Confidencialidade - O pessoal da Appointlet deve assinar um contrato de confidencialidade e deve acusar o recebimento e o cumprimento das políticas internas da Appointlet.
Treinamento de educação e conscientização sobre segurança - O pessoal do Appointlet deve participar do treinamento de segurança e privacidade no momento da contratação e, posteriormente, anualmente.
Segurança Organizacional
Controles de Acesso - O Appointlet implementa o provisionamento de acesso com base no princípio do menor privilégio e controles de remoção de acesso prontamente na rescisão. Esses controles são revisados em toda a empresa duas vezes por ano.
Autenticação multifator (MFA) - Appointlet emprega autenticação multifator para acesso em nosso ambiente de produção e sistemas internos contendo Dados do Cliente.
senhas - Appointlet requer e impõe requisitos de complexidade de senha onde as senhas são empregadas para autenticação (por exemplo, login em estações de trabalho). Esses requisitos incluem restrições à reutilização de senha e força de senha suficiente.
Segurança da Informação -O pessoal da Appointlet deve reconhecer e cumprir as políticas e padrões de segurança da informação da Appointlet. O descumprimento está sujeito a ação disciplinar, que pode incluir a rescisão do contrato de trabalho.
Monitoramento e resposta a incidentes - O Appointlet mantém recursos de detecção de incidentes e um programa documentado de resposta a incidentes. No caso de um incidente, Appointlet tomará prontamente as medidas razoáveis para minimizar danos e proteger os Dados do Cliente.
Hospedagem e práticas de dados
Criptografia padrão da indústria - Os dados em trânsito são criptografados usando TLS 1.2+ e os dados em repouso são criptografados usando AES-256. O Appointlet faz o hash das senhas do usuário com PBKDF2 antes de armazená-las em um banco de dados criptografado.
Retenção e exclusão - O Appointlet mantém os dados de backup por até 7 dias após qualquer dado ter sido excluído por um usuário final. Após esse período, os dados são excluídos permanentemente.
Armazenamento -O Appointlet armazena dados em um ambiente multilocatário hospedado em servidores AWS e isola logicamente os dados do cliente.
Centros de dados - O Appointlet hospeda dados na Amazon Web Services (AWS), que mantém certificações e relatórios de conformidade de classe mundial reconhecidos internacionalmente. A AWS mantém práticas de segurança líderes do setor, oferece proteção ambiental e física de última geração para os serviços e a infraestrutura que compõem o ambiente operacional do Appointlet.
backups - O Appointlet realiza backups periódicos do banco de dados. Os backups são retidos por 7 dias durante o curso normal das operações.
réplica - O Appointlet também replica bancos de dados e backups de banco de dados em zonas de disponibilidade alternativas. Realizamos backups regulares e testes de restauração.
Redundância - A infraestrutura do Appointlet foi projetada para eliminar pontos únicos de falha e minimizar o impacto dos riscos ambientais previstos. Este design permite que o Appointlet execute a manutenção e melhorias da infraestrutura com o mínimo de impacto nos sistemas de produção.
Proteção de rede
firewalls - O Appointlet configura firewalls de acordo com as práticas recomendadas do setor e portas e protocolos desnecessários são bloqueados pela configuração de grupos de segurança da AWS e NACL (listas de controle de acesso à rede). As configurações são monitoradas regularmente usando ferramentas automatizadas de gerenciamento de postura de segurança em nuvem.
Monitoramento, registro e alerta - O Appointlet registra os logs do aplicativo para monitorar qualquer atividade suspeita. Isso é feito usando uma ferramenta SIEM (Security Incident and Event Management). Todos os alertas são avaliados pela equipe de segurança do Appointlet e um incidente de segurança é gerado após a introspecção do log.
Subprocessadores
Confidencialidade - O Appointlet toma as medidas adequadas para garantir que nossa postura de segurança seja mantida, estabelecendo acordos que exigem que os subprocessadores e as organizações de serviço cumpram os compromissos de confidencialidade.
Certificações e relatórios de segurança
Teste de Penetração - A Appointlet se envolve com empresas terceirizadas independentes para conduzir testes de penetração em nível de aplicativo e rede pelo menos uma vez por ano. Os resultados desses testes são compartilhados com a alta administração, avaliados, priorizados e corrigidos em tempo hábil.
Programa de divulgação de segurança independente – Appointlet executa um programa de divulgação de segurança para auditores de segurança independentes, projetado para permitir que profissionais de segurança divulguem problemas de segurança por meio de canais apropriados para que possamos resolvê-los prontamente. Mais informações podem ser encontradas aqui.