Segurança na Yeeflow

Certificação ISO/IEC 27001

A ISO/IEC 27001:2013 é uma especificação para um sistema de gestão da segurança da informação (ISMS), que é uma estrutura para os processos de gestão do risco da informação de uma organização.

Aplicação certificada pela Microsoft

O Yeeflow é certificado pela Microsoft como a aplicação online que cumpre os requisitos de Segurança e Conformidade da Microsoft Cloud App Security. Estas informações de segurança, tratamento de dados e conformidade destinam-se a ajudar as organizações a avaliar e gerir o risco na utilização do Yeeflow.

Adenda relativa à conformidade com a privacidade e ao tratamento de dados

Levamos a sério as nossas obrigações de privacidade - e a proteção das suas informações - e cumprimos todas as leis e regulamentos de privacidade aplicáveis.

Pode saber mais sobre as práticas de privacidade da Yeeflow na nossa Política de Privacidade.

Segurança das redes e dos sistemas

Quando visita o site da Yeeflow ou utiliza uma das aplicações da Yeeflow, a transmissão de informações entre o seu dispositivo e os nossos servidores é protegida através de encriptação TLS de 256 bits. Em repouso, a Yeeflow encripta os dados utilizando AES-256.

Instalamos regularmente actualizações e patches de segurança para manter os servidores actualizados. Os servidores são segmentados com base na função e protegidos com firewalls restritivas.

Fiabilidade e durabilidade do serviço

A Yeeflow utiliza uma infraestrutura de alojamento Microsoft Azure líder de mercado. As cópias de segurança são replicadas de forma geo-redundante em várias zonas de disponibilidade para garantir a durabilidade dos dados. A Yeeflow mantém planos de continuidade do negócio e de recuperação de desastres. Os componentes do plano de recuperação de desastres incluem manuais de operações de vários locais, que são regularmente revistos e ensaiados. A Yeeflow implementa uma monitorização extensiva do serviço e a nossa equipa de operações está disponível 24x7x365.

Segurança do produto

No produto Yeeflow, as permissões dos colaboradores podem ser geridas ao nível do espaço de trabalho ou ao nível da aplicação. Estas permissões permitem-lhe controlar com quem partilha um espaço de trabalho ou aplicação e se podem modificar os espaços de trabalho ou aplicações que partilhou com eles. O Yeeflow também lhe permite restringir o acesso a dados e registos específicos com a permissão de administrador do sistema global.

O Yeeflow suporta o Single Sign On (SSO) baseado em OAuth 2.0 e SAML e funcionalidades de administração adicionais para equipas no plano Enterprise.

Segurança organizacional e da informação

A Yeeflow examina os funcionários e efectua verificações de antecedentes de acordo com as leis locais. Os funcionários realizam uma formação de segurança anual que abrange tópicos como a privacidade dos dados, a segurança da informação e a segurança das palavras-passe.

As estações de trabalho dos funcionários estão configuradas com encriptação total do disco, palavras-passe fortes e bloqueio automático. Os funcionários estão proibidos de instalar software não autorizado ou de utilizar suportes portáteis.

Segurança das aplicações

A Yeeflow executa diariamente análises de segurança automatizadas ao nível das aplicações, semanalmente análises de segurança de dependências de pacotes e mensalmente análises de endpoints. Para além das verificações internas, a Yeeflow comissiona testes de penetração externos regularmente.

Como parte do processo de desenvolvimento de software, as alterações de código e de configuração são cuidadosamente revistas. Antes de serem implementadas, estas alterações são testadas durante o processo de garantia de qualidade para ajudar a garantir uma experiência consistente em todos os dispositivos, plataformas e browsers suportados pela Yeeflow.

Conformidade com os regulamentos de privacidade de dados

A Yeeflow dedica-se a cumprir os regulamentos globais de privacidade de dados, incluindo o Regulamento Geral de Proteção de Dados (GDPR) e outras estruturas relevantes. A nossa estratégia de conformidade inclui o seguinte:

Direitos do titular dos dados: A Yeeflow permite aos clientes gerir os direitos dos titulares dos dados em conformidade com o RGPD e regulamentos de privacidade semelhantes:

• Direito de acesso: Os clientes da Yeeflow têm controlo total sobre a conceção dos dados que armazenam na plataforma e podem definir as permissões de acesso em conformidade. Esta flexibilidade permite às organizações alinhar o armazenamento e o acesso aos dados com as suas políticas de privacidade e segurança.
• Direito a ser esquecido: As organizações que utilizam o Yeeflow podem eliminar os dados dos utilizadores conforme necessário, garantindo a remoção completa dos sistemas activos e das cópias de segurança, seguindo os requisitos regulamentares.
• Portabilidade dos dados: Fornecemos ferramentas de exportação de dados nos formatos mais utilizados, permitindo aos utilizadores transferir os seus dados em conformidade com os requisitos de portabilidade dos dados.

