Segurança na Factorial

Factorial HR pode ser tanto Controlador como Processador de dados pessoais no âmbito do RGPD. Por exemplo, a Factorial será o Controlador de dados pessoais quando um Cliente formaliza um contrato diretamente connosco para o tratamento dos respetivos dados do Cliente.

No entanto, geralmente e devido à natureza do nosso negócio, a Factorial não tem qualquer relação direta com os titulares dos dados e apenas processa os dados pessoais dos Utilizadores Finais em nome dos seus Clientes, e de acordo com as suas instruções. Deste modo, se for um colaborador que utiliza a nossa plataforma, agimos apenas como um processador de dados relativamente ao tratamento dos seus dados. Os nossos Clientes decidem os propósitos sob os quais utilizam a nossa Plataforma, bem como os meios para recolher dados a partir do grande número de funcionalidades da nossa plataforma. 

No caso dos utilizadores que navegam no nosso website, a Factorial será um Processador dos dados recolhidos no mesmo, tais como cookies ou quaisquer dados que sejam interessantes para desfrutar do nosso conteúdo. 

Pode encontrar o DPA da Factorial aqui, este poderá ser preenchido e assinado online.

Factorial HR nomeou um Encarregado da Proteção de Dados. Os respetivos detalhes de contacto são:

Pridatect, S.L. Carrer de Tarragona 161, 3.º andar, 08014, Barcelona, Espanha. legal@pridatect.com

Na eventualidade da Factorial detetar uma falha de segurança, esta iniciará um procedimento de análise de falha de segurança que permitirá saber:

- A natureza da falha de segurança - As categorias de dados pessoais afetadas - O número aproximado de partes interessadas afetadas - O número aproximado de registos de dados pessoais afetados; e - Consequências da falha

Paralelamente à investigação, a Factorial irá tomar as ações imediatas de contenção e de correção consideradas apropriadas, e irá proteger o registo do incidente para que exista uma rastreabilidade dos incidentes que ocorreram na organização.

Assim que a análise esteja terminada, a Factorial irá determinar se deve notificar a Autoridade de Proteção de Dados, avaliando se a violação de dados pessoais pode comportar um risco para os direitos e liberdades dos sujeitos de dados afetados pela falha. 

Do mesmo modo, a Factorial irá determinar se será necessário notificar os sujeitos de dados sobre o incidente.

Em todo o caso, a Factorial irá notificar o cliente sobre a falha de segurança num período inferior a 48 horas. A referida comunicação irá incluir:

- Medidas de mitigação de risco adotadas - Melhorias técnicas - Alterações na gestão de incidentes - Atualização de procedimentos

Por favor, envie um e-mail para security@factorial.co

Sugestão de informação a fornecer (onde aplicável):

- Descrição do incidente:

- Nome da empresa e nome de utilizador afetado:

- Tipo de dados afetados:

- Âmbito do incidente detetado: 

- Nível de perturbação dos direitos dos sujeitos de dados:

A Factorial está certificada pela ISO/IEC 27001:2017 e renovou sua certificação em março de 2023. Esta é a norma de segurança de informação com o nível global mais elevado atualmente disponível e fornece garantias aos clientes de que cumprimos rigorosas normas internacionais relativamente à segurança.

Pode transferir o nosso certificado ISO 27001 aqui.

A Factorial possui um relatório SOC2 Tipo I em agosto de 2022 e estamos trabalhando para obter um relatório SOC2 Tipo II em 2023, bem como renovar nosso relatório Tipo I.

Os detalhes e relatórios relacionados à certificação podem ser compartilhados mediante solicitação formal e após a assinatura de um NDA pelo solicitante.

Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.

Todos os dados de nossos clientes são armazenados em servidores da Amazon Web Services (AWS) em Frankfurt, Alemanha, um conjunto de serviços web na nuvem que garantem a máxima segurança. Empresas como Netflix ou Airbnb confiam na AWS para gerenciar os dados de milhões de usuários.

O data center da Amazon Web Services é protegido por três camadas físicas de segurança. Da mesma forma, as instalações são protegidas contra impactos e só são acessíveis por meio de cartão pessoal e pin intransferível.

