Intro
Com o aumento exponencial do trabalho remoto e do comércio eletrônico, as empresas foram instadas a desenvolver um ambiente online seguro e protegido. Embora a segurança tenha se tornado um tema quente no mercado, menos de um terço das empresas brasileiras têm equipes dedicadas de segurança cibernética
Somos o ecossistema de Comércio Digital das Cooperativas
Tomamos decisões ousadas, colocando-nos em risco pelo sucesso de nossos clientes. Somos uma equipe de alta performance, sempre aprendendo abraçando desafios desconfortáveis.
A espinha dorsal do comércio conectado
Entendemos a importância de adotar práticas de segurança e tecnologia necessárias para proteger os dados dos clientes. Nossas medidas de segurança estão incorporadas em toda nossa tecnologia, processos e pessoas.
Mais que uma plataforma
Trazemos harmonia entre negócios e tecnologia. Sabemos que privacidade e segurança são fundamentais para o sucesso em qualquer tipo de negóci
Beatae veritatis
Expedita veritatis consequuntur nihil tempore laudantium vitae denat pacta
Molestiae dolor
Et fuga et deserunt et enim. Dolorem architecto ratione tensa raptor marte
Explicabo consectetur
Est autem dicta beatae suscipit. Sint veritatis et sit quasi ab aut inventore
Como protegemos nossos clientes e sistemas
Programa de Segurança da Informação
- Auditorias de Conformidade Internas.
- Auditorias de Conformidade Externas.
- Certificações da VTEX.
- Service Organization Controls (SOC 1).
- Service Organization Controls (SOC 2 e 3).
- Payment Card Industry Data Security Standards (PCI DSS).
Saiba mais sobre todas Certificações VTEX
Auditoria e Conformidade
Possuímos uma política de Segurança da Informação que foi transmitida para toda a companhia através dos nossos canais internos de comunicação. A política é revisada anualmente dentro do nosso processo de gestão de documentos. A nossa política de Segurança da Informação é orientada à norma ISO IEC 27001, frameworks com as melhores práticas de segurança, leis de proteção de dados e outras obrigações aplicáveis ao contexto da Supercampo/Vtex. Nossos clientes podem ter acesso a nossa versão pública através do Portal de Administração da Loja.
Todos os nossos documentos são revisados dentro de uma janela anual e garantimos a gestão através de uma plataforma de gerenciamento de políticas.
A Supercampo/Vtex possui uma equipe robusta e especializada em Segurança da Informação, nossa equipe é estruturada e dedicada para suportar os principais processos de segurança. Nossa equipe de segurança trabalha em esquema de prontidão, com equipes em diferentes time zones para garantir que tenhamos uma cobertura que vai além do horário comercial.
Educação e conscientização sobre segurança
Consideramos nossos funcionários uma linha crítica de defesa na proteção dos dados da nossa empresa e dos nossos clientes. Temos uma equipe dedicada que impulsiona a conscientização, o envolvimento e a educação de nossos funcionários sobre as práticas recomendadas de segurança e a adoção de recursos de segurança na Supercampo/Vtex.
Gestão de Ativos
Os ativos são gerenciados centralmente por meio de um sistema de gerenciamento de inventário que armazena e rastreia o proprietário, a localização, o status, a manutenção e as informações descritivas dos ativos. Após a aquisição, os ativos são verificados e rastreados, além disso, os ativos em manutenção são verificados e monitorados quanto à propriedade, status e resolução. Vale ainda ressaltar que a Supercampo/Vtex opera 100% na nuvem e é a maior parceira da AWS (Amazon Web Services) na América Latina. Assim, não há necessidade de inventário de ativos físicos para os recursos na nuvem da AWS. Para inventário de software, usamos o inventário do AWS Systems Manager, que fornece visibilidade em nosso ambiente de computação da AWS.
Os dispositivos de armazenamento de mídia usados para armazenar dados do cliente são classificados como críticos e tratados adequadamente, como de alto impacto, ao longo de seus ciclos de vida.
A AWS utiliza padrões rigorosos sobre como instalar, fazer manutenção e, eventualmente, destruir os dispositivos quando eles não forem mais úteis. Quando um dispositivo de armazenamento chega ao fim de sua vida útil, ele é desativado usando técnicas detalhadas no NIST 800-88. A mídia utilizada para armazenar os dados do cliente não é removida do controle até que seja desativada com segurança.
