Segurança na Factorial
Proteção de dados
Acordo de Tratamento de Dados (DPA) da Factorial
Factorial HR pode ser tanto Controlador como Processador de dados pessoais no âmbito do RGPD. Por exemplo, a Factorial será o Controlador de dados pessoais quando um Cliente formaliza um contrato diretamente connosco para o tratamento dos respetivos dados do Cliente.No entanto, geralmente e devido à natureza do nosso negócio, a Factorial não tem qualquer relação direta com os titulares dos dados e apenas processa os dados pessoais dos Utilizadores Finais em nome dos seus Clientes, e de acordo com as suas instruções. Deste modo, se for um colaborador que utiliza a nossa plataforma, agimos apenas como um processador de dados relativamente ao tratamento dos seus dados. Os nossos Clientes decidem os propósitos sob os quais utilizam a nossa Plataforma, bem como os meios para recolher dados a partir do grande número de funcionalidades da nossa plataforma. No caso dos utilizadores que navegam no nosso website, a Factorial será um Processador dos dados recolhidos no mesmo, tais como cookies ou quaisquer dados que sejam interessantes para desfrutar do nosso conteúdo. Pode encontrar o DPA da Factorial aqui, este poderá ser preenchido e assinado online.
Encarregado da Proteção de Dados (DPO)
Factorial HR nomeou um Encarregado da Proteção de Dados. Os respetivos detalhes de contacto são:Pridatect, S.L.
Carrer de Tarragona 161, 3.º andar, 08014, Barcelona, Espanha.
legal@pridatect.com
Política de violação de dados na Factorial
Na eventualidade da Factorial detetar uma falha de segurança, esta iniciará um procedimento de análise de falha de segurança que permitirá saber:
- A natureza da falha de segurança
- As categorias de dados pessoais afetadas
- O número aproximado de partes interessadas afetadas
- O número aproximado de registos de dados pessoais afetados; e
- Consequências da falha
Paralelamente à investigação, a Factorial irá tomar as ações imediatas de contenção e de correção consideradas apropriadas, e irá proteger o registo do incidente para que exista uma rastreabilidade dos incidentes que ocorreram na organização.
Assim que a análise esteja terminada, a Factorial irá determinar se deve notificar a Autoridade de Proteção de Dados, avaliando se a violação de dados pessoais pode comportar um risco para os direitos e liberdades dos sujeitos de dados afetados pela falha.
Do mesmo modo, a Factorial irá determinar se será necessário notificar os sujeitos de dados sobre o incidente.
Em todo o caso, a Factorial irá notificar o cliente sobre a falha de segurança num período inferior a 48 horas. A referida comunicação irá incluir:
- Medidas de mitigação de risco adotadas
- Melhorias técnicas
- Alterações na gestão de incidentes
- Atualização de procedimentos
Como reporto um incidente de segurança à Factorial?
Por favor, envie um e-mail para security@factorial.coSugestão de informação a fornecer (onde aplicável):- Descrição do incidente:- Nome da empresa e nome de utilizador afetado:- Tipo de dados afetados:- Âmbito do incidente detetado: - Nível de perturbação dos direitos dos sujeitos de dados:
Certificações
ISO/IEC 27001:2017
A Factorial está certificada pela ISO/IEC 27001:2017. Esta é a norma de segurança de informação com o nível global mais elevado atualmente disponível e fornece garantias aos clientes de que cumprimos rigorosas normas internacionais relativamente à segurança.Pode transferir o nosso certificado ISO 27001 aqui.
SOC 2 tipo I
A Factorial já iniciou o processo de obtenção do certificado SOC II tipo I e espera ter a certificação completa no verão de 2022.
Segurança do produto
Infraestrutura na nuvem
Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.
Todos os dados de nossos clientes são armazenados em servidores da Amazon Web Services (AWS) em Frankfurt, Alemanha, um conjunto de serviços web na nuvem que garantem a máxima segurança. Empresas como Netflix ou Airbnb confiam na AWS para gerenciar os dados de milhões de usuários.
O data center da Amazon Web Services é protegido por três camadas físicas de segurança. Da mesma forma, as instalações são protegidas contra impactos e só são acessíveis por meio de cartão pessoal e pin intransferível.
