Quest
A Quest considera muito importante proteger informações ao processar e transferir Dados pessoais. Esta visão geral da proteção a informações aplica-se aos controles corporativos que a Quest adota para proteger os Dados pessoais que são processados pela Quest ou suas afiliadas e/ou que são transferidos entre as empresas do grupo Quest.
Práticas de segurança
As práticas e os padrões de proteção a informações corporativas da Quest visam proteger o ambiente empresarial da Quest e cumprir objetivos comerciais nas áreas de proteção a informações, gerenciamento de ativos e sistema, desenvolvimento e controle.
Tais práticas e padrões são aprovados pela gerência executiva da Quest, revisados periodicamente e atualizados quando preciso.
A Quest deve manter um programa de privacidade de dados e proteção a informações apropriado, incluindo políticas e procedimentos para restrições de acesso físico e lógico, classificação de dados, direitos de acesso, programas de credenciamento, retenção de registros, privacidade de dados, proteção a informações e o tratamento de dados pessoais e confidenciais ao longo de seu ciclo de vida útil. As principais políticas serão revisadas pelo menos uma vez por ano.
Segurança organizacional
Todos os funcionários da Quest envolvidos no processamento de Dados pessoais de clientes devem cumprir estas práticas e padrões. A função de Proteção a informações (IS) da Quest é responsável pelas seguintes atividades:
- Estratégia de segurança: a função de IS trabalha para garantir a conformidade com suas próprias políticas e padrões relacionados à segurança e com todos os regulamentos relevantes, bem como para aumentar a conscientização e fornecer orientação aos usuários. A função de IS também realiza avaliações de risco e atividades de gerenciamento de riscos, além de gerenciar os requisitos de segurança de contratos.
- Engenharia de segurança: a função de IS gerencia testes, design e implementação de soluções de segurança para permitir a adoção de controles de segurança em todo o ambiente on-line e de tecnologia da informação da Quest.
- Operações de segurança: a função de IS gerencia o suporte de soluções de segurança implementadas, monitora e verifica o ambiente e os ativos on-line e de tecnologia da informação da Quest e gerencia a resposta a incidentes.
- Investigações forenses: a função de IS trabalha com o departamento jurídico e de conformidade e com o de recursos humanos para realizar investigações, incluindo detecção e perícia.
- Consultoria e testes de segurança: a função de IS trabalha com desenvolvedores de software no desenvolvimento de melhores práticas de segurança, presta consultoria no desenvolvimento de aplicações e na arquitetura para projetos de software e realiza testes de garantia.
Classificação e controle de ativos
A prática da Quest é rastrear e gerenciar as principais informações e ativos físicos, lógicos e de software. Exemplos de ativos que a Quest pode rastrear:
- ativos de informação, como bancos de dados identificados, planos de recuperação de desastres, planos de continuidade dos negócios, classificação de dados, informações arquivadas;
- ativos de software, como aplicações identificadas e software de sistema;
- ativos físicos, como servidores identificados, desktops/notebooks, fitas de backup/arquivamento, impressoras e equipamentos de comunicação.
Os ativos são classificados com base na criticidade do negócio para determinar os requisitos de confidencialidade. A orientação do setor para o tratamento de dados pessoais fornece a estrutura para proteções técnicas, organizacionais e físicas. Tais proteções podem incluir controles como gerenciamento de acesso, criptografia, registro e monitoramento e destruição de dados.
Triagem, treinamento e segurança de funcionários
- Triagem/verificação de antecedentes: quando razoavelmente praticável e apropriado, como parte do processo de contratação/recrutamento, a Quest realiza triagem e verificações de antecedentes de funcionários ou possíveis funcionários (o que pode variar conforme o país, com base nas leis e nos regulamentos locais), sempre que esses funcionários venham a ter acesso às redes, aos sistemas ou às instalações da Quest.
- Identificação: a Quest exige que todos os funcionários forneçam prova de identificação e qualquer documentação adicional que possa ser necessária com base no país de contratação ou exigida por outras entidades ou clientes da Quest para os quais o funcionário está prestando serviços.
- Treinamento: o programa anual de treinamento em conformidade da Quest inclui a exigência de que os funcionários concluam um treinamento em conscientização sobre proteção a informações e proteção de dados on-line.
- Confidencialidade: a Quest garante que seus funcionários sejam legalmente obrigados a proteger e manter a confidencialidade de todos os dados com os quais trabalham, conforme os acordos padrão.
Controles de acesso físico e segurança ambiental
- Programa de segurança física: a Quest usa uma série de abordagens tecnológicas e operacionais em seu programa de segurança física para mitigar os riscos de segurança na medida do razoavelmente praticável. A equipe de segurança da Quest trabalha em estreita colaboração com cada local a fim de determinar se há medidas adequadas em vigor para evitar que pessoas não autorizadas tenham acesso aos sistemas nos quais os dados pessoais são processados e para monitorar continuamente quaisquer alterações na infraestrutura física, nos negócios e nas ameaças conhecidas. Ela também monitora as medidas de melhores práticas usadas por outros no setor e seleciona cuidadosamente as abordagens que atendem à exclusividade da prática comercial e às expectativas da Quest. A Quest equilibra sua abordagem em relação à segurança, levando em conta alguns elementos de controle, que incluem arquitetura, operações e sistemas.