Acesso, Identificação, e autenticação
A Supercampo/Vtex controla e monitora rigorosamente o acesso aos nossos ambientes de produção. Somente os funcionários cujas funções de trabalho exigem acesso podem se qualificar com a permissão para acessar nossos sistemas. Esta diretriz está alinhada com a nossa prática do Princípio do Mínimo Privilégio e Segregação de Funções, onde o acesso é concedido com base em necessidade legítima. Funcionários privilegiados da Supercampo/Vtex, como engenheiros de confiabilidade da plataforma, precisam usar várias camadas de autenticação de dois fatores para acessar um ambiente segregado e gerenciar sistemas usando apenas aplicativos hospedados por meio de um cliente de desktop remoto seguro, infraestrutura de desktop virtual (VDI). Os administradores com acesso lógico aos sistemas não têm acesso físico aos datacenters. O acesso lógico aos sistemas que fornecem o serviço é restrito à equipe de Site Reliability Engineering da Supercampo/Vtex. Os repositórios com os códigos da plataforma são privados, adicionar e remover usuários da organização faz parte dos processos de contratação e demissão. Apenas os Engenheiros de Desenvolvimento da Supercampo/Vtex têm acesso aos repositórios de código.
Adotamos configurações seguras e política de senha robusta para o acesso aos nossos sistemas, tais como, quantidade mínima de caracteres e caracteres especiais, periodicidade para alteração das senhas, não utilização das últimas senhas, controle e inatividade de sessão, e muitos mais. Quando um funcionário é demitido, a notificação de Recursos Humanos aciona um conjunto de tarefas que protegem o acesso ao sistema de produção. Após o encerramento, as contas privilegiadas são bloqueadas, as conexões ativas são encerradas e os tokens de autenticação de dois fatores são removidos. Nossa equipe de controle de acessos revisam o acesso lógico periodicamente e verificam se os usuários encerrados foram removidos dos respectivos sistemas por meio de um sistema de tíquete interno. Também revisamos as transferências de funcionários e garantimos que os acessos à rede, servidor e banco de dados aos sistemas de produção ainda sejam apropriados para sua nova função de trabalho. E se ainda quiser saber mais sobre os recursos de segurança da plataforma clique aqui e conheça nosso provedor de identidade, o Vtex ID
Segurança dos Dados
Classificação e Proteção dos Dados
Para nós da Supercampo/Vtex os dados devem ser classificados considerando os impactos de confidencialidade, integridade e disponibilidade em alto, moderado e baixo. Essa estrutura resultará em uma das três classificações, respectivamente: restrita, confidencial ou pública. Por exemplo, os seguintes tipos de dados são considerados como confidenciais e críticos dentro da nossa escala de classificação da informação: Informações do cartão de pagamento (PCI-DSS) Informações de Identificação Pessoal (PII) Lembre-se, estamos comprometidos em manter seus dados seguros e protegidos. Nossas informações críticas devem sempre ser criptografadas não apenas em trânsito, mas também em repouso. Portanto, todos os dados confidenciais são criptografados.
Segurança do data center e escritórios
Programa de Segurança da Informação
Os nossos dados e dos nossos clientes estão hospedados na Amazon (Amazon Web Services) um provedor de serviços de infraestrutura em nuvem pública, A Supercampo/Vtex tem acordos com esses fornecedores para garantir uma linha de base de segurança física e proteção ambiental para executar nossos serviços. Antes de escolher um local, a AWS faz avaliações ambientais e geográficas iniciais. A seleção dos locais dos datacenters é feita com muito cuidado para reduzir riscos ambientais, como enchentes, condições meteorológicas extremas e atividades sísmicas. Nossas zonas de disponibilidade são criadas para ser independentes e estar fisicamente separadas umas das outras.
A AWS permite que apenas funcionários aprovados tenham acesso físico ao datacenter. Todos os funcionários que precisam acessar o datacenter primeiro devem solicitar o acesso e fornecer uma justificativa válida. Vale ainda ressaltar que a AWS opera seus datacenters em conformidade com as diretrizes do Tier III+ (UpTime Institute).