Você pode ler mais sobre suas práticas de segurança aqui: AWS
Monitorização e proteção de segurança ao nível da rede
A nossa arquitetura de segurança de rede consiste em múltiplas zonas de segurança. Monitorizamos e protegemos a nossa rede para garantir que não ocorrem acessos sem autorização utilizando:- Nuvem Privada Virtual (VPC)- Uma barreira de segurança que monitoriza e controla todo o tráfego de rede de entrada e de saída
Encriptação de dados
- Encriptação em trânsito: todos os dados enviados para e da nossa infraestrutura são encriptados em trânsito através das melhores práticas de segurança da indústria, com recurso à encriptação TLS (Transport Layer Security). Pode ver o nosso relatório da Encriptação em trânsito em SSL LABS.- Criptografia em repouso: contamos com o AWS Key Management Service (AWS KMS) para gerenciar nossas chaves criptográficas. Por padrão, o algoritmo de criptografia "SYMMETRIC_DEFAULT" é selecionado, que atualmente significa AES-256-GCM, um algoritmo simétrico baseado no Advanced Encryption Standard (AES). Essas chaves são usadas para criptografar/descriptografar nossos buckets do S3, bancos de dados, gerenciador de segredos, lambda, redshift e lightsail.
Retenção e eliminação de dados
Nós retemos seus dados por um período de 1 ano após você fechar sua conta. Após esse período, todos os dados são completamente removidos dos servidores. Uma vez excluídos, os dados só poderão ser recuperados 30 dias depois.
Monitorização da segurança da aplicação
- Utilizamos tecnologias para monitorizar exceções, registos e detetar anomalias nas nossas aplicações.- Recolhemos e armazenamos registos para fornecer uma trilha de auditoria para a nossa aplicação e atividade.
Desenvolvimento seguro
Desenvolvemos as seguintes melhores práticas e estruturas de segurança (OWASP Top 10, SANS Top 25) para garantir o mais alto nível de segurança em nosso software:- Revisamos periodicamente nosso código em busca de vulnerabilidades de segurança- Atualizamos regularmente nossas dependências e garantimos que nenhuma delas tenha vulnerabilidades conhecidas- Usamos o Static Application Security Testing (SAST) para detectar vulnerabilidades de segurança em nossa base de código e aplicar padrões de código.- Verificamos regularmente os incidentes de segurança - relatados por caçadores de recompensas de bugs ou provedores de pentest - e os corrigimos avidamente. Nosso último pentest foi feito por Cobalthttps://cobalt.io/- Mantemos segredos longe do código- Mantemos as imagens do sistema operacional e do Docker atualizadas e executamos os serviços com uma função sem privilégios
Proteção do utilizador
- Protegemos os nossos utilizadores contra intrusões nos sistemas através da monitorização e bloqueio de ataques de força bruta.- Fornecemos Início de Sessão Único (Single Sign-On - SSO) utilizando o Google, Microsoft e Linkedin.- Oferecemos controlo de acesso baseado em funções para todas as nossas contas e permitimos que os nossos utilizadores definam as permissões.- Utilizamos o AWS Cognito que suporta Autenticação Multi-Fator (MFA).- Utilizamos as ferramentas de segurança do GitHub para receber alertas na eventualidade de existirem vulnerabilidades. A equipa de segurança aplica correções de segurança de forma rotineira.
Informação de pagamento
O tratamento de todas as instruções de pagamento é subcontratado com segurança ao Stripe que é certificado como um fornecedor de serviço PCI Level 1. Não recolhemos qualquer informação de pagamento e, como tal, não estamos sujeitos a obrigações PCI.
Segurança Interna
Segurança da conta
- Usamos um gerenciamento de contas centralizado
- Contamos com um sistema de gerenciamento de senhas
- Usamos contas nominais com 2FA aplicado
- Trocamos senhas a cada 90 dias
- Integramos / desvinculamos novos funcionários usando uma lista de verificação que leva em consideração as melhores práticas de segurança.
Segurança física
- Garantimos o controle de acesso aos escritórios para garantir que apenas os funcionários tenham acesso a ele
- Lembramos rotineiramente os funcionários de bloquear seus computadores
Treinamentos
Garantimos que todos os nossos funcionários recebam treinamentos específicos em proteção de dados e segurança da informação.
Verificação de antecedentes
Realizamos verificações de antecedentes em potenciais novas contratações.
Acordo de nível de serviço
Disponibilidade
A Factorial envidará todos os esforços para estar disponível com uma Percentual de Uptime Mensal de pelo menos 99,95%. Sujeito às Exclusões de SLA, se não cumprirmos o Compromisso de Serviço, o cliente será elegível para receber um Crédito de Serviço. Isso significa que garantimos que você não terá mais de 21,56 min/mês de Indisponibilidade.
