A Base39 é comprometida com a segurança das suas informações. Como pilares de nosso negócio, a franqueza e a transparência são indispensáveis, por isso, buscamos fornecer informações claras e objetivas sobre nossas políticas de segurança. Se houver qualquer questionamento adicional sobre segurança, teremos satisfação em esclarecê-lo. Para tal, envie uma mensagem para feedback@base39.com.br e prometemos retornar o mais breve possível. Nossa página de Práticas de Segurança detalha os controles técnicos, físicos e administrativos referentes à Base39. Essas diretrizes incluem, mas não estão limitadas à, nossa plataforma, nossos workflows e as aplicações rodando em nossa infraestrutura. A documentação não se aplica a serviços que possam ser conectados ou integrados à Base39.

Tanto os serviços da Base39 quanto a sua infraestrutura operam em uma arquitetura multi-tenant, a qual é planejada para segmentar e restringir o acesso aos dados que você e seus usuários oferecem por meio dos nossos serviços. Esta segregação é mais especificamente definida em seu contrato com a Base39, que cobre o uso dos nossos serviços baseado em requisitos de negócios. A arquitetura proporciona a cada cliente uma separação de dados lógica através de um ID único da conta.

A plataforma Base39 possui centenas de serviços, cada um deles com sua própria infraestrutura e ciclo de vida. Cada aplicação possui suas funções em projetos distintos e os bancos de dados estão sempre em uma infraestrutura com autenticação individual por aplicação.

Além disso, os dados e o processamento são segregados no nível do tenant. Um tenant é o isolamento de todos os dados pertencentes a um determinado cliente. Por design, não há maneira de acessar os dados sem uma chave de API específica do tenant.

Os serviços da Base39 estão hospedados na Amazon Web Services, sendo serviços de computação oferecidos por terceiros para quem desejar utilizar ou adquirir. Como qualquer serviço de nuvem, ele é operado em servidores remotos administrados por um fornecedor.

Para assegurar a consistência de nossas práticas de segurança e monitorar novas vulnerabilidades identificadas pela comunidade de pesquisa de segurança, os serviços da Base39 são avaliados por time interno e ferramentas automatizadas de monitoramento em tempo real.

O Base39 se compromete a adotar e preservar as medidas técnicas e organizacionais apropriadas para salvaguardar os Dados do Cliente de destruição inadvertida ou ilegal, perda, modificação, e divulgação não autorizada de informações pessoais do Cliente processadas ou transmitidas através dos serviços do Base39, ou acesso a elas. Os serviços do Base39 possuem múltiplos controles de segurança, que incluem:

Registros de acesso: Registramos cada vez que uma conta é acessada, identificando o tipo de dispositivo usado e o endereço IP da conexão.

Administração de acesso: Os administradores têm a capacidade de terminar remotamente todas as conexões e deslogar todos os usuários autenticados dos serviços da Base39, a qualquer momento, mediante solicitação.

Gestão de host: Conduzimos análises automatizadas de vulnerabilidades nos nossos servidores de produção e corrigimos todas as descobertas que apresentam risco ao ambiente. Aconselhamos a utilização de bloqueio de tela e criptografia de disco completo para notebooks corporativos.

Proteção de rede: Para além do monitoramento sofisticado do sistema e de acessos, implementamos autenticação em dois passos e dispositivos verificados para o acesso a todos os servidores no nosso ambiente de produção. Os firewalls são configurados seguindo as melhores práticas do setor, usando grupos de segurança AWS.

Práticas de segurança do produto: Novos recursos, funcionalidades relevantes e mudanças de design passam por um processo de revisão de segurança. Ademais, nosso código é auditado com um software de análise estática, testado e manualmente revisado por pares antes de ser implantado na produção.

A Base39 pode executar verificações e testes de segurança em sua plataforma e fluxos de trabalho, assim como nos aplicativos rodando em sua infraestrutura, para identificar ações ou comportamentos indevidos que infrinjam os termos de serviço.

O Base39 ou uma entidade externa aprovada irá supervisionar os serviços do Base39 para identificar invasões não autorizadas.

Os sistemas utilizados na entrega dos serviços da Base39 registram informações em um serviço de log centralizado. Isso permite análises e revisões de segurança. A Base39 mantém um extenso ambiente de log centralizado em produção, que inclui informações sobre segurança, monitoramento, disponibilidade, acesso e outras métricas pertinentes aos serviços da Base39. Os logs são analisados para detecção de eventos de segurança por meio de software de monitoramento automatizado.

A Base39 tem políticas e procedimentos para gerenciar incidentes de segurança. A Base39 informa os clientes afetados sem demora desnecessária sobre qualquer divulgação não autorizada de seus respectivos dados pela Base39 ou seus colaboradores, conforme permitido por lei. A Base39 publica informações de status do sistema em sua página de Status do Sistema. Os clientes geralmente são notificados por e-mail sobre incidentes significativos. Além disso, em casos de incidentes que duram mais de uma hora, a Base39 pode convidar os clientes afetados para participar de uma conferência para discutir o incidente e a resposta da plataforma.