Você pode ler mais sobre suas práticas de segurança aqui: AWS

A nossa arquitetura de segurança de rede consiste em múltiplas zonas de segurança. Monitorizamos e protegemos a nossa rede para garantir que não ocorrem acessos sem autorização utilizando:

- Nuvem Privada Virtual (VPC)

- Uma barreira de segurança que monitoriza e controla todo o tráfego de rede de entrada e de saída

- Encriptação em trânsito: todos os dados enviados para e da nossa infraestrutura são encriptados em trânsito através das melhores práticas de segurança da indústria, com recurso à encriptação TLS (Transport Layer Security). Pode ver o nosso relatório da Encriptação em trânsito em SSL LABS.

- Criptografia em repouso: contamos com o AWS Key Management Service (AWS KMS) para gerenciar nossas chaves criptográficas. Por padrão, o algoritmo de criptografia "SYMMETRIC_DEFAULT" é selecionado, que atualmente significa AES-256-GCM, um algoritmo simétrico baseado no Advanced Encryption Standard (AES). Essas chaves são usadas para criptografar/descriptografar nossos buckets do S3, bancos de dados, gerenciador de segredos, lambda, redshift e lightsail.

Nós retemos seus dados por um período de 1 ano após você fechar sua conta. Após esse período, todos os dados são completamente removidos dos servidores. Uma vez excluídos, os dados só poderão ser recuperados 30 dias depois.

- Utilizamos tecnologias para monitorizar exceções, registos e detetar anomalias nas nossas aplicações.

- Recolhemos e armazenamos registos para fornecer uma trilha de auditoria para a nossa aplicação e atividade. Dependendo do plano escolhido por nossos clientes, os administradores podem acompanhar todas as ações e usos dos cadastros dos funcionários na plataforma e ganhar maior visibilidade. Mais informações sobre os logs de auditoria podem ser encontradas aqui.

Desenvolvemos as seguintes melhores práticas e estruturas de segurança (OWASP Top 10, SANS Top 25) para garantir o mais alto nível de segurança em nosso software:

- Revisamos periodicamente nosso código em busca de vulnerabilidades de segurança

- Atualizamos regularmente nossas dependências e garantimos que nenhuma delas tenha vulnerabilidades conhecidas

- Usamos o Static Application Security Testing (SAST) para detectar vulnerabilidades de segurança em nossa base de código e aplicar padrões de código.

- Verificamos regularmente os incidentes de segurança - relatados por caçadores de recompensas de bugs ou provedores de pentest - e os corrigimos avidamente. Nosso último pentest foi feito por Cobalthttps://cobalt.io/ O teste de vulnerabilidade interna é realizado continuamente, bem como o teste de penetração contínuo via HackerOne. (https://hackerone.com/factorial).

- Mantemos segredos longe do código

- Mantemos as imagens do sistema operacional e do Docker atualizadas e executamos os serviços com uma função sem privilégios

- Garantimos separação de ambientes e segregação de funções durante o processo de desenvolvimento. Os desenvolvedores não têm a capacidade de migrar alterações para ambientes de produção.

- Protegemos os nossos utilizadores contra intrusões nos sistemas através da monitorização e bloqueio de ataques de força bruta.

- Fornecemos Início de Sessão Único (Single Sign-On - SSO) utilizando o Google, Microsoft e Linkedin.

- Oferecemos controlo de acesso baseado em funções para todas as nossas contas e permitimos que os nossos utilizadores definam as permissões.

- Utilizamos o AWS Cognito que suporta Autenticação Multi-Fator (MFA).

- Utilizamos as ferramentas de segurança do GitHub para receber alertas na eventualidade de existirem vulnerabilidades. A equipa de segurança aplica correções de segurança de forma rotineira.

- Realizamos revisões trimestrais de direitos de acesso sobre nossos aplicativos críticos, incluindo etapas como revisão de autorizações, contas genéricas e garantia de remoção do acesso de funcionários demitidos.

O tratamento de todas as instruções de pagamento é subcontratado com segurança ao Stripe que é certificado como um fornecedor de serviço PCI Level 1. Não recolhemos qualquer informação de pagamento e, como tal, não estamos sujeitos a obrigações PCI.

- Usamos um gerenciamento de contas centralizado - Contamos com um sistema de gerenciamento de senhas - Usamos contas nominais com 2FA aplicado - Trocamos senhas a cada 90 dias - Integramos / desvinculamos novos funcionários usando uma lista de verificação que leva em consideração as melhores práticas de segurança.

- Garantimos que os privilégios de acesso cumpram o princípio do menor privilégio.