Mantemos uma fonte publicamente disponível para nosso tempo de atividade em https://status.factorialhr.comhttps://status.factorialhr.com. Por favor, sinta-se à vontade para se inscrever para receber atualizações de incidentes.
RTO and RPO
A Factorial faz backup de todos os dados diariamente e retém os backups de 30 dias. Portanto, nosso RPO é de 1 dia. Vale a pena notar que temos alta disponibilidade com RDS Multi-AZ. Isso significa que, para haver perda de dados, precisaríamos que ambas as zonas de disponibilidade tivessem um incidente ao mesmo tempo (um cenário extremamente improvável). Se isso acontecer, é muito fácil para nós recuperar um backup. Nosso RTO é de 15 minutos.
Créditos de serviço
Os Créditos de Serviço são calculados como uma porcentagem do total de encargos devidos em sua fatura Fatorial para o ciclo de cobrança mensal em que ocorreu a Indisponibilidade.
Para Percentual de Tempo de Atividade Mensal inferior a 99,95%, você terá direito a um Crédito de Serviço de 5% das cobranças do período atual.
Aplicaremos quaisquer Créditos de Serviço apenas contra pagamentos futuros pelos Serviços devidos a você.
Solicitação de Crédito e Procedimentos de Pagamento
Para receber um Crédito de Serviço, você deve enviar uma reclamação enviando um e-mail para support@factorial.co com as datas e horários de cada incidente de Indisponibilidade que você está reclamando.
Se a Porcentagem de Tempo de Atividade Mensal de tal solicitação for confirmada por nós e for menor que o Compromisso de Serviço, emitiremos o Crédito de Serviço para você dentro de um ciclo de cobrança após o mês em que sua solicitação for confirmada por nós. Sua falha em fornecer a solicitação e outras informações conforme exigido acima o desqualificará para receber um Crédito de Serviço.
Exclusões de SLA
O Compromisso de Serviço não se aplica a qualquer Indisponibilidade:
- Causados por fatores fora do nosso controle razoável, incluindo qualquer evento de força maior, acesso à internet ou problemas além do ponto de demarcação da Factorial.
- Isso resulta de quaisquer ações ou omissões de você ou de terceiros.
- Isso resulta do equipamento, software ou outra tecnologia sua ou de terceiros (exceto equipamentos de terceiros sob nosso controle direto).
- Que resulta de qualquer Manutenção.
Se a disponibilidade for afetada por outros fatores além daqueles usados em nosso cálculo de Percentual de Tempo de Atividade Mensal, poderemos emitir um Crédito de Serviço considerando tais fatores a nosso critério.
Confidencialidade
O que a Factorial considera Informações Confidenciais?
Ao enunciar, mas não se limitando, serão entendidas como Informações Confidenciais as informações referentes aos dados do cliente, sua existência, sua estrutura, planos de promoção e vendas, códigos-fonte e objeto de programas de computador, sistemas, técnicas, invenções, processos, patentes, marcas registradas, desenhos registrados, direitos autorais, know-how, nomes comerciais, dados técnicos e não técnicos, desenhos, esboços, dados financeiros, planos relativos a novos produtos, dados relativos a clientes ou possíveis clientes, bem como qualquer outra informação utilizada no âmbito comercial da Factorial e do Cliente.
Quanto tempo durará o dever de confidencialidade?
A obrigação de confidencialidade persistirá mesmo após a resolução, por qualquer motivo, da relação contratual entre as partes sem gerar qualquer tipo de compensação.
O que aconteceria se o dever de confidencialidade fosse violado?
O descumprimento da obrigação de confidencialidade assumida neste contrato ou a devolução das Informações Confidenciais acima estabelecidas, dará direito a qualquer das Partes de pleitear o valor integral dos danos que tal descumprimento teria gerado.
Certificados e protocolos de segurança
Todos os dados dos nossos clientes são armazenados nos servidores de Amazon Web Services (AWS) em Alemanha, um conjunto de serviços web na cloud que garante a sua segurança máxima. Empresas como Netflix ou Airbnb confiam na AWS para gerir os dados de milhões de utilizadores.O centro de dados de Amazon Web Services é defendida por 3 barreiras físicas de segurança. Da mesma forma, as instalações estão protegidas contra impactos e são apenas acessíveis mediante um cartão pessoal e pin intransferíveis.
Você tem alguma dúvida ou feedback?
Sinta-se à vontade para entrar em contato em gdpr@factorial.com