenas da versão 4.0 do ADFS, compatível com o OAuth 2.0
Como você protege as credenciais de acesso dos usuários?
- RESPOSTA: As credenciais locais do usuário são armazenadas na plataforma em um campo de login - que deve ser único, como e-mail ou matrícula do colaborador na empresa - e a senha - que é armazenada no formato de um HASH no formato SHA2_256. Além disso a 2FA pode ser habilitada na plataforma, onde o usuáro recebe em seu e-mail um token temporário de autenticação com validade de 10 minutos.
A administração dos acessos realizados no sistema estão sob a equipe de Gestão de Acessos de Segurança da Telefônica?
- RESPOSTA: A gestão dos acessos à plataforma pode ser feita através dos relatórios disponíveis no sistema e o administrador tem autonomia para gerenciar essas informações.
Existe processo para administrar os acessos de back end (servidores e banco de dados)? Se "sim", por favor, informe no campo observação o nome do sistema/ferramenta que é realizada a solicitação do acesso back end.
- RESPOSTA: Os nossos servidores são acessados através RDP, com usuário e senha. O nosso banco de dados fica no RDS da AWS. Portanto não temos acesso remoto ao servidor. A Ferramenta utilizada para conectar nos servidores é o Remote Desktop da Microsoft.
A aplicação exibe mensagem de erro genérica em caso de digitação incorreta dos dados de acesso ( como usuário e senha)?
- RESPOSTA: Sim, a plataforma sempre exibe sempre a mensagem genérica "Login e/ou senha inválida. Verifique seu login e senha, e tente novamente.
O (Sistema/Aplicação) transmite os dados de autenticação. Ex: (onde o usuário digita "Usuário e Senha") por meio de uma conexão segura (ex: https)?
- RESPOSTA: Sim. O tráfego de dados entre o cliente e o servidor ocorre através de protocolo HTTPS TLS 1.2.
Para redefinição de senha, são utilizados os mesmos controles existentes no processo de criação de conta (positivação)?
- RESPOSTA: Para que o usuário consiga redefinir sua senha, ele precisa ter um endereço de e-mail previamente cadastrado na plataforma. Quando usuário clica no botão de redefinir senha na plataforma, ele precisa informar o e-mail dele, já cadastrado na plataforma. Se o usuário informou o e-mail corretamente, ele recebe o e-mail com o link para trocar sua senha.
O usuário é notificado após uma ação de redefinição/reset/alteração de senha?
- RESPOSTA: Apesar do usuário não ser notificado quando sua senha é trocada, ele só consegue trocar sua senha se ele tiver um e-mail válido informado na plataforma para garantir só ele consiga trocar sua senha.
Quando um usuário solicita uma nova senha, o mesmo é obrigado a alterar a mesma no primeiro acesso?
- RESPOSTA: O usuário não recebe uma nova senha quando ele solicita uma redefinição de senha. Ele recebe em seu e-mail cadastrado na plataforma um e-mail com um link para que ele possa definir uma nova senha.
Caso o seu (Sistema/Aplicação) possa ser acessado à partir da Internet, é exigido um segundo fator de autenticação (2FA)?
- RESPOSTA: Sim, a plataforma suporta o recurso 2FA. Quando o cliente habilita o login 2FA, o usuário recebe em seu endereço de e-mail cadastrado na plataforma um token temporário para concluir sua autenticação. Vale reforçar que este token tem validade de 10 minutos e só pode ser utilizado uma única vez.
A funcionalidade de lembrar a senha (auto complete) nos campos de senha do navegador está desabilitada
- RESPOSTA: O recurso de auto complete de senhas no navegador está desabilitado.
Nas páginas ou em momentos que são exigidos um "usuário e senha e/ou SMS Token" para acesso e/ou atualização da sessão utilizada, O ativo de informação exige o CAPTCHA ou algum outro mecanismo para evitar ataques de força bruta?
- RESPOSTA: A plataforma não utiliza recurso de captcha, porém, o usuário tem até 5 tentativas para informar suas credenciais corretamente. Caso ele tente mais 5 vezes, seu login é automaticamente bloqueado temporariamente.
O (Sistema/Aplicação) exige que as senhas definidas possuam no mínimo 08 (oito) caracteres?
- RESPOSTA: As senhas devem:
  - Ter, no mínimo, 8 caracteres;
  - Devem ser mescladas entre letras maiúsculas, minúsculas e caracteres especiais;
  - Não é permitida que a senha seja identica às 10 últimas senhas utilizadas;
  - O usuário é obrigado a trocar a senha no primeiro acesso;
  - A senhas expiram, por padrão, a cada 90 dias
O (Sistema/Aplicação) obriga o usuário a trocar a senha periodicamente, no máximo a cada 45 dias?
- RESPOSTA: Sim, a periodicidade pode ser configurada para mais ou para menos, se necessário, pelo próprio administrador através da área administrativa da plataforma. Por padrão, na plataforma, o período para expiração da senha é de 60 dias.
O (Sistema/Aplicação) permite o usuário trocar a senha a qualquer momento? Se sim, por qual método? Pelo próprio ativo de informação, IDM, pelo próprio Windows?
- RESPOSTA: 1. O usuário pode trocar sua senha através da funcionalidade de redefinição de senha, disponível na página de login. Lembrando que é necessário que o usuário tenha um e-mail previamente cadastrado na plataforma.
  2. Na tela de gerenciar minha conta, ele, também, pode trocar sua senha.
O (Sistema/Aplicação) bloqueia o usuário na aplicação após no máximo 5 tentativas inválidas de acesso?
- RESPOSTA: Sim. Após 5 tentativas invalidas de acesso o login do usuário é automaticamente bloqueado por um período de 30 minutos para proteger sua conta.
O (Sistema/Aplicação) bloqueia a credencial de acesso do usuário após 60 dias sem uso?
- RESPOSTA: O sistema não inativa e/ou bloqueia os usuários automaticamente por uma questão de negócio. Entretanto, o administrador tem autonomia para inativar, manualmente, os usuários que não acessam o sistema e/ou o cliente pode construir uma integração utilizando nossas API's para realizar essa tarefa de forma automatizada.
O (Sistema/Aplicação) desativa a credencial de acesso do usuário após 120 dias de inatividade?
- RESPOSTA: O sistema não inativa e/ou bloqueia os usuários automaticamente por uma questão de negócio. Entretanto, o administrador tem autonomia para inativar, manualmente, os usuários que não acessam o sistema e/ou o cliente pode construir uma integração utilizando nossas API's para realizar essa tarefa de forma automatizada.
O (Sistema/Aplicação) mantém o histórico das últimas 10 senhas utilizadas para impedir que o usuário reutilize as mesmas?
- RESPOSTA: Sim. O histórico de todas as senhas criadas pelo usuário é armazenado na plataforma, justamente para que ele não as reutilize.
O (Sistema/Aplicação) oculta a digitação da senha quando solicitada?
- RESPOSTA: O sistema não oculta totalmente a digitação da senha, mas é exibido um asterisco para cada caractere que o usuário digita no campo de senha.
O (Sistema/Aplicação) apresenta a data e a hora do último acesso realizado na tela inicial?
- RESPOSTA: Apesar dos acessos a plataforma de todos os usuários serem registrados no sistema, essa informação, hoje é extraída apenas por relatório. Hoje o usuário mesmo não vê na plataforma a última data de acesso dele no sistema.
O (Sistema/Aplicação) notifica o usuário em casos de necessidade de troca da senha antes da sua expiração
- RESPOSTA: O sistema não exibe esse alerta. Quando a senha do usuário expira ele deve trocá-la imediatamente para prosseguir com o uso do produto.
O (Sistema/Aplicação) mantém as senhas armazenadas em local seguro e criptografado?
- RESPOSTA: A aplicação armazena a senha do usuário no formato de um hash SHA2-256;
É exigido a alteração de senha no primeiro login?
- RESPOSTA: O administrador possui autonomia para habilitar ou desabilitar a troca de senha no primeiro acesso, através das Configurações da plataforma na área administrativa do sistema.
É exigido a alteração de senha a cada 60 dias?
- RESPOSTA: Sim, a periodicidade pode ser configurada para mais ou para menos, se necessário, pelo próprio administrador através da área administrativa da plataforma.
Permitir que o usuário modifique sua senha a qualquer momento, utilizando um campo de confirmação de senha para minimizar erros.
- RESPOSTA: O usuário tem a opção de trocar sua senha a qualquer momento atraves da tela "Meus Dados"
- Além disso, também há a possibilidade de, em caso de esquecimento de senha, o usuário poder definir uma nova senha clicando no botão "Esqueci Minha Senha" na tela de login da plataforma. Neste momento é enviado um e-mail com um token temporário para que ele reset sua senha. No momento da alteração ele necessita informar uma nova senha e confirmá-la para concluir a mudança.
No caso de sistemas integrados com AD (LDAP) serão parametrizados 10 (dez) tentativas de acesso inválidas.
- RESPOSTA: Em casos de integração com AD (LDAP), o usuário não troca sua senha através da plataforma e/ou é bloqueado após um número erros de login. Este controle existe apenas com a autenticação local (usuário e senha da plataforma da Engage). A aplicação apenas valida no AD se o usuário as credenciais são validas ou não – não há esta tratativa na aplicação.
O usuário é bloqueado após 5 tentativas invalidas de logon?
- RESPOSTA: Atualmente, este limite na plataforma é de 6 tentativas, por padrão, mas é possível reduzir esse limite através da área administrativa da plataforma, onde o administrador tem autonomia para fazer.
Como Acontece o desbloqueio de um usuário bloqueado por tentativas incorretas? (Resp: Automático ou Manual)?
- RESPOSTA: O bloqueio é realizado automaticamente pela plataforma, por um período de 30 minutos até que ele seja automaticamente desbloqueado. Porém, o administrador, também, pode desbloquear o usuário manualmente pela área administrativa.
Existe um bloqueio para que a mesma senha não possa ser reutilizada dentro do período de 1 ano?
- RESPOSTA: Durante o processo de troca de senha, o usuário precisa informar uma senha diferente das 10 senhas anteriores, caso contrário, a plataforma não permite a alteração.
Elabore e descreva como o login e a senha serão definidos ou enviados aos usuários:
- RESPOSTA: O campo de login do usuário é escolhido pelo cliente, tendo como pré-requisito ser uma informação única como e-mail, documento, matrícula.
- Para senha, existem algumas possibilidades:
  - O administrador pode informar uma senha inicial, como um documento do usuário, por exemplo, configurando a plataforma exigir a troca de senha no primeiro acesso, bem como configurar a periodicidade de alteração da mesma
  - Para fins de segurança, a plataforma suporta login único (SSO) com algumas plataformas, como ADFS, Azure AD e AD (LDAP).
Elabore e descreva como o login e a senha serão definidos ou enviados aos usuários:
- RESPOSTA: O campo de login do usuário é escolhido pelo cliente, tendo como pré-requisito ser uma informação única como e-mail, documento, matrícula.
- Para senha, existem algumas possibilidades:
  - O administrador pode informar uma senha inicial, como um documento do usuário, por exemplo, configurando a plataforma exigir a troca de senha no primeiro acesso, bem como configurar a periodicidade de alteração da mesma
  - Para fins de segurança, a plataforma suporta login único (SSO) com algumas plataformas, como ADFS, Azure AD e AD.
A empresa possui procedimentos documentados para gerenciamento de senhas, incluindo:
- Mínimo de caracteres e complexidade das senhas;
- Estrutura criptográfica que é usada para proteger senhas (por exemplo, funções hash)
- Tempo de sessão, uso de autenticação multifator
- RESPOSTA: O procedimento não está formalmente documentado, porém as regras de negócio da aplicação, referente a politica de gerenciamento de senhas são:
  - Devem ter no mínimo 8 caracteres compostos por letras o letras maiúsculas, minúsculas, números e caracteres especiais;
  - Devem ser diferente das últimas 10 senhas anteriores, caso contrário, a plataforma não permite a alteração;
  - A aplicação armazena a senha do usuário no formato de um hash SHA2-256;
  - O tempo de sessão é de 24 horas. Caso o usuário feche o navegador, a sessão é encerrada e o usuário terá que logar novamente.
  - A autenticação multifator (MFA) é suportada, atualmente, através do uso do TOTP com aplicativos como Google Authenticator ou Microsoft Authenticator.
É possível customizar o modelo de acessos na plataforma?
- RESPOSTA: Sim. O administrador tem autonomia para criar perfis customizados, com privilégios reduzidos e atribuindo estes perfis aos usuários.
A solução oferece suporte à implementação de Single Sign-On para autenticação e autorização?
- RESPOSTA: A plataforma oferece suporte a SSO para autenticação, somente. A liberação dos acessos as funcionalidades da plataforma é feita através dos perfis de acesso, com suas respectivas roles [ou permissões], criados diretamente na plataforma.
Se a integração completa de Single Sign-On não for possível, que outra interface para automatizar o provisionamento de acesso é compatível?
- RESPOSTA: Esta automatização é possível, já deixando os perfis, com suas respectivas roles, previamente criados na plataforma e desenvolvendo uma integração customizada para o cliente seguindo suas respectivas regras de atribuição do perfil ao usuário, após o SSO, de acordo o nível adequado de privilégios que o usuário deverá ter.
A empresa fornece ambiente de pré-produção para seus clientes?
- RESPOSTA: Sim. O ambiente disponível para realização de testes por parte do cliente é: https://test.one.engage.bz..
Como a empresa limita e controla o uso de direitos de acesso privilegiado (por exemplo, administradores, desenvolvimento, usuários avançados etc.) que podem ter acesso aos dados do cliente? Descreva como é executado.
- RESPOSTA: Sim, a plataforma possui perfis de que limitam o acesso dos usuários as informações do ambiente do cliente.
Como a empresa limita e controla o uso de direitos de acesso privilegiado (por exemplo, administradores, desenvolvimento, usuários avançados etc.) que podem ter acesso aos dados do cliente? Descreva como é executado.
- RESPOSTA: Sim, a plataforma possui perfis de que limitam o acesso dos usuários as informações do ambiente do cliente.
A empresa tem uma política documentada Traga seu próprio dispositivo (BYOD)? Como as informações são protegidas quando são processadas em um dispositivo privado?
- RESPOSTA: Atualmente não temos nenhuma politica implementada neste aspecto.
A empresa executa o programa Bug Bounty ou Responsible Disclosure, que permite identificar continuamente vulnerabilidades em seus aplicativos? Forneça uma breve descrição do programa.
- RESPOSTA: Nossos clientes são orientados a reportar quaisquer incidentes na plataforma, sejam bugs, problemas de usabilidade, navegação ou incidentes referentes a segurança da informação em nosso canal oficial meajuda@engage.bz. Enviando o incidente para este endereço, um chamado é aberto ao nosso time de suporte automaticamente que se encarregará de atender a solicitação e acionar o time de TI sempre que for necessário para resolução do problema.
A plataforma suporta a autenticação integrada ao serviço Microsoft Active Directory?
- RESPOSTA: Apenas a autenticação com AD é suportada, enquanto o processo de autorização é feito diretamente pela plataforma, através da área administrativa, informando os perfis de acesso do usuário.
A plataforma permite estratégia de single sign-on com a estrutura de Active Directory?
- RESPOSTA: A plataforma permite que o usuário se autentique na plataforma com as credenciais do Active Directory - informando seu usuário e senha.
A plataforma permite alterar os nomes e passwords das contas padrão de administração da ferramenta?
- RESPOSTA: Dados padrões da plataforma não podem ser editados nem pela área administrativa

