Para manter a segurança e a privacidade dos dados que armazenamos, a (e suas empresas afiliadas, doravante “”) implementou e mantém um conjunto de controles (como políticas, práticas, procedimentos e mecanismos) que minimizam vulnerabilidades diante de ameaças de observação, divulgação, uso, modificação, perigo ou destruição não autorizados ou planejados. Estabelecer e respeitar esses controles garante que possamos tratar e mitigar riscos de segurança e privacidade de maneira adequada.
Os controles técnicos e organizacionais da estão alinhados aos padrões do setor e a necessidades de negócios para atingir níveis apropriados de privacidade e segurança. A lista de controles abaixo descreve a linha de base mínima das práticas padrão de proteção de dados da .
- Gerenciamento de políticas e documentos – A mantém, atualiza anualmente (no mínimo) e testa uma Política de Segurança de Informações, um Plano de Continuidade de Negócios, um Plano de Recuperação em Caso de Desastres e um Processo de Resposta a Incidentes. A mantém e atualiza conforme necessário um contrato de compartilhamento de dados intragrupo e contratos adequados de processamento de dados pelos fornecedores. Além de avisos de privacidade divulgados publicamente que se aplicam a produtos e serviços da , a também mantém e revisa/atualiza anualmente uma Estrutura de Política de Privacidade, definindo processos e padrões de privacidade aplicáveis à .
- Controles de segurança de rede – Os administradores de sistemas da garantem que os componentes dos sistemas de informações publicamente acessíveis (como servidores Web públicos) residam em sub-redes diferentes com interfaces de rede físicas distintas. Os administradores de sistemas da também garantem que interfaces controladas que protegem o perímetro da rede filtrem certos tipos de pacotes para proteger dispositivos na rede interna da . Dispositivos de controle de limites e firewalls são configurados de modo a permitir o acesso ao que for necessário para executar as operações da .
- Controles de segurança de bancos de dados – Todo o acesso (quer no sistema, quer diretamente por funcionários) aos bancos de dados da é registrado e monitorado quanto a alterações não autorizadas. Os dados são criptografados em bancos de dados por meio de uma codificação recomendada pelo setor, e o acesso direto é restrito a funções definidas pela Política de Segurança de Informações e pela Declaração de Práticas de Certificação da .
- Controles de acesso e autenticação – É possível rastrear todas as interações do usuário com os sistemas da até a pessoa que executou essas ações. Todos os usuários devem ser identificados positivamente para poderem interagir com os sistemas da . Os funcionários da devem primeiro se autenticar nos sistemas da antes de obterem acesso aos componentes do sistema necessários para desempenhar as respectivas funções de confiança e funções definidas pela Política de Segurança de Informações e pela Declaração de Práticas de Certificação da . As contas de usuário e outros tipos de acesso aos sistemas de computadores da devem ser aprovados de acordo com a Política de Acesso do Usuário. Conforme descrito em políticas aplicáveis, tanto controles físicos como lógicos para indivíduos autorizados são revisados periodicamente (no mínimo, anualmente).
- Controles de pessoal – Todos os funcionários da e outros prestadores com acesso a dados e/ou sistemas da estão sujeitos a contratos de confidencialidade e precisam ser aprovados em verificação de antecedentes e passar por treinamentos específicos baseados em funções. A mantém e aplica políticas e procedimentos para funções confiáveis, identificação e autenticação para cada função, sanções para ações não autorizadas, separação de tarefas, identificação de funcionários e remoção imediata do acesso ao sistema para funcionários demitidos e outros prestadores cujo acesso foi encerrado.
- Controles de segurança física – O acesso a todos os escritórios, salas de computadores e áreas de trabalho que tenham informações confidenciais é fisicamente restrito. Todas as portas de escritório têm um cadeado, e todas as portas de entrada de instalações da estão sempre trancadas. Essas portas podem ser abertas com um cartão de acesso ou outro dispositivo de controle de acesso, emitido após a confirmação de um histórico sem antecedentes criminais. Os data centers, a gaiola e os escritórios da são monitorados por circuito fechado de TV. A gaiola de segurança requer acesso biométrico e de dupla custódia aos funcionários. Todos os acessos são registrados.
- Gerenciamento e correção de vulnerabilidades – Verificações mensais são feitas em todos os ativos da por meio de ferramentas de detecção de vulnerabilidades. As correções de sistemas devem ocorrer em intervalos definidos pelas Operações de Segurança Global. Os intervalos se baseiam na pontuação CVSS (Common Vulnerability Scoring System) atribuída. Vulnerabilidades graves e críticas são corrigidas em até 72 horas; vulnerabilidades médias são corrigidas ou têm um plano de ação criado dentro de 30 dias, e vulnerabilidades baixas e informativas são corrigidas segundo o critério da .
- Avaliação interna abrangente – Todos os anos, a conduz uma avaliação de risco abrangente para identificar todas as ameaças internas e externas razoavelmente antevistas à segurança, à privacidade, à confidencialidade e à integridade.
- Avaliação de penetração/avaliação externa – Ao menos uma avaliação de penetração é feita por terceiros a cada ano. A normalmente faz vários testes de penetração por ano no código, na infraestrutura e nos sistemas, além de realizar avaliações de red teams.
- Treinamento e conscientização – Todos os funcionários e outros prestadores precisam passar por treinamentos anuais de privacidade, segurança e conformidade. Funcionários ou outras pessoas que lidem com informações confidenciais e pessoalmente identificáveis recebem treinamento adicional. Todos os prestadores com acesso a sistemas e/ou dados da precisam seguir políticas e procedimentos de tratamento de dados adequado, como a Política de Segurança de Informações, o Código de Conduta e a Política de Uso Aceitável da .
- Controles de acesso de terceiros – Os contratos da com terceiros que podem acessar os sistemas ou dados da abordam requisitos de segurança e privacidade de forma adequada. Esses terceiros também estão sujeitos a uma avaliação do impacto da segurança e privacidade, e os riscos são mitigados antes do acesso.
- Proteção de dados em armazenamento e transmissão – Todos os dados armazenados em sistemas da são criptografados usando-se uma codificação recomendada no setor. Da mesma forma, todos os dados transmitidos em sistemas da por todo o mundo são criptografados em trânsito usando-se uma codificação recomendada no setor.
- Armazenamento, retenção e exclusão – As informações armazenadas em meio físico ou eletrônico têm os controles técnicos apropriados determinados pelo nível de classificação de dados. As informações são excluídas segundo nossos CP/CPS e avisos de privacidade aplicáveis.