As implantações em ambientes de desenvolvimento, teste e produção são automatizadas, sendo acionadas por versões revisadas e aprovadas de nossos repositórios de código. Cada serviço contém um branch principal que é protegida e só pode ser modificado após ser aprovado por pelo menos dois desenvolvedores, garantindo que a revisão por pares e a segregação de funções sejam incorporadas ao processo. Depois disso, uma nova versão é criada automaticamente sem a necessidade de outros comandos.

Os serviços da Base39 utilizam produtos de criptografia reconhecidos pela indústria para proteger os dados durante as transmissões entre a rede do cliente e os serviços da Base39; e quando armazenados. Os serviços da Base39 são compatíveis com os pacotes e protocolos de criptografia mais recentes para segurança, recomendados para criptografar todo o tráfego em trânsito. Monitoramos ativamente os avanços na tecnologia de criptografia e nos esforçamos para aprimorar o serviço, responder a novas vulnerabilidades criptográficas conforme são identificadas e implementar práticas recomendadas à medida que evoluem. Para a criptografia em trânsito, fazemos isso equilibrando a necessidade de compatibilidade com clientes que usam tecnologia mais antiga.

Reconhecemos que você confia na Base39 para o seu trabalho. Por essa razão, assumimos a responsabilidade de disponibilizar a Base39 de forma a que possa contar com ela. A nossa infraestrutura funciona em sistemas tolerantes à falhas, capazes de lidar com erros de servidores individuais ou mesmo de datacenters inteiros. As melhores práticas da indústria em termos de confiabilidade e backup influenciaram a configuração da Base39. Realizamos cópias de segurança regulares, facilitamos reverter software e mudanças de sistema quando necessário, assim como a replicação de dados conforme o necessário.

Os dados são guardados de forma redundante em múltiplos locais nos nossos datacenters, para garantir a sua disponibilidade. Possuímos métodos de backup e recuperação comprovados que permitem a recuperação em caso de grande desastre. Os dados são salvos de acordo com a frequência abaixo e nosso código-fonte é automaticamente salvo todas as noites. As cópias de segurança são verificadas pelo menos a cada 90 dias para confirmar que os nossos processos e ferramentas estão funcionando como esperado.

Os backups são processos internos e não estão disponíveis para os administradores ou clientes.

Disponível nos últimos 7 dias

A Base39 armazenará os Dados do Cliente em repouso em áreas geográficas principais, salvo indicação contrária no seu contrato.

Dentro de 30 dias após a rescisão do contrato, os clientes podem solicitar a devolução dos respetivos Dados do Cliente enviados à Base39, desde que não tenham excluído esses dados.

A Base39 oferece aos administradores da conta a opção de excluir os Dados do Cliente a qualquer momento durante o período de contrato. Dentro de 24 horas após a exclusão pelo administrador, a Base39 apaga permanentemente todas as informações dos sistemas de produção em execução no momento, exceto empréstimos em andamento e termos de pesquisa incluídos em URLs nos logs de acesso do servidor. As cópias de segurança da Base39 são destruídas dentro de 14 dias, exceto durante a investigação de um incidente.

Adicionalmente, a plataforma assegura que todas os fornecedores de hospedagem terceirizados aplicáveis excluam todas as cópias dos Dados do Cliente (exceto termos de pesquisa incluídos em URLs nos logs de acesso do servidor).

Mantemos rigorosos controles de acesso aos Dados do Cliente por parte dos nossos colaboradores. Para garantir o funcionamento adequado dos serviços da Base39, alguns dos nossos colaboradores devem ter acesso aos sistemas que guardam e processam os Dados do Cliente. Isto se faz necessário, por exemplo, para resolver um problema com os serviços da Base39, o qual pode demandar acesso aos Dados do Cliente. Contudo, esses colaboradores são estritamente proibidos de utilizar tais permissões para visualizar os Dados do Cliente a menos que seja absolutamente necessário. Para garantir a observância deste princípio, utilizamos controles técnicos e políticas de auditoria.

Todos os nossos colaboradores e pessoal contratado são obrigados a cumprir as políticas associadas aos Dados do Cliente. Este é um tópico de prioridade máxima para a nossa empresa.

Na Base39, realizamos verificações de antecedentes de todos os colaboradores antes de os contratarmos. Além disso, todos recebem treinamento contínuo sobre privacidade e segurança durante a sua integração e também de forma regular. Todos os colaboradores são obrigados a ler e assinar a nossa política de segurança da informação, que cobre segurança, disponibilidade e confidencialidade dos serviços da Base39.

A Base39 utiliza a infraestrutura fornecida pela Amazon Web Services, Inc. ("AWS") para armazenar e processar o conteúdo do cliente submetido aos nossos serviços. Informações sobre a segurança fornecida pela AWS estão disponíveis na página Segurança na Nuvem AWS. Informações sobre auditorias e certificações relativas à segurança e privacidade obtidas pela AWS, incluindo informações sobre a certificação ISO 27001 e relatórios SOC, podem ser encontradas na página Conformidade da AWS.