FAQ – Segurança da Informação / Governança de TI Corporativa

A Senior possui área de segurança da informação, times de Red e Blue Team.

Possuímos a certificação ISO27001.

Possuímos uma política de segurança da informação, atualizada anualmente. Existe uma cópia reduzida disponível em nosso site para consulta pelos nossos clientes/prospects.

Utilizamos como base a norma ISO27001 e os frameworks CIS/NIST.

Implementar as melhores práticas de segurança da informação, tendo por finalidade atribuir responsabilidades, definir direitos, deveres expectativas de acesso e uso, penalidades e promover uma cultura educativa organizacional de segurança da informação e privacidade das informações na Senior, em nossos clientes, fornecedores e parceiros.

Sim, foi desenvolvida uma política de segurança para fornecedores, no qual os nossos fornecedores devem se adequar as condições da mesma para a prestações de serviços na Senior.

Sim. Possuímos um código de ética e conduta amplamente divulgado internamente para todos os nossos colaboradores.

A Senior possui uma política de classificação da informação implementada e amplamente divulgada internamente.

A Senior possui política de resposta a incidentes implementada.

Havendo necessidades de comunicação, dependendo do tipo do incidente, o nosso plano de resposta a incidentes engloba essa possibilidade.

A Senior tem uma política de acesso físico. Todos os colaboradores precisam estar com o crachá para acessar o ambiente da empresa.

Sim, possuímos uma política de gestão de acessos, como direitos mínimos para a execução das atividades diárias. Todos os usuários precisam obrigatoriamente estar dentro de um grupo de acesso para que não sejam configurados acessos específicos individuais.

Sim. Toda a concessão de acesso é realizada por meio de privilégio mínimo necessário para a execução das tarefas do colaborador. Havendo a necessidade de acessos específicos, os mesmos somente são concedidos após verificação e aprovação do gestor direto.

Sim. Todos os colaboradores tem usuários nominados para acesso a sistemas e recursos da empresa. Esse é um dos princípios da gestão de acesso da Senior.

A utilização de duplo fator de autenticação (MFA) é obrigatório para todos os colaboradores.

Todos os acessos para os sistemas da Senior precisam ser documentados e aprovados pelo Gestor do colaborador.

Toda a aprovação de acesso privilegiado, precisa ser justificado e aprovado pelo Gestor do colaborador.

Todos os colaboradores da Senior possuem direitos de acesso registrados e revisados regularmente.

Os principais requisitos para a politica de senhas são:

• Tamanho mínimo – 8 caracteres;

• Complexidade: é obrigatória a combinação de Letras Maiusculas, Minusculas, Numeros e caracteres especiais;

• Renovação e reutilização de senhas: As senhas obrigatoriamente são trocadas a cada 90 dias e a senha anterior somente poderá ser utilizada daqui a 10 senhas.

Todas as senhas obrigatoriamente precisam ser alteradas após o login inicial.

Não é possível utilizar as últimas 10 senhas criadas.

Possuímos uma política de gestão de riscos implementada.

A Senior possui planos de continuidade de negócios para cada ambiente que disponibiliza para os seus clientes.

Sim. A Senior possui uma politica de cookies implementada em nossos sites da internet.

Sim. A Senior possui uma politica de utilização de internet para seus colaboradores.

Sim, todos os nossos sistemas são configurados para utilizar protocolos de comunicação seguras.

Sim, todos os equipamentos são adquiridos pela Senior. Não existe a possibilidade de utilizar equipamentos pessoais em nosso ambiente computacional.

Existe controle de desconexão automática após 10 minutos de inatividade pela estação de trabalho.

Todos os nossos sistemas internos provém de registros de auditoria.

Não, nenhum usuário possui direitos de administrador local das estações de trabalho, as exceções são documentadas e precisam ser aprovadas internamente pelo Gestor para serem configuradas.

Não. Todos os computadores utilizados pela Senior são adquiridos pela empresa e todo o acesso necessita obrigatoriamente ser executado com duplo fator de autenticação (MFA).

Sim. Executa periodicamente o scan de vulnerabilidades em todos os seus ambientes. No momento que uma vulnerabilidade é conhecida, a mesma é priorizada internamente para que seja resolvida o mais rápido possível.

Sim, temos um processo de pentest em todo o nosso ambiente e as vulnerabilidades encontradas, são priorizadas internamente para que sejam resolvidas o mais rápido possível.

Possuímos funcionalidades para registros de auditoria tanto em gestão de acesso, quanto na gestão de usuários.

Não existe a possibilidade de compartilhamento de contas, devido a configuração de todas as contas obrigatoriamente serem realizadas por meio de MFA (Duplo fator de Autenticação) que é único para cada colaborador Senior.

Todas as redes internas da Senior são segmentadas.

Temos implementado em todo o nosso parque computacional sistemas de proteção de software.

Todas as atualizações liberadas pelos fornecedores/fabricantes dos sistemas são implementadas em nosso ambiente computacional, visando a aderência total de sistemas e segurança da informação na Senior.

Possuímos módulos instalados de IDS / IPS em nosso ambiente computacional.

Todos os acessos a sistemas de informação de fora dos escritórios da Senior obrigatoriamente precisam ser realizados por uso de VPN e MFA para conexão.

São permitidos acessos wireless em todos os nossos escritórios.

Sim, as redes de visitantes são segregadas e não tem acesso a nenhuma informação da rede corporativa da Senior. Para a utilização é necessário que o responsável pela visita aprove o acesso do visitante.

Temos firewall em todos os ambientes da Senior.

Sim. Todos os dados da Senior são criptografados.

São realizados testes periódicos de intrusão, realizados por empresas independentes.