- Controles de acesso físico: os controles de acesso físico/medidas de segurança nas instalações da Quest foram elaborados para atender aos seguintes requisitos:
- o acesso aos edifícios, às instalações e a outros locais físicos da Quest é controlado com base na necessidade do negócio, na confidencialidade dos ativos e na função e relacionamento do indivíduo com a Quest. Apenas o pessoal associado à Quest tem acesso às instalações e aos recursos físicos da empresa. O acesso é fornecido apenas de maneira consistente com a função e as responsabilidades do pessoal na organização;
- as instalações relevantes da Quest são protegidas por um sistema de controle de acesso. O acesso a essas instalações é concedido apenas com um cartão ativado;
- pessoas que precisam de acesso a instalações e/ou recursos controlados por cartão recebem credenciais de acesso físico adequadas e exclusivas (por exemplo, um crachá ou cartão-chave atribuído a um indivíduo) por parte da função de IS. Indivíduos que recebem credenciais de acesso físico exclusivas são instruídos a não permitir que outras pessoas acessem as instalações ou os recursos da Quest usando suas credenciais exclusivas. Por exemplo, não pode haver "tailgating" (utilização não autorizada). Credenciais temporárias (de até 14 dias) poderão ser emitidas para indivíduos que não possuem identidades ativas quando necessárias (i) para acesso a uma instalação específica e (ii) para necessidades comerciais válidas. As credenciais únicas são intransferíveis e, se um indivíduo não puder apresentar suas credenciais mediante solicitação, poderá ter a entrada negada nas instalações da Quest ou ser escoltado para fora do local. Nas entradas monitoradas por funcionários, os indivíduos são obrigados a apresentar uma identificação com foto válida ou credenciais válidas para o representante de segurança ao entrar. Quem perder suas credenciais ou outra identificação será obrigado a acessar as instalações por uma entrada monitorada por funcionário e receberá um crachá temporário de um representante de segurança;
- os visitantes que precisam de acesso às instalações da Quest devem entrar por uma entrada principal e/ou monitorada por funcionário. Os visitantes devem registrar a data e a hora de chegada, a hora de saída e o nome de quem estão visitando. Os visitantes devem apresentar uma forma de identificação emitida pelo governo para validar sua identidade. Para evitar o acesso ou a divulgação de informações confidenciais da empresa, os visitantes não têm permissão para acesso sem escolta a áreas restritas ou controladas;
- algumas instalações da Quest usam monitoramento CCTV, proteções de segurança e outras medidas físicas quando apropriados e legalmente permitidos;
- recipientes de trituração com trava são fornecidos na maioria dos locais para permitir a destruição segura de informações confidenciais/dados pessoais;
- para projetos de desenvolvimento de software e implementação de infraestrutura, a função de IS usa um processo de avaliação de riscos e um programa de classificação de dados para gerenciar os riscos decorrentes de tais atividades.
Incidentes de segurança e plano de resposta
- Plano de resposta a incidentes de segurança: a Quest mantém uma política de resposta a incidentes de segurança e um plano e procedimentos relacionados que abordam as medidas que a Quest tomará em caso de perda de controle, roubo, divulgação não autorizada, acesso não autorizado ou aquisição não autorizada de dados pessoais. Tais medidas podem incluir análise de incidentes, contenção, resposta, correção, relatório e o retorno às operações normais.
- Controles de resposta: há controles em vigor para oferecer proteção contra uso malicioso de ativos e softwares e dar suporte à detecção desse uso, bem como para relatar possíveis incidentes à função de IS ou ao Service Desk da Quest para que as medidas apropriadas sejam tomadas. Os controles podem incluir, entre outros, políticas e padrões de proteção a informações; acesso restrito; ambientes de desenvolvimento e teste designados; detecção de vírus em servidores, desktops e notebooks; verificação de anexos de e-mail em busca de vírus; verificações de conformidade do sistema; monitoramento e resposta de prevenção contra intrusão; regras de firewall; registros e alertas sobre eventos importantes; procedimentos de tratamento de informações com base no tipo de dados; aplicação de e-commerce e segurança de rede; e verificações de vulnerabilidade de sistemas e aplicações. Controles adicionais podem ser implementados com base no risco.