- Garantimos o controle de acesso aos escritórios para garantir que apenas os funcionários tenham acesso a ele - Lembramos rotineiramente os funcionários de bloquear seus computadores

- Estabelecemos procedimentos em termos de uso de dispositivos móveis e mídias removíveis

Garantimos que todos os nossos funcionários recebam treinamentos específicos em proteção de dados e segurança da informação. Além disso, são realizados treinamentos e workshops de segurança voltados para práticas seguras de desenvolvimento de software.

Realizamos verificações de antecedentes em potenciais novas contratações.

A Factorial envidará todos os esforços para estar disponível com uma Percentual de Uptime Mensal de pelo menos 99,95%. Sujeito às Exclusões de SLA, se não cumprirmos o Compromisso de Serviço, o cliente será elegível para receber um Crédito de Serviço. Isso significa que garantimos que você não terá mais de 21,56 min/mês de Indisponibilidade.

Mantemos uma fonte publicamente disponível para nosso tempo de atividade em https://status.factorialhr.comhttps://status.factorialhr.com. Por favor, sinta-se à vontade para se inscrever para receber atualizações de incidentes.

A Factorial faz backup dos dados diariamente e retém os backups por 30 dias. A alta disponibilidade é garantida com o RDS Multi-AZ. Como para haver perda de dados, ambas as zonas de disponibilidade precisariam ter um incidente ao mesmo tempo, isso diminui a possibilidade de perda de dados. Nosso objetivo de tempo de recuperação (RTO) é de 15 minutos e nosso objetivo de ponto de recuperação (RPO) é de 1 dia.

Os planos relacionados de continuidade de negócios e recuperação de desastres são formalmente documentados com base nos requisitos de estrutura ISO27001 e SOC2.

Os Créditos de Serviço são calculados como uma porcentagem do total de encargos devidos em sua fatura Fatorial para o ciclo de cobrança mensal em que ocorreu a Indisponibilidade.

Para Percentual de Tempo de Atividade Mensal inferior a 99,95%, você terá direito a um Crédito de Serviço de 5% das cobranças do período atual.

Aplicaremos quaisquer Créditos de Serviço apenas contra pagamentos futuros pelos Serviços devidos a você.

Para receber um Crédito de Serviço, você deve enviar uma reclamação enviando um e-mail para support@factorial.co com as datas e horários de cada incidente de Indisponibilidade que você está reclamando.

Se a Porcentagem de Tempo de Atividade Mensal de tal solicitação for confirmada por nós e for menor que o Compromisso de Serviço, emitiremos o Crédito de Serviço para você dentro de um ciclo de cobrança após o mês em que sua solicitação for confirmada por nós. Sua falha em fornecer a solicitação e outras informações conforme exigido acima o desqualificará para receber um Crédito de Serviço.

O Compromisso de Serviço não se aplica a qualquer Indisponibilidade: - Causados ​​por fatores fora do nosso controle razoável, incluindo qualquer evento de força maior, acesso à internet ou problemas além do ponto de demarcação da Factorial. - Isso resulta de quaisquer ações ou omissões de você ou de terceiros. - Isso resulta do equipamento, software ou outra tecnologia sua ou de terceiros (exceto equipamentos de terceiros sob nosso controle direto). - Que resulta de qualquer Manutenção. Se a disponibilidade for afetada por outros fatores além daqueles usados ​​em nosso cálculo de Percentual de Tempo de Atividade Mensal, poderemos emitir um Crédito de Serviço considerando tais fatores a nosso critério.

Aqui pode encontrar a nossa política de privacidade atualizada.

Aqui pode encontrar os termos de utilização da Factorial.

Ao enunciar, mas não se limitando, serão entendidas como Informações Confidenciais as informações referentes aos dados do cliente, sua existência, sua estrutura, planos de promoção e vendas, códigos-fonte e objeto de programas de computador, sistemas, técnicas, invenções, processos, patentes, marcas registradas, desenhos registrados, direitos autorais, know-how, nomes comerciais, dados técnicos e não técnicos, desenhos, esboços, dados financeiros, planos relativos a novos produtos, dados relativos a clientes ou possíveis clientes, bem como qualquer outra informação utilizada no âmbito comercial da Factorial e do Cliente.

A obrigação de confidencialidade persistirá mesmo após a resolução, por qualquer motivo, da relação contratual entre as partes sem gerar qualquer tipo de compensação.

O descumprimento da obrigação de confidencialidade assumida neste contrato ou a devolução das Informações Confidenciais acima estabelecidas, dará direito a qualquer das Partes de pleitear o valor integral dos danos que tal descumprimento teria gerado.