Política de Segurança

O Shared Contacts for Gmail® trata de informação de contacto, que muitas vezes contém dados pessoais, cuja manipulação está severamente regulamentada.

Estamos a levar a segurança de dados muito a sério e, como Parceiro Premium do Google, somos obrigados a cumprir inúmeras regras de segurança. Além disso, os nossos clientes incluem instituições financeiras, hospitais e empresas da Fortune 500 que requerem que forneçamos processos de segurança de topo de gama.

A abordagem geral para a segurança segue a metodologia EBIOS (o principal método utilizado em França)

A abordagem para impedir o acesso não autorizado aos dados dos nossos clientes baseia-se nos seguintes princípios:

Fontes de risco

3 principais fontes de risco são tratadas:

  • Indivíduos internos: Empregados e empreiteiros
  • Indivíduos externos: Fornecedores, concorrentes, terceiros autorizados…
  • Fontes não-humanas: Vírus, Catástrofes Naturais, Materiais Inflamáveis.

Bens

Hardware

Os dados são alojados exclusivamente em servidores seguros, fornecidos pela Google Cloud(Google Compute Platform Infrastructure) e os dados nunca transitam noutros tipos de hardware (USB, CDs, telemóveis, computadores locais, etc.).

Bases de dados

As bases de dados que hospedam os dados dos nossos clientes são protegidas por segurança e palavra-passe dentro da rede. Apenas os gestores/líderes de equipa têm dados completos em directo. Os programadores trabalham em dados de encenação e não têm a possibilidade de aceder a dados em directo.

As senhas das bases de dados e gateways são protegidas num ficheiro de encriptação difícil que é armazenado num servidor separado e que é utilizado uma vez por servidor ao vivo em cada implementação.


Aplicações informáticas

Estamos a utilizar um número mínimo de ferramentas de terceiros (Mongo DB, Zabbix, etc.) e cada instalação de um novo software tem de ser submetida a uma rigorosa autorização de segurança, incluindo trojans ou spywares. À semelhança da Base de Dados, apenas os utilizadores que necessitam de aceder a estes softwares têm credenciais e autorização para os utilizar.

Rede

A nossa rede é exclusivamente baseada na arquitectura Google. Temos um funcionário designado a tempo inteiro para a gestão da segurança e permissões de acesso.
O acesso à infra-estrutura (por exemplo, FTP) está protegido por 4 níveis de restrições :

  • Conta Google (apenas os IDs de e-mail aprovados do Google podem aceder à plataforma GCP)
  • Autenticação em 2 passos da conta Google : Os utilizadores que entram na infra-estrutura GCP têm de confirmar a sua identidade através de autenticação por SMS.
  • Endereços IP : Apenas um conjunto de endereços IP na lista de whiltltlist. O trabalho dos utilizadores domésticos tem de comunicar o seu endereço IP todos os dias.
  • Um sistema adicional de autenticação interna em 2 passos, usando o Algoritmo de Palavra-passe única baseada no Tempo (TOTP; especificado no RFC 6238) e o Algoritmo de Palavra-passe única baseada no HMAC (HOTP; especificado no RFC 4226), para autenticação de utilizadores.
  • Estão também em vigor medidas para evitar injecções de DDos ou SQL.
  • Os nossos empregados são também treinados para evitar phishing ou vírus “baseados na nuvem” (que lhes solicitaria que se registassem na sua conta Google para abrir um ficheiro, por exemplo)

Pessoas

  • Todos os empregados e empreiteiros são rastreados antes de serem contratados. Assinam um NDA e são regularmente lembrados das medidas de segurança e privacidade e dos riscos e sanções relacionados com a violação de dados.
  • O número de utilizadores que acedem aos dados dos clientes é estritamente limitado ao pessoal de segurança e gestão.
  • As equipas de desenvolvimento e apoio podem fazer-se passar por utilizadores e aceder aos seus contactos apenas para fins de resolução de problemas e apoio.
  • Toda a actividade em servidores e plataformas é registada e monitorizada. Qualquer actividade anormal será imediatamente detectada (por exemplo, um empregado a fazer-se passar por vários utilizadores do mesmo domínio num curto período de tempo sem razão óbvia) e terá de justificar tal actividade.