3. Gerenciamento de Sessão

O ativo de informação utiliza protocolos de segurança para a transmissão/transporte de informações críticas (ex: HTTPS/SSL, IPSec etc.)?
- RESPOSTA: Todo o tráfego de dados é realizado através do protocolo HTTPS TLS 1.2
Existe controle de encerramento de sessão para eventos de logoff? Ex: Ao clicar em "logoff e/ou sair", caso eu atualize o navegador ou abra uma outra aba, o sistema solicita uma nova autenticação ou automaticamente me mantenho conectado?
- RESPOSTA: Se o usuário já estiver autenticado e o usuário abrir uma nova aba, o sistema utiliza a sessão ativa e ele continua logado normalmente.
  Se o usuário clicar no logoff, o sistema desloga o usuário e se abrir uma nova aba, a tela de login será exibida para ele informar suas credenciais.
A sessão é finalizada automaticamente após 15 minutos de inatividade?
- RESPOSTA: Como na plataforma os usuários, frequentemente estão assistindo treinamentos que podem ser extensos se a plataforma finalizar a sessão do usuário enquanto ele tiver assistindo um treinamento, isso prejudicaria sua experiência como aluno no sistema. Portanto, não conseguiremos atender este requisito.
O ativo de informação encerra sessões anteriores caso uma nova autenticação seja realizada pelo usuário a partir de outro dispositivo? Exemplo: Caso eu esteja conectado na aplicação utilizando meu Smartphone e realize o acesso utilizando um Notebook, a sessão iniciada no Smartphone é encerrada ou mantenho as duas sessões ativas
- RESPOSTA: A única forma do usuário poder manter duas sessões é se ele acessar pelo app, justamente porque antigamente os clientes reclamavam que a sessão do app derrubava a versão WEB e vice-versa. Portanto foi implementado dessa força para resolver esta questão.
O (Sistema/Aplicação) gera um novo identificador de sessão (ex: ID/Token) quando realizada uma nova autenticação?
- RESPOSTA: Como utilizamos o padrão Oauth 2.0 para autenticação a plataforma gera um access_token único por usuário e por acesso. Esse token é valido por um período de 1 hora, sendo renovado automaticamente através de um refresh_token.
O ativo de informação impede o uso de conexões simultâneas com o mesmo Usuário?
- RESPOSTA: O suporte a logins simultâneos na plataforma não é suportada. Se um novo login é realizado no sistema ele derruba a sessão anterior.
A funcionalidade de logout/logoff/sair está disponível em todas as páginas após a autenticação do usuário?
- RESPOSTA: Sim, todas as telas são exibidas o menu com a opção "Sair" disponível no menu principal da plataforma.
O (Sistema/Aplicação) possui limitação do número de transações que um usuário ou um dispositivo podem executar em um determinado período de tempo?
- RESPOSTA: O suporte a logins simultâneos na plataforma não é suportada. Se um novo login é realizado no sistema ele derruba a sessão anterior.
O (Sistema/Aplicação) possui restrição de acesso baseado na origem do usuário? Exemplo: Apenas acessos onde a origem seja a sede da empresa do cliente para acessar o sistema em questão?
- RESPOSTA: A Plataforma possui uma funcionalidade que permite o acesso (login) na pataforma a partir de uma lista de IPs especificos.

4. Permissões de Acesso

O (Sistema/Aplicação) permite a segregação de funcionalidades na criação de perfis?
- RESPOSTA: Sim. O administrador tem autonomia para criar perfis customizados, com privilégios reduzidos e atribuindo estes perfis aos usuários.
Credenciais de conta de serviço possuem restrições para impedir a utilização em recursos da rede (ex: notebook pessoal e etc.)?
- RESPOSTA: Não possuem.
Os Perfis e/ou Funcionalidade do ativo de informação possuem nomes que refletem de forma condizente as suas funções e são devidamente documentadas? Se sim, informar no campo da coluna "Observações" a data em que esta documentação foi revisada (caso tenha sido).
- RESPOSTA: Sim, os nomes dos módulos refletem as funcionalidades de cada parte do sistema, mas hoje não encontram-se documentados
O (Sistema/Aplicação) possui perfil/funcionalidade que permite a extração de dados pessoais (ex: relatórios, download pelo próprio ativo de informação e etc.)?
- RESPOSTA: O administrador possui autonomia de extrair informações através dos relatórios disponíveis na plataforma. Além disso, também, é possível a extração dos dados através de API's

Existe segregação de função?
- RESPOSTA: Na plataforma existem dois perfis padrões: O Jogador e o Administrador, descritos abaixo:
  Jogador: São os usuários finais que irão participar dos módulos de cada uma das trilhas de um ambiente, sendo que estes não tem permissão de editar outros usuários e/ou gerenciar ambientes
  Administrador: É o responsável por gerenciar todos os recursos da plataforma - usuários, ambientes, trilhas e módulos. Inclusive este perfil permite a criação de outros perfis com permissões de acessos mais restritas.
- Perfis Customizados: O administrador tem a autonomia para criar perfis customizados com privilégios reduzidos ou não, de acordo com suas necessidades.
Existe um perfil exclusivo para gerenciamento de usuários?
- RESPOSTA: Para gerenciar os usuários, é necessário acessar a área administrativa com algum perfil que tenha a permissão de "Gerenciamento de Usuários"
Existe um perfil exclusivo para reset de senha e desbloqueio de usuário?
- RESPOSTA: Para gerenciar os usuários, é necessário acessar a área administrativa com algum perfil que tenha a permissão de "Gerenciamento de Usuários
No ambiente multitenant da Engage, como é garantida a separação entre os diferentes clientes?
- RESPOSTA: A plataforma, tanto na aplicação como no banco de dados, é compartilhada entre todos clientes. A segregação na aplicação é feita através de um parâmetro que chamamos de customerId, ou seja, em todas as entidades no banco de dados possuem este parâmetro que são utilizados para filtrar o ambiente do cliente, impedindo acessos não autorizados entre os diversos clientes que a Engage possui.

5. Banco de dados

Quais Bancos de Dados existem no ambiente ?
- RESPOSTA: SQL Server 2019 Web Edition
Existe banco de dados EOF (Fora de contrado de manutenção de suporte pelo fabricante) no ambiente? Qual a Versão dos Bancos de Dados existem no ambiente?
- RESPOSTA: SQL Server 2019 Web Edition
Existe segregação física ou logica de ambientes para as bases dos bancos de dados ?
- RESPOSTA: Todos os ambientes existente na organização (DEV, TEST (QA), e Produção), possuem uma base dedicada cada.
As pessoas que acessam estes ambientes possuem perfis segregados ?
- RESPOSTA: O acesso ao banco de dados de produção é restrito ao Gerente de Produto e Coordenador de Sustentação.
Se existe e qual é o mecanismo de alta disponibilidade em uso?
- RESPOSTA: Há backups das imagens dos servidores de produção de aplicação, banco de dados e conteúdo
Os dados armazenados no banco estão criptografados?
- RESPOSTA:
  - O storage do banco de dados da plataforma é criptografado em repouso;
  - Além disso, apenas o Tech Lead e o CTO possuem ao ambiente de produção do produto.
Para os dados armazenados no banco de Dados, existe alguma proteção contra acesso direto?
- RESPOSTA: Os dados do banco são segmentados e login.
Os dados que são utilizados em produção são os mesmos usados no desenvolvimento?
- RESPOSTA: A massa de testes utilizada durante o desenvolvimento do produto não é a mesma da base de produção.
Existe algum mecanismo de mascaramento de dados em uso?
- RESPOSTA: Não
Os dados armazenados no banco estão criptografados? Exemplo: Criptografia no disco, Criptografia em tabelas, Criptografia na comunicação entre os usuários e a base de dados e etc
- RESPOSTA:
  - O storage do banco de dados da plataforma é criptografado em repouso;
  - Além disso, apenas o Tech Lead e o CTO possuem ao ambiente de produção do produto.
Os dados que são utilizados em produção são os mesmos usados no desenvolvimento? Exemplo: Muitas empresas ao desenvolver uma aplicação necessitam de dados reais para simular o uso e recurso do novo software que está sendo desenvolvido, existem empresas que utilizam informações fictícias para não expor as informações reais tais como: Folha de pagamento, informações pessoais de funcionários e de clientes e etc.
- RESPOSTA: A massa de testes utilizada durante o desenvolvimento do produto não é a mesma da base de produção.

