Segurança na Qualtir

Certificações e Conformidade

Todos os dados transmitidos entre seu navegador e nossos servidores são criptografados usando TLS 1.2 ou superior. Os dados em repouso são criptografados com AES-256.

• Em trânsito: criptografia TLS 1.2+ para todos os dados entre clientes e servidores
• Em repouso: criptografia AES-256 para todos os dados armazenados
• Gerenciamento de chaves: chaves de criptografia gerenciadas pelo Google Cloud Key Management Service
• Criptografia de banco de dados: todos os bancos de dados são criptografados no nível de armazenamento

Seguimos o princípio do mínimo privilégio. O acesso aos dados dos clientes é estritamente controlado.

• Controle de acesso baseado em função (RBAC) em todos os sistemas internos
• Autenticação multifator (MFA) exigida para todas as contas de funcionários
• Os logs de acesso são mantidos e revisados regularmente
• O acesso privilegiado é limitado no tempo e sujeito a aprovação adicional
• O acesso do funcionário é revogado imediatamente após a partida

Toda a nossa infraestrutura é hospedada no Google Cloud Platform (GCP). Os data centers do GCP são fisicamente seguros.

• Dados hospedados em data centers do GCP nas regiões EU e EUA
• Firewalls em nível de rede e proteção contra DDoS
• Verificação automatizada de vulnerabilidades de infraestrutura
• Redes VPC privadas isolando ambientes de produção
• Testes de penetração regulares por empresas de segurança terceirizadas

Monitoramos continuamente nossos sistemas em busca de atividades incomuns e ameaças de segurança.

• Monitoramento automatizado 24/7 com alertas em tempo real
• Integração de Gerenciamento de Informações e Eventos de Segurança (SIEM)
• Auditorias de segurança anuais de terceiros e testes de penetração
• Auditorias internas regulares contra controles ISO 27001
• Logs de auditoria abrangentes retidos por no mínimo 12 meses

Temos um plano de resposta a incidentes documentado que é testado e atualizado regularmente.

• Caminhos de escalonamento definidos e equipe de resposta de plantão
• Contenção alvo dentro de 1 hora do incidente confirmado
• Notificação ao cliente dentro de 72 horas de uma violação confirmada (conforme exigido pelo GDPR)
• Revisão pós-incidente e remediação para prevenir recorrência

Retemos seus dados apenas pelo tempo necessário para fornecer nossos serviços.

• Os dados da conta são excluídos dentro de 90 dias após o fechamento da conta
• Os backups são retidos por 30 dias e depois destruídos permanentemente
• Procedimentos de exclusão segura aplicados a todas as mídias de armazenamento
• As solicitações de exclusão de dados são processadas dentro de 30 dias

Nossas extensões do Google Workspace são projetadas com uma abordagem de permissões mínimas.

• Conformidade com a Política de Dados do Usuário dos Serviços de API do Google
• Sem armazenamento persistente de conteúdo do Google Doc, Sheet ou Drive em nossos servidores
• OAuth 2.0 usado para toda autorização de conta do Google
• Os usuários podem revogar o acesso a qualquer momento nas configurações da conta do Google
• As extensões passam pelo processo de revisão de segurança do Google antes da publicação

8. Divulgação responsável

Agradecemos a divulgação responsável de vulnerabilidades de segurança. Se você descobrir um possível problema de segurança, entre em contato conosco em contact@qualtir.com. Comprometemo-nos a confirmar seu relatório dentro de 48 horas.

Perguntas sobre segurança

Se tiver dúvidas ou preocupações sobre como protegemos seus dados, estamos felizes em ajudar.