Transferências de dados transfronteiriças: O Yeeflow está alojado no centro de dados Microsoft Azure de Singapura, que está localizado fora da UE:

• Residência dos dados: Embora os dados sejam armazenados no centro de dados de Singapura, os clientes têm a flexibilidade de conceber as suas práticas de gestão e armazenamento de dados para cumprir requisitos regulamentares específicos.
• Conformidade com as transferências: Apesar de não estar sediada na UE, a Yeeflow apoia a conformidade ao aderir às salvaguardas e normas necessárias para transferências de dados transfronteiriças seguras.

Processamento e proteção de dados: A nossa plataforma foi concebida com medidas de proteção de dados robustas para garantir a conformidade com os regulamentos de privacidade globais:

• Minimização de dados: A Yeeflow fornece aos clientes a flexibilidade para determinar quais os dados a armazenar, permitindo-lhes aderir ao princípio da minimização de dados.
• Encriptação de dados: Todos os dados são encriptados em trânsito utilizando protocolos de encriptação seguros. A Yeeflow também oferece campos personalizados para os clientes encriptarem os dados pessoais em repouso, acrescentando uma camada adicional de segurança adaptada às necessidades do cliente.

Resposta a violações de dados: A Yeeflow tem um protocolo abrangente para lidar com potenciais violações de dados:

• Notificação de violação: Em conformidade com o GDPR e outros regulamentos de privacidade de dados, a Yeeflow compromete-se a notificar os clientes afectados e as autoridades relevantes no prazo de 72 horas após a confirmação de uma violação.
• Investigação e resolução: A nossa equipa de resposta a incidentes investiga prontamente quaisquer incidentes, implementa acções corretivas e fornece comunicação contínua aos clientes relativamente à situação.

Continuidade das actividades

O Yeeflow foi concebido com uma estratégia de continuidade de negócio abrangente para garantir a disponibilidade da plataforma e a integridade dos dados, mesmo perante potenciais interrupções. As nossas medidas de continuidade da atividade incluem:

Alta disponibilidade: A arquitetura da Yeeflow utiliza redundância, equilíbrio de carga e uma estrutura de Arquitetura Orientada para os Serviços (SOA) para manter uma elevada disponibilidade:

• Serviços redundantes: A plataforma dispõe de serviços redundantes de front-end e lógicos, que são equilibrados utilizando o Network Load Balancing (NLB) para garantir uma cópia de segurança contínua do serviço. A estrutura SOA permite flexibilidade e escalabilidade, reduzindo o impacto de falhas de hardware ou problemas de rede no desempenho da plataforma.
• Redundância da base de dados: O Yeeflow utiliza uma configuração de base de dados mestre-escravo, permitindo a replicação de dados em tempo real. Esta redundância permite um acesso ininterrupto aos dados, mesmo no caso de um problema na base de dados principal.

Backup e recuperação de dados: A proteção dos seus dados é uma prioridade máxima, pelo que implementámos uma estratégia de cópia de segurança de vários níveis:

• Cópia de segurança do binlog em tempo real: A nossa plataforma suporta cópias de segurança binlog em tempo real para capturar as alterações em curso na base de dados, assegurando que os dados podem ser recuperados para qualquer ponto específico no tempo, se necessário.
• Backups incrementais diários: O Yeeflow efectua cópias de segurança incrementais diárias em locais remotos para proteger contra a perda de dados, assegurando que as últimas alterações de dados são armazenadas de forma segura fora do local.
• Cópias de segurança completas semanais: Para além das cópias de segurança incrementais, efectuamos cópias de segurança completas da base de dados semanalmente em locais remotos para manter uma proteção de dados abrangente.
• Instantâneos do servidor: Os instantâneos regulares do servidor permitem a recuperação rápida da plataforma para um ambiente predefinido em caso de incidentes inesperados.

Plano de recuperação de desastres (DRP): A Yeeflow tem um plano de recuperação de desastres robusto para lidar com potenciais interrupções do sistema:

• Objetivo de Tempo de Recuperação (RTO): O nosso DRP foi concebido para restaurar os serviços da plataforma no prazo de 4 a 8 horas, garantindo um tempo de inatividade mínimo e a continuidade das operações comerciais.
• Objetivo do Ponto de Recuperação (RPO): A estratégia de backup da Yeeflow tem como objetivo minimizar a perda de dados, com a capacidade de recuperar dados até ao ponto do último backup binlog em tempo real.

DevOps e actualizações contínuas: A Yeeflow adopta práticas DevOps para facilitar as actualizações contínuas e a implementação do sistema:

• Implementação automatizada: A nossa plataforma utiliza pipelines de implementação automatizados para garantir que as actualizações são implementadas sem problemas e com o mínimo de interrupção para os utilizadores.
• Monitorização e Alertas: A Yeeflow utiliza ferramentas de monitorização avançadas para acompanhar continuamente o desempenho do sistema, alertando automaticamente a nossa equipa para quaisquer irregularidades que possam indicar potenciais interrupções.