6. Segurança da Infraestrutura

Quais os requisitos de Hardware e software para rodar a plataforma?
- RESPOSTA: IIS 8.5 ou superior
- .NET Framework 4.7 ou superior
- Banco de dados SQL Server 2016 ou superior
- Windows Server 2012 ou superior
- 8 GB de Memória ou superior
- 100 GB de Espaço em Disco ou superior
A ferramenta suporta quais navegadores?
- RESPOSTA: A plataforma é cross-browser, sendo os seguintes navegadores suportados:
  - IE 11 ou superior;
  - Edge 46 ou superior
  - Chrome 68 ou superior;
  - Firefox 61 ou superior;
Solução contempla modelo em nuvem e infraestrutura local?
- RESPOSTA: A plataforma suporta apenas o modelo em nuvem, com hospedagem na nuvem da Engage.
Há segregação de ambientes na infraestrutura do fornecedor?
- RESPOSTA: A infraestrutura da plataforma Engage será distribuída da seguinte forma
  Servidor de Banco de Dados: Hospedado em um Servidor RDS da AWS com o SQL Server 2019 Web Eid como SGBD
  Servidor de Aplicação: Hospedado em um servidor Windows Server 2019
  Servidor de Conteúdos: Hospedado no S3 da AWS, armazena arquivos estáticos, como vídeos, pdf's, cursos SCORM que são enviados pelos administradores e disponibilizados aos usuários
Os documentos de proteção estão disponíveis para todos os componentes da infraestrutura (incluindo dispositivos de rede, servidores, bancos de dados, servidores da web, etc)?
- RESPOSTA: N/A. Todos os serviços de infraestrutura são contratados da AWS.
Todos os componentes da infraestrutura (incluindo dispositivos de rede, servidores, bancos de dados, servidores web, etc) são protegidos de acordo com as diretrizes de proteção?
- RESPOSTA: Os acessos aos recursos da rede da Engage e dos servidores de produção são protegidos por Firewall.
A organização tem provisão para implementação de Firewall de aplicativo da Web?
- RESPOSTA: Utilizamos como ferramenta de WFA o firewall da nativo do EC2 da própria AWS
Os serviços de proteção contra phishing e malware estão disponíveis para o aplicativo da Web?
- RESPOSTA: Os e-mails automáticos enviados pela plataforma, com raras exceções, como o de reset de senha, não possuem links, evitando, assim que vírus sejam espalhados ou códigos maliciosos que possam prejudicar nossos usuários.
A proteção DDoS está disponível para o aplicativo da Web e a infraestrutura correspondente?
- RESPOSTA: AWS Shield é usado como ferramenta contra ataques DDoS.
A Organização tem provisão para implementação de HIDS/NIDS (Host Intrusion Detection System[Sistema de Detecção de Intrusão em Host (dispositivo)] / (Network Instrusion Detection System [Sistema de Detecção de Intrusão em Rede])?
- RESPOSTA: Não temos nenhuma destas ferramentas implementadas.
A empresa realiza avaliações técnicas de segurança (por exemplo, vulnerabilidade, testes de penetração) em seu próprio ambiente de TI?
- RESPOSTA: Procedimentos de scan não são realizados nas estações de trabalho, porém a utilização de dispositivos como pen-drives e HD's externos são bloqueados nas máquinas;
- O acesso as redes da empresa é autorizado apenas para equipamentos e dispositivos autorizados;
- Os colaboradores não podem instalar nenhum software sem autorização do time de infraestrutura da empresa, sendo que os aplicativos utilizados nas máquinas devem ter relação com as atividades desempenhadas dentro da organização.
- Os colaboradores não tem autorização para utilização do e-mail corporativo para tratar assuntos que não sejam de cunho profissional e/ou com relação as funções desempenhadas na empresa.
Descreva os processos e procedimentos que estão em vigor para garantir que o ambiente operacional (infraestrutura, plataforma, aplicativo) não seja afetado por software malicioso ou intrusos durante o desenvolvimento, manutenção e operação.
- RESPOSTA: Os ambientes de desenvolvimento e homologação são segregados fisicamente do ambiente de produção;
- O acesso ao ambiente de produção é feito apenas pelo Gerente de TI e o DEV Sênior
- A aplicação é protegida por WAF (Web Application Firewall)
- Headers de segurançae strict-transport-security,
  x-content-type-options
  x-xss-protection são aplicados na plataforma
A empresa utiliza soluções criptográficas? Se sim, quais? Foram estabelecidas diretrizes de uso destas tecnologias de criptografia? Descreva.
- RESPOSTA: Utilizamos a criptografia padrão de armazenamento (storage) em nosso banco de dados de produção que fica hospedado na AWS.

7. Controle de Dados e Gerenciamento de identidade e acesso

Existem garantias sobre a preservação da integridade dos dados?
- RESPOSTA: A integridade no banco de dados é realizada através dos seguites recursos:
  > Chaves estrangeiras (Foreign Keys)
  > Check (Check Contraints)
  > Além de validações nas telas de cadastro (front-end) e nas APIs (backend), visando que os dados armazenados estejam sempre consistentesExiste controle e como são tratados os casos de violação de leis de proteção de dados?
  - RESPOSTA: Por nossos servidores de produção na Amazon estarem hospedados em servidores nos EUA, a violação de dados está sujeita as leis daquele país bem como aos controles da legislação brasileira, através da LGPD.
A recuperação de informações críticas está sujeita a atrasos independente do SLA acordado entre as partes ?
- RESPOSTA: Em casos de urgência, como paradas de sistemas, toda a equipe é mobilizada para o restabelecimento dos serviços o mais rápido possível.
A organização documentou e implementou controles de acesso lógico?
- RESPOSTA: No momento da contratação os colaboradores possuem os acessos aos sistemas da empresa, com base em sua função desempenhada e departamento no qual o colaborador faz parte;
- Apenas pessoas registradas e previamente autorizadas tem acesso as dependências da empresa;
- Casa usuário possui seu login e senha específicos para acessar os sistemas utilizados pela empresa;
- Em caso de mudança de departamento e/ou desligamento seus acessos são imediatamente revisados e/ou cortados, respectivamente.
Existe um processo para revisar os direitos de acesso do usuário em intervalos regulares?
- RESPOSTA: Sempre que há mudança de função dentro da organização os acessos concedidos ao usuário são imediatamente revistos e atualizados.
A organização possui procedimentos que proíbem o uso de grupos, IDs compartilhados ou genéricos e senha (em servidores, sistemas ou de rede)
- RESPOSTA: Sim. Cada colaborador tem seu usuário e senha especifico para acessar os recursos, sistemas e dispositivos dentro da organização.
A empresa permite que seus funcionários trabalhem remotamente? Em caso afirmativo, como a conexão com a rede da empresa é estabelecida e protegida?
- RESPOSTA: Sim, os funcionários podem trabalhar de forma remota e o acesso é feito através de uma conexão de VPN.
A vida útil de uma sessão deve ser limitada a no máximo 15 minutos (sem reload).
- RESPOSTA: Atualmente o tempo de duração da sessão do usuário é de 24 horas enquanto o navegador estiver aberto sendo encerrada quando o browser é fechado. A plataforma trabalha desta forma para garantir que durante o tempo que o usuário esteja assistindo algum vídeo mais longo ou respondendo uma avaliação ele não seja deslogado por inatividade de sessão, prejudicando o uso da plataforma. Entretanto é possível alterarmos este tempo reduzindo-o se o cliente entender ser necessário.

8. Vulnerabilidades de Dados

Existe algum processo formal para tratamento dos incidentes de Segurança?
- RESPOSTA: Em casos de urgência, como paradas de sistemas e/ou vazamento de dados, toda a equipe é mobilizada para o restabelecimento dos serviços o mais rápido possível e correção das falhas críticas.
Como são tratados os incidentes de SI?
- RESPOSTA: Os canais de atendimento da empresa - Helpdesk, E-mail, Chat, Telefone Whatsapp - estão sempre disponíveis, em horário comercial em dias uteis para que o cliente possa entrar em contato sempre que precisar.
Existe alguma ferramenta para abertura de chamado para tratamento dos incidentes de Segurança da Informação?
- RESPOSTA: Utilizamos o Freshdesk como sistema de helpdesk para atender os chamados abertos por nosso clientes.
Existe algum sistema de gerenciamento de patches de SI?
- RESPOSTA: Todas as alterações são registradas. Utilizamos o GitHub para fazer versionamento das releases que lançamos para o produto.
- Durante o desenvolvimento de novas features ou bugfixes registramos todas as atividades no Trello, informando a descrição do que está sendo realizado, quem é o responsável por executar as tarefas e qual o prazo necessário para conclusão.
- Quando fechamos uma release, criamos um documento - o Release Notes - onde detalhamos as melhorias que foram implementadas e disponibilizamos as alterações um em ambiente de homologação para que os testes sejam realizados. Se todos os testes foram bem sucedidos, atualizamos o ambiente de produção.
- A equipe interna de atendimento sempre é comunicada das alterações para que possam prestar um suporte mais assertivo ao cliente.
Existe algum processo de verificação Periódica de vulnerabilidades?
- RESPOSTA: O processo de verificação de vulnerabilidades é feito pela Ferramenta Site Blindado e ocorre semanalmente.
Sua empresa possui um política de gestão de crises, incluindo cenários de ataques cibernéticos, bem como testes de simulação desses cenários para atestar a resiliência da empresa?
- RESPOSTA: O processo de verificação de vulnerabilidades é feito pela Ferramenta Site Blindado e ocorre semanalmente.
A análise via scan de vulnerabilidade possui escopo 360, todo o ambiente é analisado sem exceção?
- RESPOSTA: O processo é apenas feito na aplicação
O cliente pode conduzir um scan de vulnerabilidades na aplicação e/ou infraestrutura da Engage?
- RESPOSTA: Por conta de cláusulas de confidencialidade previstas em contratos com os outros clientes, estes testes não podem ser realizados na aplicação e/ou na infraestrutura da Engage
Como feito o seu processo de remediação de vulnerabilidade?
- RESPOSTA: Ao identificar falhas de segurança, as mesmas são corrigidas e os testes são refeitos para assegurar de que o problema foi sanado em definitivo.
A avaliação da vulnerabilidade é realizada sempre que houver alguma alteração significativa no aplicativo?
- RESPOSTA: Sim. Porém, durante o desenvolvimento da aplicação são utilizadas técnicas de desenvolvimento de código seguro.
É o processo e os procedimentos para atualizações regulares de arquivos DAT de antivírus em todos os componentes do sistema disponíveis. Qual é a frequência?
- RESPOSTA: A frequência de scan é feita semanalmente e atualização dos software de anti-vírus é feita mensalmente.
As políticas e procedimentos são estabelecidos e os processos de negócios e medidas técnicas de suporte implementados para o gerenciamento regular de patches?
- RESPOSTA: Os patches de atualização são feitos semestralmente. Tarefas como Atualizações do Sistema operacional, atualização de imagens de servidores e antivirus são realizadas.
Todas as conexões entre o banco de dados e aplicação são seguros? Se sim, como isto é feito?
- RESPOSTA: O acesso ao banco de dados de produção é restrito por IP. Apenas o IP do servidor de aplicação está liberado.
Como as alterações nas configurações de firewall e rede são rastreadas e gerenciadas?
- RESPOSTA: O Acesso ao firewall dos servidores de produção é restrito e apenas o Analista de Infraestrutura tem acesso a ele.
A solução oferece suporte para exclusão segura de dados do cliente?
Descreva o processo de exclusão de dados.
- RESPOSTA: Nem todos os dados são passíveis de exclusão física do banco de dados através da aplicação. Porém em telas onde esta ação é permitida na área administrativa, o sistema exige uma confirmação do administrador sobre o prosseguimento da operação, alertando sobre o fato de que, após concluída, esta não poderá ser desfeita. Caso o administrador opte por prosseguir, esta é realizada.
Descreva os processos de gerenciamento de vulnerabilidade. Em particular:
A solução / código é testado para vulnerabilidades?
Os testes são realizados regularmente?
Qual é o prazo para corrigir vulnerabilidades críticas?
- RESPOSTA: Durante o desenvolvimento da aplicação são utilizadas técnicas de desenvolvimento de código seguro (OWASP).
- A nossa aplicação é semanalmente escanelada através da ferramenta Site Blindado
- Erros na aplicação são logados no sistema para que possamos diagnosticar problemas e corrigi-los com assertividade;
- O prazo para correção de vulnerabilidades críticas é de 48 horas uteis.
Como a empresa monitora vulnerabilidades em módulos / soluções de terceiros usados para processar dados de PMI?:
- RESPOSTA: Antes de implementar qualquer solução, fazemos uma pesquisa se o componente a ser utilizado não está na lista de componentes com vulnerabilidades conhecidas, como Jquery 3.3.0 ou inferior;
- Os testes realizados pela ferramenta Site Blindado nos fornecem informações de componentes da aplicação que, eventualmente, contenham vulnerabilidades;
A empresa possui procedimentos documentados para responder a incidentes de segurança de computador, incluindo alertas e alegações sobre violações de dados? Forneça cópias dos procedimentos aplicáveis.
- RESPOSTA: Em casos de urgência, como paradas de sistemas e/ou vazamento de dados, toda a equipe é mobilizada para o restabelecimento dos serviços o mais rápido possível e correção das falhas críticas.
- Em caso de eventual vazamento todos os nossos clientes são imediatamente comunicados sobre o incidente pelo nosso time de Customer Success
- Os canais de atendimento da empresa - Helpdesk, E-mail, Chat, Telefone Whatsapp - estão sempre disponíveis, em horário comercial em dias uteis para que o cliente possa entrar em contato sempre que precisar.
- O processo de verificação de vulnerabilidades é feito pela Ferramenta Site Blindado e ocorre semanalmente.
- Ao identificar falhas de segurança, as mesmas são corrigidas e os testes são refeitos para assegurar de que o problema foi sanado em definitivo.
Possui relação dos principais eventos e recursos que devem ser monitorados?
- RESPOSTA: Disponibilidade da aplicação - servidores e arquivos
- Acessos dos usuários à plataforma
- Ações realizadas na plataforma

