Segurança da Informação

Nossa Política de Segurança da Informação descreve as diretrizes aplicadas aos processos da empresa, sendo o principal normativo para apoiar nossos colaboradores.

De maneira a manter nossas diretrizes alinhadas com as necessidades de negócio, a nossa Política de Segurança da Informação é atualizada, no mínimo, anualmente.

Entre diversos pontos abordados na Política, destacamos a Classificação da Informação, Gestão de Riscos e Trabalho Remoto.

O Sistema de Gestão de Segurança da Informação foi estruturado com objetivo de manter a nossa Plataforma de Experiência do Cliente e os processos que a sustentam em conformidade com os mais altos padrões de segurança da informação. Desta maneira, somos certificados ISO 27001 desde 2022.

Nos baseamos nas melhores práticas internacionais de segurança da informação para disponibilizar produtos seguros aos nossos clientes. A proteção se estende desde a concepção até a sustentação diária de nossos produtos.

Os controles de segurança são aplicados com base nos 3 pilares da Segurança da Informação:

• Confidencialidade: Certificar que as informações sejam acessadas apenas por pessoas devidamente autorizadas.
• Integridade: Assegurar que as informações sejam íntegras e que não tenham sido alteradas de forma indevida.
• Disponibilidade: Garantir que as informações sejam acessíveis sempre que necessário.

Abaixo, listamos as principais práticas que aderimos internamente:

• Nossa infraestrutura e aplicações passam por análises de vulnerabilidades recorrentes, contando também com atividades voltadas às correções necessárias conforme o nível de criticidade da vulnerabilidade identificada;
• Anualmente, nossos produtos passam por um teste de penetração executada por consultorias independentes;
• Realizamos análises nos códigos e bibliotecas a fim de identificar e corrigir possíveis vulnerabilidade durante o ciclo de desenvolvimento de software;
• Negócios e segurança andam juntos, assim, aplicamos Security & Privacy by Design;
• Nossa infraestrutura está atrás de tecnologias que fornecem proteção para o perímetro, tais como firewall, WAF, anti-DDoS e IPS.

Monitoramos nosso ambiente e agimos de forma rápida em cenários de possíveis incidentes.

Também possuímos um procedimento formal que possibilita que qualquer colaborador ao identificar um cenário de incidente possa informar o time responsável pelo tratamento.

O processo de gestão de incidentes envolve desde a detecção e contenção do incidente, até a geração do relatório e lições aprendidas, aplicando as devidas correções para que não ocorra a sua reincidência.

Possuímos planos para que nossos produtos permaneçam disponíveis e que sejam facilmente recuperados em caso de um cenário de desastre. Além disso, nossos ambientes são arquitetados de maneira redundante, eliminando pontos únicos de falhas (SPoF).

Nosso comprometimento com a disponibilidade dos produtos está descrito em nosso Termo de Uso. Clique aqui para acessá-lo.

Consideramos metodologias como “least privilege” e “need to know” durante todo o ciclo de vida dos acessos na Zenvia. A premissa para disponibilizar um acesso é garantir que quem está solicitando realmente tenha uma necessidade de negócio válida, tendo em vista a confidencialidade e integridade dos dados envolvidos.

Após concedido, também contamos com controles para validar a identidade de quem está realizando o acesso e se ainda é válida a necessidade do mesmo. Para isso, utilizamos:

• Multi fator de autenticação (MFA) aplicado para os acessos internos, garantindo mais do que somente o fator “Algo que você sabe”;
• Revisões de acesso são realizadas periodicamente, revogando qualquer acesso que não seja mais necessário;
• Realizamos uma gestão de acesso centralizada, ou seja, em casos de fim de relacionamento com um usuário, o acesso é revogado imediatamente.

Consideramos que disponibilizar um equipamento funcional e com os devidos controles de segurança implementados aos nossos colaboradores, auxilia na proteção das informações que podem ser acessadas. Desta forma, apenas equipamentos corporativos e em compliance devem ser utilizados para realizar as rotinas de negócio.

Abaixo, listamos alguns dos controles que são implementados nos dispositivos:

• Antivírus para manter os dispositivos monitorados e protegidos contra ameaças.
• Criptografia do disco de maneira a proteger as informações que possam ser armazenadas nos dispositivos.
• Através do DLP (Data Loss Prevention) conseguimos monitorar e evitar possíveis compartilhamentos irregulares de informação.
• Mesmo em colaboradores que estão remotos, monitoramos a navegação web, através do controle de navegação (CASB) restringindo o acesso a sites indevidos.

Além de tudo, todos os colaboradores da Zenvia são orientados sobre as melhores práticas para o trabalho remoto, seguindo nossas políticas.

A fim de minimizarmos os riscos que possam ser gerados por um fornecedor, realizamos avaliações críticas no momento da contratação e periodicamente nos fornecedores que venham a ter acesso ao nosso ambiente. Desta forma, procuramos sempre parceiros que possam se assemelhar às práticas de segurança adotadas por nós.

O tema Segurança da Informação e Privacidade de Dados é um dever de todos os colaboradores e, por isso, realizamos constantes treinamentos e ações voltadas ao assunto. Também disponibilizamos treinamentos específicos de desenvolvimento seguro para os times que possuem esta responsabilidade.

Desta forma, todas as áreas trabalham em conjunto para proteger as informações de nossos clientes.

Nos preocupamos com a privacidade de nossos clientes. Todo o processamento de dados pessoais é realizado em conformidade com as regulamentações aplicáveis. Leia nossa Política de Privacidade.