Criptografia e controle de transmissão de dados
A Quest deve, na medida em que tenha controle sobre qualquer transmissão eletrônica ou transferência de dados pessoais, tomar todas as medidas razoáveis para garantir que tal transmissão ou transferência não possa ser lida, copiada, alterada ou removida sem a devida autoridade durante sua transmissão ou transferência. Especificamente, a Quest deve:
- implementar práticas de criptografia padrão do setor em sua transmissão de dados pessoais. Os métodos de criptografia padrão do setor usados pela Quest incluem Secure Sockets Layer (SSL), Transport Layer Security (TLS), um programa de shell seguro como SSH e/ou Internet Protocol Security (IPSec);
- para aplicações voltadas à Internet que podem lidar com dados pessoais confidenciais e/ou fornecer integração em tempo real com sistemas na rede que contém tais informações (incluindo a rede principal da Quest), um Firewall de aplicações da Web (WAF) pode ser usado para fornecer uma camada adicional de verificação de entrada e mitigação de ataques. O WAF será configurado para mitigar potenciais vulnerabilidades, como ataques de injeção, estouros de buffer, manipulação de cookies e outros métodos de ataque comuns.
Controles de acesso ao sistema
O acesso aos sistemas da Quest é restrito a usuários autorizados. Procedimentos e controles formais regem o modo como o acesso é concedido a pessoas autorizadas e o nível de acesso necessário e apropriado para que essas pessoas desempenhem suas funções.
Controle de acesso a dados
A Quest aplica os controles definidos abaixo em relação ao acesso e uso de dados pessoais:
- o pessoal é instruído a usar apenas a quantidade mínima de dados pessoais necessários para atingir os objetivos comerciais relevantes da Quest;
- o pessoal é instruído a não ler, copiar, modificar ou remover dados pessoais, a menos que seja necessário para realizar suas tarefas de trabalho;
- o uso de dados pessoais por terceiros é regido por termos e condições contratuais entre o terceiro e a Quest que impõem limites ao uso de dados pessoais por terceiros e restringem tal uso ao que é necessário para o terceiro fornecer os serviços.
Controle de disponibilidade
A Quest protege os dados pessoais contra destruição ou perda acidental, seguindo estes controles:
- os dados pessoais são retidos de acordo com o contrato do cliente ou, na sua ausência, as políticas e práticas de gerenciamento de registros da Quest, assim como os requisitos legais de retenção;
- os dados pessoais em cópia impressa são descartados em uma lixeira segura ou em uma picotadora de papel com corte transversal, de forma que as informações não sejam mais decifráveis;
- dados pessoais eletrônicos são fornecidos à equipe de Gerenciamento de ativos de TI da Quest para descarte adequado;
- medidas técnicas apropriadas estão em vigor, incluindo (entre outras) software antivírus instalado em todos os sistemas; proteção de rede fornecida via firewall; segmentação de rede; usuário de filtro de conteúdo/proxies; fonte de alimentação sem interrupções; geração regular de backups; espelhamento de disco rígido quando necessário; sistema de segurança contra incêndio; sistemas de proteção contra água quando apropriado; planos de emergência; e salas de servidores com ar-condicionado.
Controle de entrada de dados
A Quest tem medidas destinadas a verificar, quando apropriado, se e por quem foram introduzidos dados pessoais nos sistemas de processamento de dados ou se esses dados foram modificados ou removidos. O acesso às aplicações relevantes é registrado.
Desenvolvimento e manutenção do sistema
As vulnerabilidades de terceiros lançadas publicamente são analisadas quanto à aplicabilidade no ambiente da Quest. Com base no risco para os negócios e clientes da Quest, existem prazos pré-determinados para correção. Além disso, avaliações e verificações de vulnerabilidade são realizadas tanto em aplicações novas e importantes quanto na infraestrutura com base nos riscos. Revisões de código e scanners são usados no ambiente de desenvolvimento antes da produção para detectar proativamente vulnerabilidades de codificação com base nos riscos. Tais processos permitem a identificação proativa de vulnerabilidades, assim como da conformidade.
Conformidade
Os departamentos de proteção a informações, jurídico, de privacidade e de conformidade trabalham para identificar as leis e os regulamentos regionais que podem ser aplicáveis à Quest. Os requisitos abrangem áreas como propriedade intelectual da Quest e seus clientes, licenças de software, proteção de informações pessoais de funcionários e clientes, proteção de dados e procedimentos de manuseio de dados, transmissão transfronteiriça de dados, procedimentos financeiros e operacionais, controles regulamentares de exportação relacionados à tecnologia e requisitos forenses.
Mecanismos como o programa de proteção a informações, o conselho executivo de privacidade, auditorias/avaliações internas e externas, consultoria jurídica interna e externa, avaliação de controles internos, teste de penetração interno e avaliações de vulnerabilidade, gerenciamento de contratos, conscientização de segurança, consultoria de segurança, análises de exceção à política e gerenciamento de riscos se combinam para impulsionar a conformidade com esses requisitos.
Subprocessadores
Informações sobre os subprocessadores atuais estão disponíveis em https://support.quest.com/subprocessor. O cliente pode se inscrever para receber notificações sobre novos subprocessadores.
Informações sobre outras medidas técnicas e organizacionais específicas do produto estão disponíveis nos Guias de segurança relacionados ao produto.