9. Segurança Física e de Redes

Existe Sala e qual é local dos equipamentos de redes e servidores?
- RESPOSTA: Não temos acesso físico ao Data Center da Amazon. Todo acesso aos servidores é feito de forma remota e apenas por pessoas previamente autorizadas.
Existe algum controle de acesso aos ambientes que armazenam ou processam as informações?
- RESPOSTA: Não temos acesso físico ao Data Center da Amazon. Todo acesso aos servidores é feito de forma remota e apenas por pessoas previamente autorizadas.
Existem logs dos acessos físicos realizados?
- RESPOSTA: O acesso aos servidores de produção é restrito e gera logs das ações efetuadas nos mesmos.
Existe algum sistema de prevenção de incêndio?
- RESPOSTA: A responsabilidade sobre prevenções de incidentes no data center é garantida pelo fornecedor contratado pela Engage.
Onde estão os locais de armazenamento de dados "conhecidos"? Onde está localizado o data center?
- RESPOSTA: A aplicação, inclusive banco de dados, ficam hospedados no cloud da AWS na Virgínia, nos Estados Unidos.
Existe um acesso restrito e monitorado a ativos críticos 24x7?
- RESPOSTA: Os servidores da aplicação possuem alarmes que são disparados automaticamente quando o processamento das máquinas está acima de 80%, bem como quando há memória baixa ou insuficiente. Estes alarmes são disparados à equipe de TI do produto e ao e-mail pessoal do responsável pelo produto a qualquer hora.
Qual mecanismo de segurança (como autenticação de 2 fatores) disponível para administração remota de id é permitido?
- RESPOSTA: Credenciais e token de acesso.
Você usa algum protocolo inseguro, como Telnet e FTP para administração de dispositivos?
- RESPOSTA: Os protocolos utilizados na rede são seguros.
Há segregação de dados e/ou de infraestrutura de um determinado cliente dos demais?
- RESPOSTA: Não. Toda a infraestrutura e aplicação são compartilhados entre todos os clientes.
Quais são seus recursos de prevenção de vazamento de dados?
- RESPOSTA: Seguindo as principais práticas de desenvolvimento de código seguro;
- Conscientização dos colaboradores sobre vazamento de dados;
- Políticas de Backup;
- Atualização de Softwares;
- Utilização de softwares de segurança como Software e Antivírus.
A organização possui controles implantados para garantir que o acesso às áreas sensíveis esteja disponível apenas com o pessoal autorizado?
- RESPOSTA: O acesso às dependências da empresa só é liberado mediante apresentação liberação do ponto eletrônico.
O acesso à área sensível da empresa é reconciliado periodicamente?
- RESPOSTA: Hoje em dia a empresa não possui área físicas sensíveis
A organização possui autorização de visitante e os controles de acesso estão em vigor?
- RESPOSTA: O acesso de visitantes às dependências da empresa só é permitido mediante identificação e autorização prévia de algum representante da companhia.
- Os acessos as redes e dispositivos internos da empresa é vedado a visitantes;
Confirme se as pessoas (trabalhando no CD) usam crachás de visitante ou outra identificação e se os visitantes são facilmente distinguíveis do pessoal no local.
- RESPOSTA: Eles usam crachás de visitantes.
Confirme se os dados estão criptografados antes do backup e também permanecem criptografados na mídia de backup
- RESPOSTA: N/A. Não efetuamos backups em mídias físicas e não fazemos criptografia nos mesmos. Os backups são armazenados na nuvem, com acesso restrito ao time de TI do produto.
Confirme se toda a mídia enviada para fora da instalação está registrada e enviada por meio de correio seguro ou outros métodos de entrega que podem ser rastreados?
- RESPOSTA: N/A. Não fazemos backups em mídias físicas.
A organização possui procedimentos para limpar dados confidenciais quando não forem mais necessários. Que tipo de procedimentos de limpeza de dados são empregados para remover dados confidenciais?
- RESPOSTA: Se for dados digitais, estes são fisicamente apagados dos sistema e/ou dos equipamentos. Se for documentos em papeis, estes são destruídos em fragmentadores de papel.
Qual é o conjunto de configurações / recursos de segurança implementados para o dispositivo padrão emitido pelo funcionário? (criptografia de disco completo, firewall, etc.)
- RESPOSTA: Bloqueio de dispositivos removíveis das máquinas
- Configuração de Firewall
- Instalação de Antivírus
- Campanhas de conscientização com o público interno, também são utilizadas.
A empresa nomeou pessoas na organização para a função de diretor de privacidade de dados (DPO) (ou equivalente)?
- RESPOSTA: Sim, Segue dados abaixo:
  - Nome: Ricardo Carvalho
  - Contato: ricardo.carvalho@engage.bz
  - Telefone: (11) 4224-6830
As responsabilidades da função de oficial de privacidade de dados da Empresa incluem fornecer treinamento e conscientização sobre proteção de dados pessoais?
- RESPOSTA: Apesar de não possuirmos treinamentos formais de segurança da informação, todos os nossos colaboradores assinam um termo de confidencialidade no momento da contratação, se comprometendo a não divulgar informações de clientes e/ou da empresa sem prévia autorização;
- Campanhas de conscientização sobre a importância do não vazamento de informações são feitas aos colaboradores;
- Priorizamos contratação de novos profissionais por indicação e que possuam bom histórico profissional e de boa conduta no ambiente de trabalho.
- Seus respectivos acessos acessos à sistemas, arquivos e infraestrutura da empresa são liberados aos colaboradores de acordo com seu perfil e função desempenhada na empresa.
- Os colaboradores são instruídos a não compartilhar suas senhas com quaisquer pessoas, dentro ou fora da organização.
Documentação sobre a infraestrutura dos servidores (proteção contra incêndio, alarmes, energia, climatização e temperatura )
- https://media.amazonwebservices.com/pt/wp/AWS%20Security%20Whitepaper%20-%20May%202011.pdf
Descreva as informações e medidas de segurança física, técnicas e organizacionais são empregadas pela empresa:
- Segurança física:
  - Controle de acesso às dependências do escritório mediante biometria previamente cadastrada;
  - Bloqueio de dispositivos removíveis das máquinas.
- Segurança técnicas
  - Configuração de Firewall;
  - Instalação de Antivírus;
  - Acesso restrito aos servidores de produção ao Coordenador e Gerente de Produto;
  - Backups feitos somente na nuvem, e não realizadas em dispositivos e/ou mídias físicas;
- Organizacionais
  - Campanhas de conscientização com o público interno, também são utilizadas;
  - Assinatura de termo de confidencialidade;
  - Segregação de acesso por departamento/cargo.
- Legislação
  - Implementada Política de Segurança da Informação;
  - Implementada Políticas de Prividade de Dados e Cookies;
A empresa fornece mecanismos de atendimento aos direitos dos titulares previstos na LGPD?
- RESPOSTA:
  - Na plataforma
    - Se o administrador habilitar o recurso de auto-edição de cadastros, o usuário terá autonomia para alterar seus dados pessoas.
    - Caso este recurso esteja desabilitado por parte do administrador, o usuário poderá solicitar ao administrador que edite seus dados
    - Quando o usuário desejar ter seus dados excluídos, da plataforma, ele tem autonomia para remover - também, se o administrador liberou essa funcionalidade - ou o administrador também poderá fazer a exclusão definitiva do usuário do sistema.
  - Na empresa
    - Disponibilizamos o endereço lgpd@engage.bz para que qualquer usuário possa entrar em contato com a equipe da Engage para assuntos relacionados a LGPD.

10. BCP (Business Continuity Plan) e DR (Disaster Recovery) e Gerenciamento de Incidentes

Existe algum plano de recuperação de desastres (PRD) e de continuidade de negócios (PCN) definido?
- RESPOSTA: Todos os produtos desenvolvidos na Engage são armazenados na nuvem.
- Nosso processo interno define que diariamente temos que fazer Commit das alterações realizadas com o propósito de evitarmos perda de informações em caso de eventual falha no equipamento, desastres, etc.
- Os backups do banco de dados, arquivos e aplicação são feitos regularmente com redundância;
- Os servidores possuem imagens dos mesmos;
- Em caso de desastres, adotando as práticas descritas acima, é possível recuperarmos nossos projetos através dos backups feitos na nuvem.
- O processo é revisto trimestralmente e aperfeiçoado.
Existe controle de ciclos de periodicidade de teste?
- RESPOSTA: Iniciamos a implementação de testes automatizados na API do produto - onde estão centralizadas as regras de negócio da plataforma - visando garantir a qualidade do produto para nosso cliente final.
  Além disso, antes de subirmos novas feature e/ou correções de bug para a produção efetuamos testes nas funcionalidades da plataforma. Caso seja identificado algum bug, o time responsável reporta o ocorrido à equipe de desenvolvimento, que fica encarregada de corrigi-lo e lançar um novo patch de correção. Se tudo estiver ok, o responsável da área aprova as alterações, a release é lançada e é devidamente publicada no ambiente de produção.
Existe tolerância à perda de informações? Qual seria a janela de perda?
- RESPOSTA: Realizamos backup de tudo o que é produzido na empresa e eles estão armazenados na nuvem, com redundância, para que seja possível o reestabelecimento das atividades da organização no caso de algum desastre
Existe tempo acordado para retorno da operação em caso de algum desastre? Qual é tempo máximo?
- RESPOSTA: Sim, o tempo máximo estabelecido é de 8 horas a contar a partir do registro.
Quais protocolos de comunicação existem relacionados a mudanças no sistema, manutenção ou interrupções / tempo de inatividade impactando os serviços prestados ao cliente?
- RESPOSTA: Procedimentos de correção e ajustes na plataforma são publicados no ambiente de produção e atualizados no Release Notes - que fica disponíveis para os clientes, também.
- Em casos de manutenções programadas, os clientes são avisados com, no mínimo, 15 dias de antecedência.
- Em casos de interrupções não previstas (incidentes), todos os clientes são reportados imediatamente, juntamente com a previsão de restabelecimento.
Forneça documentação sobre seu programa / plano de resposta a incidentes de computador estabelecido. Incluir procedimentos de notificação / escalonamento para notificar os clientes no caso de um incidente.
- RESPOSTA: Todos os incidentes reportados pelos clientes, são encaminhados para a equipe de CS da Engage
- O analista de nível 1, recebe a solicitação e faz uma análise inicial. Se este souber resolver, ele já envia o diagnóstico para cliente. Caso contrário escala para o N2;
- No N2, ele faz uma análise mais minuciosa do problema e se souber resolver, já retorna para o cliente. Caso contrário, o chamado é enviado ao time de produto para que eles resolvam.
- Resolvido, o chamado retorna para o time de CS retornar
A organização possui um procedimento em vigor escrito ao gerenciamento de capacidade?
- RESPOSTA: O time de TI da empresa acompanha o desempenho dos servidores avaliando sua capacidade pata atender aos requisitos contratados por nossos clientes e para um bom desempenho da aplicação, bem como realiza estudos de redução de custos, mantendo a qualidade dos serviços prestados. Fazemos frequentemente benchmarking com outras startups e parceiros para aperfeiçoarmos cada vez nossos produtos e serviços.
As responsabilidades e procedimentos de gerenciamento são estabelecidos para garantir uma resposta rápida e eficaz ao incidente de segurança da informação?
- RESPOSTA: Na organização os papeis e funções estão devidamente definidos entre os membros do time no que diz respeito a todos os aspectos de TI, inclusive os de segurança da informação. Além disso, em caso de emergências todo o time é mobilizado visando sanar o mais rápido possível o incidente reportado/identificado.
Existem procedimentos para lidar com uma violação de dados?
- RESPOSTA: Acreditamos que a prevenção é o melhor caminho a ser adotado para evitar o vazamento de informações. Para isto, adotamos as seguintes práticas:
- Conscientização dos colaboradores sobre vazamento de dados;
- Estarmos aderentes legislação vigente seguindo as diretrizes ditadas pela LGPD;
- Realização de testes de vulnerabilidades;
- Utilização de ferramentas para evitar ataques que explorem eventuais vulnerabilidades da plataforma.
A organização possui pontos de contato documentados, canal de comunicação e disponibilidade da Equipe de resposta a incidentes em caso de incidente de segurança da informação?
- RESPOSTA: Os canais de atendimento da empresa - Helpdesk, E-mail, Chat, Telefone Whatsapp - estão sempre disponíveis, em horário comercial em dias uteis para que o cliente possa entrar em contato sempre que precisar. Além disso, em caso de qualquer incidente emergencial, seja relacionado a segurança de informação ou paradas de sistema, por exemplo, toda a equipe é imediatamente mobilizada para solucionar o problema com a máxima prioridade.
O teste do plano de Resposta a Incidentes é realizado periodicamente?
- RESPOSTA: O plano de Respostas a Incidentes é revisto trimestralmente e aperfeiçoado.
É fornecido treinamento apropriado a todos os funcionários e contratados para relatar incidentes de segurança em notas e relatórios e observadas são suspeitas de falhas de segurança em sistemas ou serviços?
- RESPOSTA: Apesar de não possuirmos treinamentos formais de segurança da informação, caso algum incidente relacionado a segurança seja identificado, este fato é imediatamente compartilhado entre todos os membros do time, discutido e resolvido em conjunto, de modo que todos na equipe estejam capacitados a lidar com estas situações.

