Este programa de segurança da informação (o “Programa de Segurança”) está relacionado a como a Smartcat protege as informações recebidas através do site, serviços e plataforma tecnológica da Smartcat localizada em https://www.smartcat.com/ (a “Plataforma Smartcat”). As informações que você fornece ao Smartcat são protegidas porque nosso sistema de segurança atende aos padrões e conformidade do setor. O Programa de Segurança aplica-se à segurança física e dos sistemas de TI da aplicação e infraestrutura Smartcat.
Os funcionários e prestadores de serviços dedicados da Smartcat fazem todos os esforços para garantir a segurança das informações, dos dispositivos eletrônicos e dos recursos de rede.
Para proteger as informações, a Smartcat adere às políticas padrão para empresas de TI, incluindo, mas não se limitando a “Política de Segurança da Informação”, “Plano de Resposta a Incidentes”, “Política de Criptografia” e “Política de Desenvolvimento Seguro”. A Smartcat revisa essas políticas pelo menos uma vez por ano.
A Smartcat usa data centers Tier IV nos EUA, UE e China, administrados pela AWS e Microsoft Azure, que são compatíveis com SOC-1, SOC-2 e SOC-3.
Smartcat passou por uma auditoria independente de terceiros e recebeu um certificado de segurança SOC 2 Tipo II.
A Smartcat usa um provedor de pagamento terceirizado compatível com PCI DSS Nível 1, que é o mais alto nível de certificação dentro do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento.
Ao acomodar seus dados na nuvem, você pode ter certeza de sua segurança. Os invasores não conseguiriam acessá-lo caso seu computador fosse roubado ou exposto a um vírus. Mesmo que o seu computador esteja quebrado, todos os seus dados estarão seguros e disponíveis para você.
Todos os funcionários da Smartcat e terceiros com acesso administrativo ou técnico privilegiado aos sistemas e redes de produção da Smartcat devem concluir o treinamento de conscientização de segurança no momento da contratação e anualmente a partir de então. Funcionários e contratados estão cientes das políticas e procedimentos relevantes de segurança da informação.
O plano de resposta a incidentes do Smartcat descreve os procedimentos internos a serem implementados no caso de acesso não autorizado possível ou real ao Smartcat ou aos dados do cliente. Seguindo os requisitos do SOC 2, o plano de resposta a incidentes é revisado e testado anualmente.
Em caso de ameaça à continuidade do negócio, a Smartcat pode recuperar dados com perdas mínimas de acordo com os seguintes indicadores:
Objetivo do ponto de restauração de não mais que 24 horas
Objetivo de tempo de restauração de não mais que 24 horas
O Smartcat armazena logs do sistema e do aplicativo, bem como atividades do usuário, que são mantidos por um período de até 1 ano.
A Smartcat realiza testes de penetração regulares que estão disponíveis aos clientes ou outras partes interessadas mediante solicitação e sujeitos a um acordo adicional de não divulgação com a Smartcat.
Para aprimorar os serviços e funções da Plataforma Smartcat, a Smartcat utiliza subcontratados terceirizados (parceiros e fornecedores), que assinaram um contrato de serviço com cláusulas de confidencialidade ou um acordo de não divulgação separado com a Smartcat.
As atividades de privacidade da Smartcat são baseadas nas leis aplicáveis onde a Plataforma Smartcat opera em todo o mundo, que regem a proteção de dados pessoais, incluindo, mas não se limitando ao GDPR. A privacidade dos seus dados é garantida pelos Termos de Serviço do Smartcat ( https://www.smartcat.com/terms/ ) e pela Política de Privacidade do Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Um número limitado de funcionários e prestadores de serviços da Smartcat que têm acesso a dados e informações pessoais são minuciosamente verificados pela nossa equipe de segurança e só podem usar seus dados pessoais como parte de seu trabalho. Além disso, o acesso é limitado por procedimentos de autorização e infraestruturas, o que significa que os funcionários com direitos insuficientes não podem aceder aos dados pessoais.
Os funcionários e contratados da Smartcat devem ter um ID, nome de usuário e senha válidos para acessar as redes corporativas. Além disso, VPN e autenticação multifator são necessárias para acessar sistemas comerciais críticos.
