A segurança em primeiro lugar
Na Aivo, só estamos bem quando os nossos clientes também estão.
Razões pelas quais oferecemos a Aivo como serviço (SaaS)
Redundância e alta disponibilidade de informação
Escalabilidade dinâmica de infraestrutura que permite atender os picos de demanda
Acesso a atualizações frequentes no aplicativo
Altos níveis de segurança e prevenção de desastres
Informação criptografada
SLA 99,9% (disponível em status.aivo.co)
Cumprimento do marco de segurança e auditoria
Na Aivo, temos as nossas próprias certificações ISO (ISO 27001 e ISO 9000), garantindo o cumprimento dos requisitos legais e o tratamento seguro da informação. As restantes certificações são do nosso fornecedor de infra-estruturas de cloud computing, Amazon Web Services (AWS aws.amazon.com/security).
Segmentação de ambientes
O nosso ambiente de produção é completamente separado do DEV, TEST e QA. A Aivo não utiliza dados do ambiente de produção em outros ambientes.
Contamos com AWS IAM para administrar credenciais de AWS separadas e restritivas para cada um dos nossos ambientes. Isto limita os serviços disponíveis para cada ambiente e os divide em compartimentos.
Graças a um estrito sistema de controle de acesso baseado em funções (RBAC), qualquer tipo de acesso incorreto é evitado. Da mesma maneira, empregamos a autenticação de dois fatores para estes acessos.
Proteção dos dados
Para garantir a proteção dos dados, se aplicam estritos controles de acesso, somado à implementação de criptografias fortes.
O pessoal da Aivo não acessa nem interage com dados ou aplicações dos clientes como parte das operações normais, a menos que tal seja solicitado ou exigido por lei.
Todos os dados dos nossos clientes (seja os já armazenados ou em trânsito através de redes públicas) se criptografam utilizando o TLS 1.2 ou superiores. Nossa implementação de TLS impõe o uso de criptografias fortes aprovadas pela indústria.
As bases de dados são criptografadas utilizando o algoritmo AES-256.
Alta disponibilidade
A Aivo desenvolveu um esquema de alta disponibilidade baseada em clusters do tipo Ativo-Ativo, apoiado na utilização de multizonas, garantindo que cada atendimento se encontre ativo em ao menos três centros de computação simultaneamente.
Também foi implementado um esquema de réplica de bases de dados, a partir da qual existe uma base Master e uma Slave, cada uma das quais tem uma réplica automática em uma zona diferente. Este desdobramento provê e mantém automaticamente uma réplica em espera síncrona dentro de uma zona de disponibilidade diferente.
Toda a solução se encontra atrás de um cluster de balanceadores, os quais se encarregam de distribuir a carga de trabalho entre todas as instâncias.
Isolamento de dados
Oferecemos nossos serviços através de um esquema Multi-Tenant. Isto implica que se compartilha a aplicação e a infraestrutura entre vários clientes.
Para garantir a confidencialidade, integridade e disponibilidade da informação dos clientes, nossa solução garante que:
--> Cada cliente só pode acessar seus próprios dados e metadados.
--> Cada cliente só pode ver sua configuração e suas personalizações
--> O consumo excessivo por um cliente não afeta o desempenho de outros clientes.
Privacidade de dados
Somos GDPR compliance. Oferecemos proteção à informação pessoal dos clientes e usuários graças a medidas de segurança técnicas, físicas e administrativas especialmente desenvolvidas.
Nós não armazenamos informações sensíveis do cliente. Os dados que recolhemos são estritamente detalhados na nossa Política de Privacidade.
Utilizamos a informação coletada apenas em conformidade e para os objetivos especificamente informados.
Garantimos os direitos de Proteção de Dados de Clientes e Usuários oferecendo os meios para fazer seu exercício efetivo.
Em caso de dúvidas, é possível contatar nossa Privacy Officer: Florencia Scarafía (legal@aivo.co)
Segurança em aplicativos e infraestrutura
Contamos com provedores externos que analisam e monitoram periodicamente nossos aplicativos e nossa rede para encontrar vulnerabilidades. Isto nos ajuda a evitar possíveis problemas de segurança em nossos aplicativos, servidores e capas de rede. As avaliações incluem:
--> Teste de aplicativos na web para buscar vulnerabilidades de segurança conhecidas, incluídas sequências de comandos entre sites, injeção SQL, etc.
--> Escaneamento de vulnerabilidades em busca de configurações inseguras nos servidores.
--> Provas de autenticação através de vários métodos, incluídos Basic, Digest, Kerberos ou NTLM.
--> Provas das injeções de bases de dados comumente conhecidas, como php, jsp, asp SQL e XPath.
Realizamos também revisões periódicas de código estático e dinâmico.
Início de sessão único (SSO)
Cumprindo com o compromisso de melhorar continuamente a cibersegurança, a Aivo incorporou o acesso à plataforma via SSO. Será possível entrar em my.aivo.co mediante diferentes protocolos como o SAML.
Com um único ponto para login e credenciais, a produtividade e a experiência do usuário são aprimoradas. Ao mesmo tempo, reforça a segurança da empresa contra as ameaças da vida digital moderna.
Política de gestão de incidentes
Todos os eventos do sistema são registrados em um serviço de registro central, sendo qualquer evento não usual marcado para a sua revisão.
Todas as ações do usuário são registradas em um log de acesso seguro, que reconhece as informações do usuário, o registro de hora, o endereço IP, etc. e os recursos que são acessados. Esta informação pode então ser recuperada rapidamente se for necessária uma investigação forense.
Pretendemos sempre informar os nossos clientes sobre incidentes relacionados com a segurança dos seus dados (assim que for seguro e sensato fazê-lo), e partilharemos qualquer informação relevante para permitir que os clientes tomem as medidas necessárias para o seu fim.
Tem alguma pergunta sobre segurança?
Estamos a trabalhar sem parar para garantir que o nosso sistema seja o mais seguro possível. Se você tiver alguma dúvida, entre em contato com nossa equipe de segurança em security@aivo.co
Você também pode acessar nosso artigo sobre O que é o GDPR?