11. Gerenciamento de Criptografia e Chaves

Existe mecanismos seguros para o acesso as dados da aplicação? Exemplo: VPN, SSL/TLS, etc.
- RESPOSTA: SSL/TSL
Este controle pode ser implementado por meio dos seguintes procedimentos: Utilize tecnologias seguras como SSH, S-FTP, TLS ou VPN IPsec OU utilize criptografia nas comunicações (por exemplo, usando TLS 1.2 (Transport Layer Security) ou equivalente)
- RESPOSTA: O processo de autenticação ocorre através do protocolo HTTPS. Quando o usuário autentica na plataforma, é gerado um token de acesso criptografado que fica armazenado em um cookie, também criptografado
A empresa utiliza algum tipo de criptografia para proteger os dados da corporação?
- RESPOSTA: Nosso processo interno determina que acesso aos servidores de desenvolvimento e/ou produção são restritos ao time de TI da empresa e só podem ser realizados de dentro da rede interna da Engage;
- Todas as senhas dos usuários da plataforma são armazenadas na forma de hash SHA2-256;
- Todo o tráfego entre as aplicações da Engage são feitas sob o protocolo HTTPS;
Que tipo de criptografia e força da chave é usada (durante a transmissão)?
- RESPOSTA: RSA (2048 bits)
Como os dados são criptografados durante o armazenamento?
- RESPOSTA: O storage do banco de dados da plataforma é criptografado em repouso;
  - Além disso, apenas o Tech Lead e o CTO possuem ao ambiente de produção do produto.
- . Além disso a Engage não armazena dados sensíveis do usuário com exceção do seu nome completo e de um ID único usado para autenticação - que pode ser a matrícula do colaborador ou o e-mail;
- O acesso aos servidores de produção é restrito por IP;
- Apenas a senha do usuário é armazenada no formato de um hash SHA2_256;
- Toda a transmissão de dados na aplicação é feita sob protocolo HTTPS.

12. Security Tools

"Existe alguma ferramenta de Antivírus instalada nos servidores que hospedam a plataforma e também no ambiente on premises do fornecedor? Exemplo: Symantec, McAfee, Trend, Kaspersky e etc.
- Sim, Windows Defender
Existe alguma ferramenta de AntiSpam (Aplicado somente a serviços de e-mail)? - Fornecedor e nuvem
Exemplo: Symantec, McAfee, Trend, Barracuda, Ironport e etc.
- RESPOSTA: O próprio serviço de gereciamento de emails do Office 365 da Microsoft possui uma ferramenta da SPAM nativa.
Existe alguma ferramenta de análise de vulnerabilidade ? Nuvem e fornecedor
- RESPOSTA: Para prevenir a injeção de código malicioso e ataques: Site Blindado
Existe alguma ferramenta de cofre de senhas para guarda das credenciais de serviço da plataforma ? Nuvem e fornecedor Exemplo: CyberArk, Keeper, Fortsafe
- RESPOSTA: Utilizamos o gerenciador LastPass para armazenar as senhas de todos os sistemas utilizados pela Engage.
Existe algum sistema de SIEM - Security Information and Event Management (Ferramenta de análise, Correlação e Gerenciamento de Logs) ? Exemplo: HP, IBM. LogRhythm, Splunk, Intel Security e etc
- RESPOSTA: A plataforma possui um mecanismo de gerenciamento de logs próprio.
Existe alguma ferramenta de Firewall para Banco de Dados ? Na nuvem contratada? Exemplo: Imperva, McAfee, Trustwave DB Protect, IBM Guardium, Fortnet FortDB e ect...
- RESPOSTA: Utilizamos como ferramenta de WFA o firewall da nativo do EC2 da própria AWS.
Existe alguma ferramenta de WAF - Firewall de Aplicação WEB ? Na nuvem contratada?
- RESPOSTA: Utilizamos como ferramenta de WFA o firewall da nativo do EC2 da própria AWS.
Existe alguma ferramenta de IDS/IPS ativada? Tanto nuvem quanto no ambiente de sustentação do fornecedor?
- RESPOSTA: Não
Existe alguma ferramenta de Anti-DDoS implementada no serviço de nuvem?
- RESPOSTA: Estamos implementando uma solução de Anti-DDoS da Cloud Flare.

13. Politícas de Backup

• É responsabilidade do time de TI da empresa, o acompanhamento dos processos de backup da Engage;

• O processo de backup do banco de dados da aplicação é gerado diariamente;

• Os arquivos de conteúdos de nossos clientes – como cursos, vídeos, PDF’s, etc. – passam pelo processo de backup uma vez por semana, devido ao grande volume de dados;

• Todos os backups da organização são armazenados na nuvem;

• São feitos backups das imagens dos servidores onde as aplicações são hospedadas;

• Não são feitos backups em mídias como HD’s e/ou fitas;

• Os colaboradores são orientados a não manter arquivos da empresa em suas estações de trabalho, devendo estes ser armazenados em diretórios que estão dentro das rotas de backups;

• O código fonte da aplicação é versionado, permitindo que a empresa tenha controle de cada uma das versões do produto.

14. Tempo de Retenção de Dados

Qual o período de retenção de dados na empresa?
- RESPOSTA: O tempo de retenção dos backups é de 30 (trinta) dias;
- Com relação aos dados armazenados no banco de dados da Plataforma, garantimos a disponibilidade integral enquanto o contrato estiver vigente. Após o término do contrato, após 30 (trinta) dias corridos os dados são apagados, definitivamente
- O mesmo critério do item anterior se aplica aos arquivos de conteúdos.
A solução oferece suporte a um período de retenção de dados personalizados para os dados do cliente?
- RESPOSTA: Não.Atualmente o período de retenção de dados está previamente estabelecido em contrato. Durante a vigência do contrato, garantimos a plena disponibilidade dos dados e arquivos do cliente armazenados na plataforma. Após o encerramento, os dados são mantidos por 30 dias e, transcorrido este período, são fisicamente removidos tanto do banco de dados quanto de nossos servidores de conteúdos.
Permite expurgo de dados históricos (transferir dados antigos para tabelas novas)? Formato de saída (ex.: arquivos, bases de dados externas etc.). Especificar quais são as formas de saída suportadas.
- RESPOSTA: Sim. Dados temporários, como importações de dados realizados através de planilhas, logs de erros são excluídos se armazenados em nosso banco a mais de seis meses. Dados de clientes que cancelaram o contrato conosco a mais de 30 dias também são automaticamente excluídos
Você tem processos ou métodos implementados para ajudar a Colgate a cumprir suas obrigações para lidar com solicitações de indivíduos relacionadas a seus dados pessoais, como acesso, exclusão, restrição, transferência e correção? Estes incluem o direito de ser esquecido e os direitos de acesso, exclusão, restrição, transferência e correção.
- RESPOSTA:
- Os dados dos usuários são cadastrados pelo administrador da plataforma através de importação de dados e/ou da tela de Gerenciamento de Usuários.
- Quaisquer dados dos usuários que precisem ser editados podem ser feitos pelo próprio administrador.
- O administrador tem autonomia para excluir os cadastros dos usuários se o títular dos dados solicitar.
- Também, é possível habilitar na plataforma a opção para que o próprio usuário final tenha autonomia para realizar a exclusão de sua conta na plataforma.
- O tempo retenção dos dados é garantido durante a vigência do contrato de prestação de serviços. Transcorridos 30 dias do término do contrato, os dados são definitivamente apagados da plataforma

15. Trilha de Auditoria

Descreva como funcionam as trilhas de auditoria na plataforma.
- RESPOSTA: A plataforma disponibiliza relatórios em Excel dos acessos (login) dos usuários na plataforma;
- Ações como criação/edição e exclusão de usuários, módulos, rodadas, atividades e ambientes, podem ser obtidas através de relatórios;
- Erros também na plataforma também são registrados na plataforma, permitido um diagnostico mais assertivos para correção de bugs. Estes, por conter informações técnicas do produto, não são disponibilizados via relatórios.

16. Controle de Ativos

Classificar as informações em termos de confidencialidade, disponibilidade e integridade. Utilizar formulário IC-Tool.

RESPOSTA: O controle segue a tabela abaixo:

Ativos	Confidencialidade	Integridade	Disponibilidade
Arquivos de Conteúdos dos Clientes (eletrônicos)	Confidencial	Altíssima	Crítica
Contratos	Uso Interno	Altíssima	Restrita
Prontuários de Funcionários	Uso Interno	Altíssima	Restrita
Código Fonte da Aplicação	Confidencial	Altíssima	Crítica
Banco de Dados da Aplicação	Confidencial	Altíssima	Crítica
Ambientes de Desenvolvimento	Uso Interno	Alta	Restrita
Servidores de Produção (Aplicação e Banco de Dados)	Confidencial	Altíssima	Crítica
Emails	Uso Interno	Alta	Restrita
Equipamentos (computadores, celulares, etc)	Uso Interno	Alta	Crítica

A sua empresa possui um banco de dados ou ferramenta de inventário atualizado sobre os ativos tecnológicos, sistemas operacionais e softwares instalados? Qual a frequência das atualizações?
- RESPOSTA: A empresa possui uma relação de todos os seus ativos - dispositivos, softwares e equipamentos;
- Esta atualização é realizada semestralmente e/ou quando um novo equipamento é adquirido ou tem um novo software instalado

17. Políticas de Privacidade e Termo de Uso

A empresa possui documento com as políticas de privacidade?
- RESPOSTA: Sim. está disponível no link https://www.engage.bz/privacidade/
A empresa possui documento com os termos de uso?
- RESPOSTA: Sim. está disponível no link https://www.engage.bz/termos-gerais/
A empresa possui medidas de prevenção, detecção e tratamento contra vazamento de informações? Descreva-as. Existe processo formal para comunicar (internamente e externamente) um incidente envolvendo dados pessoais?
- RESPOSTA: Os profissionais da Engage são instruídos a não divulgar dados sem autorização bem como compartilhar materiais confidenciais;
- Pentest automatizado é executado uma vez por ano na plataforma;
- Os acessos liberados na plataforma e aos serviços utilizados pela empresa são nominais, ou seja, não há a utilização de usuários genéricos.
- Testes de vulnerabilidades são realizados na plataforma
  O tráfego de dados da aplicação é feito sob protocolo SSL/TLS
- A respeito da comunicação, o processo não está formalmente documentado, mas o time de Tecnologia comunica todos os intergrantes da empresa e nosso time de CS faz a comunição formal desses incidentes aos nossos clientes.
Suporta a utilização de certificado digital para os serviços publicados?
- RESPOSTA: Sim, e apenas o certificado emitido pela AWS através do painel de controle da aplicação é suportado.
Os riscos associados à coleta, uso, divulgação e retenção de informações pessoais foram identificados e documentados?
- RESPOSTA: Os riscos de vazamento acarretam impactos negativos a imagem da organização bem como a confiabilidade da plataforma e nos serviços prestados pela empresa.
- A falta de conformidade com a legislação vigente pode colocar a operação da empresa em risco, podendo ter a autorização de coleta e tratamento de dados suspensa.
- Multas podem ser impostas em caso de manuseio não adequado dos dados dos usuários armazenados na plataforma.
A organização descreve as opções disponíveis (opt-in vs. opt-out) para o indivíduo em relação à coleta, uso e divulgação de informações pessoais?
- RESPOSTA: As informações pessoais do armazenadas na plataforma são apenas o Nome, Email (se houver) e um campo único para autenticação, endereço IP de login à plataforma, foto (se o admin configurar a plataforma) e cookies. Informações como departamento, turma, por exemplo, são fornecidos pela área de recursos humanos da empresa.
A organização identificou e documentou os vários canais de coletas de informações pessoas dos usuários?
- RESPOSTA: Na plataforma, os dados pessoas dos colaboradores são fornecidos pela área de RH do cliente. Os dados são carregados através de planilhas e/ou integrações através de APIs REST. Há, também, a possibilidade do usuário fazer seu auto cadastro, porém as informações coletadas e armazenadas plataforma, em ambos os casos, são o nome completo e um campo utilizado para autenticação (pode ser o e-mail, CPF ou uma matrícula, por exemplo)
A organização comunica que as informações pessoais são coletadas apenas para os fins identificados no aviso, aos respectivos indivíduos?
- RESPOSTA: Em nossas políticas de privacidade, disponível no link https://www.engage.bz/privacidade estão descrita quais dados coletamos e como estes dados são utilizados.
A organização possui procedimentos para garantir que as informações pessoais mantidas sejam precisas, completas, relevantes e atualizadas?
- RESPOSTA: Como os dados dos usuários são repassados para a Engage através da área contratante de nossos serviços dentro da empresa do cliente, fica sob responsabilidade do cliente manter os cadastros devidamente atualizados, seja de forma manual, através da área administrativa da plataforma, como por importações de planilhas e ou integrações via APIs.
A organização possui procedimentos para garantir que as informações pessoais sejam retidas apenas o tempo necessário para cumprir os objetivos declarados?
- RESPOSTA: Com relação aos dados armazenados no banco de dados da Plataforma, garantimos a disponibilidade integral enquanto o contrato estiver vigente. Após o término do contrato, após 30 (trinta) dias corridos os dados são apagados, definitivamente
- O mesmo critério do item anterior se aplica aos arquivos de conteúdos.
As informações pessoais estão sendo divulgadas a terceiros para processamento, armazenamento ou qualquer outro propósito?
- RESPOSTA: Não fazemos quaisquer divulgações de dados dos clientes e seus usuários a terceiros sem prévia autorização do cliente. Sobre o armazenamento utilizamos apenas a nuvem da AWS para hosting de arquivos e da aplicação, bem como o armazenamento de dados no RDS, também, da AWS.
A organização comunica suas políticas, práticas e requisitos de privacidade a terceiros aos quais as informações pessoais estão sendo divulgadas e garante que eles cumpram esses padrões?
- RESPOSTA: Sempre que houver necessidade de terceirização, comunicaremos nossas políticas de privacidade com o parceiro para assegurar a confidencialidade dos dados pessoais dos usuários e dos clientes.
A organização tem um Acordo de Não Divulgação por escrito com todos os terceiros de acordo com as políticas de privacidade?
- RESPOSTA: Sempre que um terceiro é contrato pela Engage, ele é submetido a assinatura de um termo de confidencialidade de dados, se comprometendo a não divulgar quaisquer informações pertinentes ao projeto, cliente ou a seus usuários sem prévia autorização.
Existem procedimentos corretivos para lidar com qualquer uso indevido, divulgação não autorizada, acesso, alteração, destruição ou perda causada por terceiros?
- RESPOSTA: Em caso de perda de dados, através de nossa política de backups e procedimentos operacionais para criação de novos produtos - não guardar arquivos em máquinas locais, comitar todas as alterações realizadas para o Github - mitigamos o risco de perda de informações. Vale ressaltar que terceiros não possuem acesso, sob nenhuma hipótose, ao ambiente de produção. Sobre divulgação, acesso ou edições não autorizados o terceiro fica sujeito a sanções previstas em contrato e, eventualmente, a penalidades previstas em lei.
A organização definiu, documentou e aprovou medidas de segurança para proteger os dados em repouso, em trânsito e em movimento?
- RESPOSTA: Criptografia em Repouco
  - O storage do banco de dados da plataforma é criptografado em repouso;
  - Além disso, apenas o Tech Lead e o CTO possuem ao ambiente de produção do produto.
- Criptografia em Trânsito:
  - Todo o tráfego de dados é realizado através do protocolo HTTPS TLS 1.2
A organização possui mecanismos para proteger as informações pessoais contra uso indevido, autorizado e divulgação?
- RESPOSTA: O acesso ao banco de dados da aplicação está protegido por um Firewall com restrição de IP;
- O acesso ao ambiente produtivo é restrito ao responsável técnico pelo produto;
- A aplicação só permite a consulta de dados mediante autenticação dos usuários com as devidas permissões de acesso e de seu respectivo ambiente, não permitindo a visualização de outros clientes;
- Qualquer movimentação de dados é realizada mediante autorização prévia do cliente;