Todas as contas do sistema são isoladas, portanto os usuários de uma conta não podem acessar as informações de outra. Isto significa que todos os recursos linguísticos estão disponíveis apenas para você e para os usuários que você autoriza.
Para clientes corporativos, podemos configurar a capacidade de gerenciar usuários por meio do provedor de Single Sign-On (SSO) da empresa. Atualmente, o Smartcat oferece suporte a três sistemas principais de autenticação: ADFS, Azure AD e Okta. Para obter detalhes, consulte este artigo .
Medidas de segurança física para escritórios, instalações, registros em papel e sistemas de TI corporativos da Smartcat são aplicadas para proteger contra roubo, uso indevido, ameaças ambientais, acesso não autorizado e outras ameaças à confidencialidade, integridade e disponibilidade de dados e sistemas classificados. As medidas de controle físico são as seguintes:
2 postos de controle;
Acesso ao crachá;
CFTV;
Segurança 24x7.
No caso de uma grande interrupção que afete a disponibilidade e/ou segurança do escritório da Smartcat, a equipe e a administração determinarão e aplicarão ações mitigadoras.
As medidas de segurança para proteger os backups são aplicadas de acordo com a confidencialidade ou sensibilidade dos dados. Cópias de backup de informações, software e imagens do sistema são feitas regularmente para proteção contra perda de dados.
Os backups em nossos servidores e data centers são configurados para serem executados diariamente nos sistemas dentro do escopo. Os agendamentos de backup são mantidos no software aplicativo de backup.
Um teste de recuperação de desastres, incluindo um teste dos processos de restauração de backup, é realizado anualmente.
A continuidade da segurança da informação é garantida juntamente com a continuidade operacional.
Para garantir o uso adequado e eficaz da criptografia para proteger a confidencialidade, autenticidade e/ou integridade das informações, a Smartcat utiliza chaves criptográficas, ou seja, assinatura digital, criptografia e hash.
As informações são criptografadas da seguinte forma:
A Plataforma utiliza um protocolo HTTPS/TLS para proteger os dados em trânsito entre o computador do Utilizador e os servidores Smartcat;
Para o certificado web, o Smartcat usa um tipo de chave de assinatura digital, algoritmo DSA ou RSA PCKS#1, comprimento de chave de 2.048 bits;
Para a cifra da web, o Smartcat usa tipo de chave de criptografia, algoritmo AES, comprimento de chave de 256 bits;
Para confidencialidade, o Smartcat usa tipo de chave de criptografia, algoritmo AES, comprimento de chave de 256 bits;
Todas as senhas são armazenadas em formato hash e salgado (Bcrypt, PBKDF2 ou scrypt, tipo de chave ECDH; comprimento de chave de pelo menos 256 bits) e vários serviços externos autorizados são suportados via OAuth 2.0. Todas as senhas nos arquivos de configuração de produção são criptografadas e os certificados necessários para descriptografar as configurações são instalados nas máquinas de produção pelos administradores, que não podem ser acessados por engenheiros de nível inferior.
Smartcat controla mudanças na organização, processos de negócios, instalações de processamento de informações e sistemas que afetam a segurança da informação no ambiente de produção e nos sistemas financeiros. Todas as alterações significativas nos sistemas dentro do escopo são documentadas.
Os processos de gerenciamento de mudanças incluem:
Processos para planejamento e teste de mudanças, incluindo medidas de remediação.
Aprovação e autorização gerencial documentada antes de prosseguir com alterações que possam ter um impacto significativo na segurança da informação, nas operações ou na plataforma de produção.
Aviso prévio de alterações, incluindo cronogramas e uma descrição dos efeitos razoavelmente previstos.
Documentação de todas as alterações emergenciais e revisões subsequentes.
Um processo para corrigir alterações malsucedidas.
Para garantir que a segurança da informação seja projetada e implementada dentro do ciclo de vida de desenvolvimento de aplicativos e sistemas de informação, a Smartcat implementa continuamente procedimentos de controle de alterações de sistema, controles de versão de software, revisões técnicas de aplicativos após fazer alterações na plataforma, restrições a alterações em pacotes de software, engenharia de sistema segura princípios, ambientes de desenvolvimento seguros, desenvolvimento terceirizado, testes de segurança de sistemas, testes de aceitação de sistemas e proteção de dados de teste.