18. Gerenciamento de Logs

A plataforma possui algum mecanismo de registros de logs?
- RESPOSTA:
  - A plataforma possui um sistema de gerenciamento de logs nativo.
  - Os logs da plataforma são armazenados no banco de dados
  - Não é possível excluí-los e/ou editá-los.
  - O acesso é restrito o time de TI do Engage, por padrão, mas pode ser disponibilizado para os administradores, através de relatórios.
  - As informações armazenadas nele são: Usuário, IP, data e horário de acesso, ambiente (se foi aplicação web ou app), e a geolocalização do usuário
Os registros de auditoria, que estão relacionados aos serviços prestados à Vivo, são protegidos contra acesso não autorizado, modificação e destruição acidental ou deliberada? E contém os campos abaixo? Por favor descreva como os logs de auditoria estão protegidos.
a) nome do host
b) identificador de ID
c) data e hora
d) atividade executada
e) endereço de rede de origem (IP e hostname)
- RESPOSTA: A plataforma possui um sistema de gerenciamento de logs nativo.
- Os logs da plataforma são armazenados no banco de dados
- Não é possível excluí-los e/ou editá-los.
- O acesso é restrito o time de TI do Engage, por padrão, mas pode ser disponibilizado para os administradores, através de relatórios.
- As informações armazenadas nele são: Usuário, IP, data e horário de acesso, ambiente (se foi aplicação web ou app), e a geolocalização do usuário
A organização possui disposições em vigor para monitorar todas as adições e exclusões de alterações em qualquer conta com privilégios raiz ou administrativos?
- RESPOSTA: Sim. A plataforma possui mecanismos de logs de registram as ações efetuadas pelos usuários.
Describe how operational monitoring of the Infrastructure, Platform, and application is performed.
- RESPOSTA: Os dashboards de monitoramento são efetuados pelo painel da própria AWS
- Também possuímos o software uptimerobot que emite alertas por e-mail e via push notification em caso de paradas de sistema
A empresa possui procedimento de monitoramento de eventos de segurança? Os logs estão ativos nos sistemas críticos da empresa? Descreva como são registrados, tratados, protegidos e correlacionados os eventos importantes de segurança (logs)? Inclusive da existência de restrição de acesso aos logs, de exclusão ou modificação.
- RESPOSTA:
  - A plataforma é escaneada semanalmente através da ferramenta Site Blindado;
  - Temos uma ferramenta WAF configurada em nosso ambiente na AWS;
  - Temos uma anti-DDoS cnfigurada em nosso ambiente;
  - Nossa infraestrutura possuem alarmes configurados de modo que o time de TI da engage seja avisada sempre em casos de eventos críticos;
  - Dados de acesso, falhas de acesso e erros são logados e esses dados são compilados de modo que revisões periódicas sejam feitas.
A empresa possui estrutura (processos, pessoas e tecnologias) para suportar o gerenciamento de incidentes de segurança? Descreva a estrutura e responsabilidades.
- Temos um processo de monitoramento semanal da plataforma;
- Temos alarmes configurados no servidores de modo a sermos avisados em casos de incidentes de segurança e/ou desempenho;
- Ferramentas de anti-virus e anti-malware estão instalados nas máquinas e servidores da empresa;
- O nosso Gerente de TI e Tech Lead ficam responsáveis pelo monitoramento bem como na resolução de eventuais incidentes de segurança.

19. Gestão de Incidentes de Segurança

A empresa possui medidas e processos de segurança para detectar, prevenir e mitigar ataques cibernéticos sofisticados e específicos? Ela monitora e revisa alertas de eventos de ameaça? Há restrição de acesso, de exclusão e de modificação dos logs?
- Monitoramento Constante: Implementação de monitoramento constante dos servidores através de ferramentas como o CloudWatch;
- Revisão Regular de Alertas: Revisão periódica e imediata de alertas de eventos de ameaça para identificação e resposta rápida a possíveis incidentes.
- Restrição de Acesso aos Logs: Aplicação de restrições rigorosas de acesso aos logs, garantindo que apenas pessoal autorizado possa visualizar, modificar ou excluir registros.
- Integridade dos Logs: Adoção de medidas para preservar a integridade dos logs, evitando modificações não autorizadas ou exclusões indevidas.
A empresa possui estrutura (processos, pessoas e tecnologias) para suportar o gerenciamento de incidentes de segurança? Descreva a estrutura e responsabilidades.
- Estrutura e Pessoas:
  - Suporte Técnico: Equipe responsável por esclarecimento de dúvidas do produto e técnicas, correções de bugs;
  - Infraestrutura: Área responsável pelo monitoramento, implementação de melhorias a nível de servidores, disponibilidade dos servidores que hospedam a plataforma na AWS;
  - Desenvolvimento de Sistema: Equipe responsável pela evolução da plataforma, implementação de melhores práticas de desenvolvimento seguro
- Processos
  - Escalonamento de chamados: O time de Suporte Técnico realiza um escalonamento dos chamados de acordo o grau de complexidade de cada solicitação e/ou incidente. Todas as solicitações ficam registradas em nosso sitema de chamados - que é o Freshdesk.
  - Gestão de crises: Em casos de incidentes de alta criticidade - como paradas de sistemas ou vazamento de dados, é acionada uma War Room para que toda a equipe fique mobilizada para resolver o incidente o mais rápido possível.
  - Monitoramento proativo da infraestrutura: O desempenho de servidores é constantemente feito por uma equipe dedicada, coletando métricas, validando o desempenho do ambiente e ajustando o que for necessário com base nas métricas coletadas.
A empresa possui processo de aplicação de correções emergenciais? Descreva o processo, a existência do registro e aprovação dos owners.
- Quando qualquer incidente é reportado pelo cliente, o time de desenvolvimento do produto é imediatamente acionado e o tempo de resposta é aquele acordado em contrato no SLA, seguindo a escala abaixo:
  
  Prioridade Urgente: Até 4 horas uteis
  Prioridade Alta: Até 8 horas uteis
  Prioridade Média: Até 12 horas uteis
  Prioridade Baixa: Até 16 horas uteis
Quais medidas pós-incidentes de segurança são tomadas pela organização? Comente se a empresa possui uma base de dados contendo lições aprendidas para melhoria contínua do processo, inclusive a existência de relatórios gerenciais com indicadores para os planos de ação.
- RESPOSTAS: Temos um sistema de incidentes onde todos os eventos críticos, bugs e/ou dúvidas de clientes internos e externos são registrados;
- Semanalmente esses dados são compilados e uma análise desses dados são feitas de modo a tomarmos as seguintes ações:
  - Tutoriais e procedimentos padrões são documentados;
  - Lições aprendidas referentes a situações do dia a dia;
- A depender do escopo da mudança, é criado um plano de ação com as tarefas, responsáveis e datas de execução das mesmas onde o Gerente de TI acompaha a execução destas ações.
A organização realiza captura e análise de comportamento anômalos? Descreva como são tratados.
- RESPOSTA: São realizadas análises de logs para monitorar eventos visando detectar atividades anômalas e/ou não autorizadas
- Análise de tráfego de rede: aA ideia é permitir o monitoramento do fluxo de dados a fim de detectar comportamentos anômalos, como tráfego excessivo ou padrões de acesso incomuns.
Quais os procedimentos/ métricas para medir o seu desempenho atual e garantir o cumprimento dos níveis de serviço acordados?
- RESPOSTA:
- Todos os chamados e demais reports abertos pelos clientes são armazenados na ferramenta Freshdesk (sistema de chamados)
- O acompanhamento das ocorrências bem como o tempo de resolução dos tickets abertos são mensurados dentro da própria plataforma
- Sempre que um cliente abre algum chamado, o time de Suporte Nível 1 recebe a solicitação e avalia, caso o N1 já consiga resolver, já retornam para o cliente.
- Caso N1 não consiga resolver, N2 assume e faz uma análise mais aprofundada do problema. Caso N2 consiga resolver, já retorna para o cliente.
- Caso N2 não consiga resolver, ficará sob responsabilidade do Analista de Nível 3 resolver e responder para o cliente.

Sua empresa consegue notificar a Vivo sobre um incidente de vazamento de informações dentro de uma hora após tomar conhecimento do incidente? Se não, a que período de tempo ela pode se comprometer?
- RESPOSTA: O período que conseguimos nos comprometer é de até 6 horas após a ocorrência do vazamento para comunicar todos os clientes sobre este incidente.
O banco de dados possui alguma política de segurança relacionada a prevenção de dados. Ex: Algum alerta gerado mediante a extração em massa de dados
- RESPOSTA: Sempre que alguma rotina faz com que o processamento no banco de dados ou na aplicação ultrapasse mais que 60% de CPU por 1 minuto, os servidores começam a emitir alertas para o time de T.I. da Engage.
Quais os mecanismos para identificar incidentes de segurança da informação:
RESPOSTA:
- Sobrecargas de processamento na plataforma, seja por alta utilização ou por ataques DDoS, os servidores de aplicação e banco de dados emitem alertas, que notificam a área de produto da Engage e o no celular do gestor da empresa.
- Durante o desenvolvimento são aplicadas técnicas de desenvolvimento seguro

20. Segurança de Recursos Humanos

A empresa possui processo de segurança incorporados na contratação de seus colaboradores? Descreva-o. Comente se a empresa realiza uma análise curricular do candidato e se na contratação, o colaborador efetua a assinatura do código de ética, termos de confidencialidade e integridade da informação. Descreva a existência de treinamentos de integração do colaborador focado para segurança da informação.
- RESPOSTA:
  - Sempre que um colaborador é contratado ele assina um termo de confidencialidade se comprometendo a não divulgar informações da empresa e/ou de clientes sem prévia autorização.
  - Priorizamos contratação de novos profissionais por indicação e que possuam bom histórico profissional e de boa conduta no ambiente de trabalho.
  - Em casos de mudança de departamento, os acessos são revistos concedendo permissões aos sistemas e ferramentas que serão utilizados em sua nova função e aqueles que já não serão mais necessários são cortados;
  - O acesso as sistemas são liberados ao profissional de acordo com a sua função, com a criação de uma senha pessoal e intransferível.
A empresa possui processos de segurança incorporados no desligamento de seus colaboradores? Descreva-os. Em casos de desligamento, há um checklist de conferência e devolução dos ativos (notebooks, celulares, mouse, teclado, tablet, etc)?
- RESPOSTA:
  - Sempre que um profissional é desligado seus acessos às estações de trabalho são imediatamente cortados
  - Seus usuários em sistemas utilizados pela empresa são imediatamente cortados
  - Equipamentos em posse do colaborador são imediatamente coletados do colaborador e a máquina formatada.
A organização possui procedimentos em vigor para confirmar que os usuários são autenticados usando IDS exclusivo (servidor, rede, aplicativo)
- RESPOSTA: Cada colaborador tem seu respectivo usuário e senha para acessar os ambientes da empresa, permitindo que seu acesso seja revogado em caso de desligamento.
A organização desenvolveu um programa para proteger o uso indevido de informações pessoais?
- RESPOSTA: Os profissionais da empresa são orientados a não compartilhar suas senhas com quaisquer pessoas dentro e, principalmente, fora da organização, uma vez que esta é uma informação pessoal a intransferível
- É expressamente proibida a divulgação de informações da empresa e/ou clientes sem autorização prévia.
- Os acessos aos ambientes e sistemas da empresa são segregados de acordo com a função de cada colaborador.
Forneça documentação sobre como você protegerá os dados de seus clientes de pessoas, como funcionários e contratados, que não têm a "necessidade de saber".
- RESPOSTA: Apesar de não termos documentação formal sobre este tópico, reforçamos que o acesso os dados de nossos clientes e seus usuários são restritos aos times que, de fato, precisam ter acesso a essa informação, seja por estarem envolvidos em projetos seja pelo time de TI do Produto. Os líderes da empresa sempre reforçam estes pontos com suas equipes, também, como uma forma de conscientizar os colaboradores da importância do sigilo de dados.
Foi atribuída a uma pessoa a responsabilidade geral pela segurança da informação? Em caso afirmativo, descreva as funções e responsabilidades dessa pessoa.
- Sim. Atualmente, o Gerente de Produto é a pessoa responsável por garantir adequação da plataforma e dos demais dados da empresa no que fiz respeito a segurança da informação.
- Suas principais responsabilidades são:
  - Confidencialidade dos dados;
  - Impedir vazamentos e/ou acessos não autorizados a recursos e dados da empresa e de seus clientes;
  - Rodar patches de segurança em servidores e nas máquinas locais;
  - Atualização de processos que criem nos colaboradores a conscientização da importância do sigilo sobre os dados e informações da empresa e seus clientes;
  - Garantir a disponibilidade da plataforma bem como a realização de backups;
  - Realização de avaliação de riscos juntos a fornecedores e novos colaboradores.

21. Gestão e Governança de Riscos Cibernéticos

A empresa possui um programa de Segurança da Informação? Se sim, descreva quais os principais objetivos relacionados ao programa e o framework utilizado (Cobit, COSO, IOSCO, ISO27001, NIST, ITIL, etc)?
- RESPOSTA: Apesar de não possuirmos nenhuma certificação como ISO ou SOC implementado, por exemplo, nossos processos internos seguem as boas práticas de segurança da informação do mercado e adequadas à LGPD
- Durante o desenvolvimento do produto são utilizadas boas práticas de código seguro.
- Todos os colaboradores, quando contratados, assinam um termo em que se comprometem com a confidencialidade das informações, tanto armazenadas nos sistemas internos como de clientes;
- Os acessos aos colaboradores são concedidos com base em sua função desempenhada dentro da organização
- Quando desligados da empresa todos os seus acessos são, imediatamente, suspensos.
- O acesso aos ambientes internos só podem ser acessados da organização e os servidores de desenvolvimento e produção são restritos e só podem ser acessados por pessoas previamente autorizadas e, também, de dentro da rede da Engage;
- Não é permitida a utilização de pen-drives e/ou HDs externas nos equipamentos da empresa sem autorização;
- O acesso as redes da empresa é autorizado apenas para equipamentos e dispositivos autorizados;
- Prezamos pelo cumprimento de todas as cláusulas contratuais firmadas com o cliente
A alta direção está alinhada e comprometida com o programa de Segurança da informação, permitindo o endereçamento das necessidades de coordenação das atividades de segurança, baseando-se nos riscos e/ou no suporte aos requerimentos legais e de conformidade?
- RESPOSTA: A Engage está adequada a legislação da LGPD
- Prezamos integralmente pelo cumprimento das cláusulas contratuais firmadas com o cliente.
- Quando contratados os colaboradores da Engage assinam um termo de confidencialidade, comprometendo-se a não divulgar dados confidenciais de clientes e / ou empresas sem prévia autorização;
- O uso de mídia removível não é permitido nas estações de trabalho Engage
- O acesso aos servidores de produção é restrito à equipe de TI
- Os funcionários são instruídos a não deixar arquivos internos ou do cliente do Engage em suas máquinas, ou seja, todos os dias precisam enviar suas alterações para diretórios que estão dentro das rotas de backup.
- O acesso às informações da Engage e de seus clientes só deve ser feito durante o horário de trabalho, segmentado por departamento
- Quando um funcionário sai da empresa, seus acessos são imediatamente cancelados
- A empresa prega dissemina de que as senhas são pessoais de uso restriro a atividades durante o trabalho.;
- As senhas de sistemas utilizados pela Engage são armazenadas no LastPass e o acesso é restrito à equipe de TI.
A organização possui mecanismo para fornecer treinamento em segurança da informação a todos os funcionários e contratados e mantém registro do mesmo para fins de auditoria?
- RESPOSTA: Apesar de não possuirmos treinamentos formais de segurança da informação, todos os nossos colaboradores assinam um termo de confidencialidade no momento da contratação, se comprometendo a não divulgar informações de clientes e/ou da empresa sem prévia autorização;
- Campanhas de conscientização sobre a importância do não vazamento de informações são feitas aos colaboradores;
- Priorizamos contratação de novos profissionais por indicação e que possuam bom histórico profissional e de boa conduta no ambiente de trabalho.
- Seus respectivos acessos acessos à sistemas, arquivos e infraestrutura da empresa são liberados aos colaboradores de acordo com seu perfil e função desempenhada na empresa.
- Os colaboradores são instruídos a não compartilhar suas senhas com quaisquer pessoas, dentro ou fora da organização.
A organização tem uma política w.r.t. à Segurança de Recursos Humanos (processos de integração / desativação e verificação de antecedentes)?
- RESPOSTA: Sempre que um colaborador é contratado ele assina um termo de confidencialidade se comprometendo a não divulgar informações da empresa e/ou de clientes sem prévia autorização.
- Priorizamos contratação de novos profissionais por indicação e que possuam bom histórico profissional e de boa conduta no ambiente de trabalho.
- O acesso as sistemas são liberados ao profissional de acordo com a sua função, com a criação de uma senha pessoal e intransferível.
- Quando um colaborador é desligado, seus acessos às estações de trabalho são imediatamente cortados
- Seus usuários em sistemas utilizados pela empresa são imediatamente cortados
- Equipamentos em posse do colaborador são imediatamente coletados do colaborador e a máquina formatada.
A organização tem uma política de controle lógico (documentada e aplicada) para criação, exclusão, segregação e gerenciamento de id de privilégio de acesso de usuário?
- RESPOSTA: O time de infraestrutura da organização possui documentação dos procedimentos para criação/edição de um usuário e atribuição de seus respectivos perfis de acesso de acordo com a função exercida na empresa.
A organização possui uma política de gerenciamento de senhas?
- RESPOSTA: Sim. As senhas devem:
  - Ter, no mínimo, 8 caracteres;
  - Devem ser mescladas entre letras maiúsculas, minúsculas e caracteres especiais;
  - Não é permitida que a senha seja identica às 10 últimas senhas utilizadas;
  - O usuário é obrigado a trocar a senha no primeiro acesso;
  - A senhas expiram, por padrão, a cada 90 dias;
A organização possui políticas e procedimentos para garantir a conformidade com as políticas, leis e requisitos regulamentares relacionados à manutenção da segurança, confidencialidade e proteção dos dados do cliente?
- RESPOSTA: A Engage está adequada às regras da LGPD
- Prezamos integralmente pelo cumprimento das cláusulas contratuais firmadas com o cliente.
- Quando contratados os colaboradores da Engage assinam um termo de confidencialidade, comprometendo-se a não divulgar dados confidenciais de clientes e / ou empresas sem prévia autorização;
- O uso de mídia removível não é permitido nas estações de trabalho Engage
- O acesso aos servidores de produção é restrito à equipe de TI
- Os funcionários são instruídos a não deixar arquivos internos ou do cliente do Engage em suas máquinas, ou seja, todos os dias precisam enviar suas alterações para diretórios que estão dentro das rotas de backup.
- O acesso às informações da Engage e de seus clientes só deve ser feito durante o horário de trabalho, segmentado por departamento
- Quando um funcionário sai da empresa, seus acessos são imediatamente cancelados
- A empresa prega dissemina de que as senhas são pessoais de uso restriro a atividades durante o trabalho.;
- As senhas de sistemas utilizados pela Engage são armazenadas no LastPass e o acesso é restrito à equipe de TI.
- Os processos de RH, adotados, durante a contratação, movimentação e desligamento de colaboradores, também, reforçam nosso compromisso com a segurança dos dados de nossos clientes.
A empresa possui processos de segurança para manter esses dados pessoais de forma íntegra, confiável e disponível? Se sim, informar quais.
- RESPOSTA: A infraestrutura da plataforma está protegida por WAF;
- O backup do banco de dados, contendo os dados pessoais dos colaboradores, é feito diariamente;
- O acesso aos servidores de produção é restrito ao Gerente e ao Coordenador do Produto;
- O uso de mídia removível não é permitido nas estações de trabalho Engage;
- As ações dos usuários, na plataforma, são logadas permitindo o rastreamento;
Os acordos de nível de serviço e / ou operação são estabelecidos e regularmente monitorados e revisados em relação às obrigações de desempenho?
- RESPOSTA: Todos os processos da Empresa são desenhados, monitorados e aprimorados visando garantir a disponibilidade tanto da plataforma quanto da operação, suporte e atendimento ao cliente.

22. Legislação

A empresa estabeleceu regras para suportar os mecanismos de proteção para os dados pessoais e sensíveis a serem monitorados, técnicas para detecção de dados em trânsito, bloqueio de transmissão, reporte de brechas de segurança, prevenção de acessos indevidos,
- RESPOSTA: Sim. As seguintes ações foram implementadas:
  - Criptografia de dados em respouso: O Storage do banco de dados da aplicação passa por criptografia em repouso;
  - Criptografia de dados em trânsito: Toda troca de dados ocorre sob o protocolo TLS 1.2 e 1.3 para garantir segurança dos dados transmitidos
  - Prevenção de Acessos Indevidos: Implementação de controles de acesso rigorosos, baseados em princípios de privilégio mínimo, para prevenir acessos não autorizados a dados pessoais e sensíveis.
  - Atualizações e Melhorias Constantes: Comprometimento com a revisão periódica dos mecanismos estabelecidos, visando incorporar as mais recentes práticas de segurança, tecnologias e ajustes necessários para se adaptar às evoluções do cenário de ameaças.
Para os tratamentos de dados pessoais, que envolvam a base legal do consentimento, existe um fluxo ou procedimento, onde o titular consiga realizar a gestão do seu consentimento (opt-in/opt-out)?
- RESPOSTA: Sim. A plataforma oferece uma área onde o administrador (que é o RH, normalmente) pode habilitar de modo que o usuário possa editar seus dados, se for aplicável. Caso contrário, o usuário terá que solicitar essas alterações diretamente ao RH para que essa mudança seja refletida na plataforma.
- Para os demais usuários a Engage oferece um canal lgpd@engage.bz para o cliente ou usuário possa esclarecer quaisquer dúvidas referentes aos seus dados pessoais.
A empresa fornece mecanismos de atendimento aos direitos dos titulares previstos na LGPD?
- RESPOSTA:
  1. Canal de Atendimento: Disponibilização de um canal específico (lgpd@engage.bz) para que os titulares possam entrar em contato com a empresa para exercer seus direitos.
  2. Política de Privacidade Transparente: Uma política de privacidade clara em nosso site para consulta dos usuários
  3. Processo de Verificação de Identidade: Estabelecimento de procedimentos para verificar a identidade dos titulares antes de processar suas solicitações, a fim de proteger contra acessos não autorizados às informações pessoais.
  4. Registro e Rastreamento de Solicitações: Implementação de um sistema para registrar e rastrear todas as solicitações dos titulares, garantindo que sejam tratadas de forma eficiente e em conformidade com os prazos legais.
  5. Treinamento de Funcionários: Treinamento anual dos funcionários responsáveis pelo atendimento aos direitos dos titulares para garantir que estejam cientes dos procedimentos corretos e das obrigações legais.
  6. Adequação de Processos Internos: Revisão e ajuste dos processos internos para garantir a conformidade com a LGPD em relação aos direitos dos titulares.
  7. Atualização Contínua: Comprometimento com a revisão e atualização contínua dos mecanismos em resposta a mudanças na legislação ou nas práticas recomendadas.

Em que condições terceiros, incluindo agências governamentais, podem ter acesso aos dados da Electrolux, incluindo, mas não se limitando a, dados de privacidade do consumidor?
- O contrato da Engage com a empresa é apenas para treinamento de su publico interno (colaboradores) e não tem qualquer relação com os consumidores e/ou seus clientes
A empresa executa ou executou plano de adequação à LGPD (Lei nº 13.709/2018)? Se sim, descreva brevemente as medidas do plano.
- RESPOSTA
  - Mapeamento de Dados:
    - Identificação e documentação dos tipos de dados pessoais coletados, processados e armazenados pela Engage.
  - Avaliação de Riscos e Impacto:
    - Realização de uma análise de riscos para identificar potenciais ameaças à segurança dos dados e avaliar o impacto de possíveis violações.
  - Políticas de Privacidade e Procedimentos:
    - Desenvolvimento e implementação de políticas de privacidade claras e transparentes, explicando como os dados pessoais são tratados pela empresa.
    - Estabelecimento de procedimentos internos para garantir a conformidade com as disposições da LGPD.
  - Treinamento e Conscientização:
    - Workshop de funcionários sobre as práticas de segurança da informação e a importância do tratamento adequado dos dados pessoais.
  - Registro de Consentimento:
    - Implementação de mecanismos para obter e registrar o consentimento dos titulares dos dados para o tratamento de suas informações pessoais, quando necessário.
  - Segurança da Informação
    - Reforço das medidas de segurança da informação para proteger os dados pessoais contra acessos não autorizados, vazamentos ou alterações não autorizadas.
  - Responsabilidade e Prestação de Contas
    - Designação de responsáveis pela proteção de dados e implementação de mecanismos para prestar contas quanto ao tratamento de dados pessoais.
  - Notificação de Incidentes
    - Estabelecimento de um procedimento para notificar as autoridades e os titulares dos dados em caso de incidentes de segurança que possam comprometer os dados pessoais.
Com que finalidade é realizado o tratamento dos dados?
- RESPOSTA: A finalidade do tratamento de dados - nome completo e o ID do usuário - é utilizado única e exclusivamente com a finalidade de fornecimento dos serviços da Engage contratados pelo cliente.
Nenhum dado de produção pode ser usado para teste. Os dados de teste serão cuidadosamente protegidos e controlados.
- RESPOSTA: Quando um backup do ambiente produtivo é utilizado em ambiente de homologação, estes dados são anonimizados antes para evitar vazamentos
Em quais localizações geográficas os dados do cliente serão armazenados?
- RESPOSTA: Os dados dos clientes são armazenados na Virginia, nos USA, estando sujeitas a legislação daquele país.
Como são feitos os backups de dados? Quais locais geográficos são armazenados? Quando foi realizada a última restauração?
- RESPOSTA: Os backups são realizados através de aplicações desenvolvidas internamente. Estes são armazenados em servidores localizados na Virgínia. A última restauração foi feito a cerca de 1 mês atrás.
Descreva como o titular pode corrigir os seus dados:
- RESPOSTA: A plataforma possui uma tela chamada "Minha Conta", onde o usuário pode editar alguns de seus dados, exceto, seu Nome e Login. Para casos assim, o administrador do sistema tem autonomia para mudá-los, seja por planilha de importações ou seja pela área administrativa.
Descreva como o titular pode ter acesso aos dados armazenados neste sistema
- RESPOSTA: Exceto dados que são exibidos diretamente na plataforma, como nome, e-mail e treinamentos realizados pelo aluno, dados como endereço IP de acesso e geolocalização do usuário, por exemplo, só podem ser acessados pelo usuário através de relatórios emitidos pela plataforma e enviado ao aluno pelo administrador.
Existe algum tipo de anonimização implementada?
- É possível que o administrador configure a plataforma para que os dados de treinamentos realizados pelo usuário INATIVO sejam preservados, porém seus dados confidenciais sejam completamente ofuscados da plataforma, não permitindo sua identificação.
Existe algum processo Pseudonimização com uso de função única?
- Atualmente não utilizamos nenhuma função de Pseudonimização. Entretanto, para usuários que foram desligados da organização e encontram-se inativos, a plataforma dá a opção do cliente anonimizar seus dados pessoas, de modo que o colaborador não tenha como ser identificado - mas mantendo, por exemplo, os dados de históricos de treinamentos realizados - ou, também, é possível fazer a exclusão física deste colaborador e de todos seu histórico, se o cliente assim desejar.
Informe quais dados pessoais da Fundação PTI-BR, seus sócios, parceiros, clientes e funcionários, são coletados pela empresa, sua finalidade e base legal.
- RESPOSTA: As informações pessoais do armazenadas na plataforma são apenas o Nome, Email (se houver) e um campo único para autenticação, endereço IP de login à plataforma, foto (se o admin configurar a plataforma) e cookies. Informações como departamento, Informações como departamento, turma, por exemplo, são fornecidos pelo RH do cliente.
  As bases legais são:
  - Consentimento
  - Legitimo interesse
Os dados coletados são transferidos a terceiros? Em caso positivo, indique quais e se são enviados a outro país.
- RESPOSTA: Os dados coletados são utilizados, exclusivamente, para a prestação dos serviços estabelecidos em contrato entre a Engage e o cliente. Como hoje utilizamos a nuvem da AWS, localizada na Virginia, USA, os dados são armazenados naquele pais, mas, ainda, sim sujeito aos controles da LGPD.
Quem tem acesso aos dados coletados?
- RESPOSTA: O acesso, no time de TI da Engage, é restrito ao Coordenador e ao Gerente de Produto. No time de Customer Success da Engage, a CSM que acompanha o projeto possui acesso bem como a Gerente do time de Onboarding. NA área do cliente, os administradores do sistema possuem acesso aos dados, através de relatórios.
Onde os dados são armazenados?
- Os dados são armazenados em Virginia, nos USA, no cloud da AWS, mas ainda sim, submetidos a legislação brasileira e a LGPD, principalmente.
Você tem um processo para notificar o cliente se receber uma consulta de um indivíduo ou regulador relacionada ao seu processamento de dados pessoais de seu cliente?
- Os usuários podem solicitar a qualquer momento através do endereço lgpd@engage.bz qualquer informação ou esclarecimentos a respeito do processamento de seus dados.
- Também temos em nossa política de privacidade estas informações de fácil acesso: https://engage.bz/politica-de-privacidade/
- Sobre consultas solicitadas por órgãos reguladores, contamos com nosso setor jurídico de modo a fornecer todos os relatórios necessários referentes a proteção de dados.
A empresa é capaz de atender à solicitação do exercício do direito dos titulares de dados em relação aos seus dados pessoais (Acesso aos dados, Retificação ou Atualização dos dados, Bloqueio ou Exclusão e uma Diretriz de Descarte de informações, Portabilidade dos Dados, Explicação, Oposição/Revogação de Consentimento)? Se sim, como?
Se aplicável, sua empresa faz a gestão do consentimento do titular?
- RESPOSTA: O Cliente ou o usuário podem entrar em contato através do endereço lgdp@engage.bz, solicitando essas informações a qualquer momento
- A Engage não coleta informações diretamente com o usuário final. A base legal para coleta dos dados dos usuários é o Legítimo Interesse do Controlador, ou seja, o cliente que cadastra os dados dos usuários na Engage visando treinar seus colaboradores, ficando ela como mera operadora de dados.
A empresa realiza o data mapping para os tratamentos de dados pessoais realizado? Se sim, é estipulada uma base legal para cada tratamento?
- RESPOSTA: Atualmente na plataforma é necessário apenas o nome completo e um identificador único para que o usuário consiga se autenticar na plataforma - sendo, preferencialmente, o e-mail corporativo deste usuário.

23. Terceirização

A Empresa possui procedimento de gestão de fornecedores incluindo seleção, avaliação / qualificação e monitoramento? Os fornecedores são reavaliados / reavaliados regularmente? Forneça uma descrição do processo.
- RESPOSTA: Antes de contratarmos fornecedores, fazemos benchmarking com outras empresas sobre o serviço que iremos contratar;
- Sempre buscamos pelo menos três propostas de possíveis fornecedores;
- Buscamos referencias sobre o histórico de idoneidade de todos eles;
- Verificamos se o fornecedor está adequado a legislação vigente do que diz respeito a LGPD e segurança de dados;
- No momento da assinatura do contrato, enviamos ao fornecedor um termo de confidencialidade onde ele se compromete a não divulgar informações e/ou dados da Engage e/ou de seus clientes sem prévia autorização.
Algum terceiro de TI possui acesso abrangente no sistema?
- RESPOSTA: Dataside - Soluções em Banco de Dados: Nosso parceiro que nos auxiliam, em projetos pontuais de tuning em nosso servidor de banco de dados e demais atividades relacionadas a sustentação de banco de dados.
  - Darede: Nos auxiliam em tarefas relacionadas a AWS.
    Ambos os fornecedores, quando acessam nosso ambiente, só o fazem mediante supervisão do departamento de TI da Engage.
  - Para que nossos parceiros tenham acesso ao ambiente da Engage, eles assinaram um contrato com uma cláusula de confidencialidade bem como o acesso dos profissionais é liberado ao respectivo colaborador (contas genéricas são proibidas) bem como as atividades se restringem a execução do trabalho previamente solicitado.

24. Envio de Emails

A ferramenta possui integração com serviço de SMTP?
- RESPOSTA: Sim. É possível enviar e-mails através da ferramenta. Para isso, utilizamos como mecanismo de envio de e-mails o Simple Email Service da AWS.

25. Treinamentos e Capacitação

A empresa possui programa de treinamento e qualificação dos funcionários?
- RESPOSTA: Atualmente a empresa são possui nenhum programa formal de capacitação. Entretanto, realizamos algumas iniciativas pontuais que chamados de Mentor por Um dia (M1D) onde, semanalmente, um colaborador se prontifica a falar sobre algum assunto referente ao dia a dia na Engage, bem como ao mercado que atuamos, visando difundir estes conhecimentos entre todos os colaboradores. Em algumas outras iniciativas os colaboradores se organizam e ministram workshops para os mais novatos.
O treinamento é documentado?
- RESPOSTA: Temos uma trilha no Engage onde
- os materiais utilizados pelos colaboradores durante o M1D são publicados e disponibilizados para consulta de todos na empresa.
Como a empresa qualifica tecnicamente seus colaboradores?
- RESPOSTA: Basicamente através dos desafios que são colocados para os colaboradores, dentro de suas atribuições do dia a dia.

26. Sistema de Qualidade

A empresa possui programa de treinamento e qualificação dos funcionários?
- RESPOSTA: Atualmente a empresa são possui nenhum programa formal de capacitação. Entretanto, realizamos algumas iniciativas pontuais que chamados de Mentor por Um dia (M1D) onde, semanalmente, um colaborador se prontifica a falar sobre algum assunto referente ao dia a dia na Engage, bem como ao mercado que atuamos, visando difundir estes conhecimentos entre todos os colaboradores. Em algumas outras iniciativas os colaboradores se organizam e ministram workshops para os mais novatos.

24. Gerenciamento de Mudanças (GMUD)de Qualidade

Sua empresa tem um processo documentado de gerenciamento de mudanças?
- RESPOSTA: Sempre que uma mudança vai ser realizada em algo existente no produto e/ou algo novo será desenvolvido, um documento de requisitos é redigido e validado com os clientes internos e/ou externos;
- Com o documento de requisitos aprovado, essa tarefa vira um card no Trello - nosso sistema de controle de tarefas
- Com as melhorias definidas e seus requisitos devidamente coletados, o Gerente de Inovação faz uma reunião de Planning com os membros do time onde se detalham as estórias bem como definem-se os responsáveis por cada terefa, esforço e prazo de entrega;
- Com a planning realizada, da-se inicio a etapa de desenvolvimento;
- Ao término do desenvolvimento o desenvolvedor envia essa melhoria para o time de Qualidade (QA) para que todos os testes sejam realizados;
- Se o time de QA identificou bugs e/ou melhorias durante os testes, ele reporta isso em um bug issue e manda para o desenvolvedor ajustar;
- O desenvolvedor corrige e os testes são refeitos pelo time de QA;
- Se os testes estão ok, é aberta é uma solicitação para que as mudanças subam para o ambiente de pré-produção para que fique disponível para validação dos clientes internos e/ou externos pelo prazo de 1 semana;
- Passado esse prazo, o Tech Lead recebe do time de QA uma solicitação para atualizar o ambiente de produção com as melhorias;
- Atualizado o ambiente de produção, o release notes é criado e divulgado para os clientes com as melhorias realizadas.