Segurança do Host
Os serviços da Supercampo/Vtex são alimentados por sistemas operacionais configurados e reforçados de acordo com as práticas de segurança recomendadas do setor. Criamos ambientes usando a AMI mais recente fornecida pela AWS para cada serviço de implantação. Ao fazer isso, aproveitamos nossa segurança na proteção que a AWS já oferece para instâncias implantadas por seus serviços. Complementamos essa prática de segurança com as seguintes medidas:
Essas configurações são mantidas durante a implantação de um novo ambiente. Caso o novo módulo de instalação precise ser adicionado em nossos servidores, a instalação do baseline será adicionado aos dispositivos de forma automática
- Aplicação de patches de segurança críticos nos sistemas operacionais quando eles não são fornecidos como uma AMI atualizada pela AWS.
- Ativação e centralização de logs do sistema, para não perdermos informações importante dos sistemas.
- Monitoração das alterações nos arquivos críticos de configuração para nos notificar sobre as alterações desses arquivos.
- Ativação dos firewalls locais configurados apenas com portas seguras, por exemplo HTTPS e TLS 1.2 ou superior.
- Instalação do software antimalware.
- Remoção de processos, contas e protocolos desnecessários e padrão para redução da superfície de ataque do equipamento.
Educação e conscientização sobre segurança
Consideramos nossos funcionários uma linha crítica de defesa na proteção dos dados da nossa empresa e dos nossos clientes. Temos uma equipe dedicada que impulsiona a conscientização, o envolvimento e a educação de nossos funcionários sobre as práticas recomendadas de segurança e a adoção de recursos de segurança na Supercampo/Vtex.
Gestão de Ativos
Os ativos são gerenciados centralmente por meio de um sistema de gerenciamento de inventário que armazena e rastreia o proprietário, a localização, o status, a manutenção e as informações descritivas dos ativos. Após a aquisição, os ativos são verificados e rastreados, além disso, os ativos em manutenção são verificados e monitorados quanto à propriedade, status e resolução. Vale ainda ressaltar que a Supercampo/Vtex opera 100% na nuvem e é a maior parceira da AWS (Amazon Web Services) na América Latina. Assim, não há necessidade de inventário de ativos físicos para os recursos na nuvem da AWS. Para inventário de software, usamos o inventário do AWS Systems Manager, que fornece visibilidade em nosso ambiente de computação da AWS.
Os dispositivos de armazenamento de mídia usados para armazenar dados do cliente são classificados como críticos e tratados adequadamente, como de alto impacto, ao longo de seus ciclos de vida.
A AWS utiliza padrões rigorosos sobre como instalar, fazer manutenção e, eventualmente, destruir os dispositivos quando eles não forem mais úteis. Quando um dispositivo de armazenamento chega ao fim de sua vida útil, ele é desativado usando técnicas detalhadas no NIST 800-88. A mídia utilizada para armazenar os dados do cliente não é removida do controle até que seja desativada com segurança.
Acesso, Identificação, e autenticação
A Supercampo/Vtex controla e monitora rigorosamente o acesso aos nossos ambientes de produção. Somente os funcionários cujas funções de trabalho exigem acesso podem se qualificar com a permissão para acessar nossos sistemas. Esta diretriz está alinhada com a nossa prática do Princípio do Mínimo Privilégio e Segregação de Funções, onde o acesso é concedido com base em necessidade legítima. Funcionários privilegiados da Supercampo/Vtex, como engenheiros de confiabilidade da plataforma, precisam usar várias camadas de autenticação de dois fatores para acessar um ambiente segregado e gerenciar sistemas usando apenas aplicativos hospedados por meio de um cliente de desktop remoto seguro, infraestrutura de desktop virtual (VDI). Os administradores com acesso lógico aos sistemas não têm acesso físico aos datacenters. O acesso lógico aos sistemas que fornecem o serviço é restrito à equipe de Site Reliability Engineering da Supercampo/Vtex. Os repositórios com os códigos da plataforma são privados, adicionar e remover usuários da organização faz parte dos processos de contratação e demissão. Apenas os Engenheiros de Desenvolvimento da Supercampo/Vtex têm acesso aos repositórios de código.
Adotamos configurações seguras e política de senha robusta para o acesso aos nossos sistemas, tais como, quantidade mínima de caracteres e caracteres especiais, periodicidade para alteração das senhas, não utilização das últimas senhas, controle e inatividade de sessão, e muitos mais. Quando um funcionário é demitido, a notificação de Recursos Humanos aciona um conjunto de tarefas que protegem o acesso ao sistema de produção. Após o encerramento, as contas privilegiadas são bloqueadas, as conexões ativas são encerradas e os tokens de autenticação de dois fatores são removidos. Nossa equipe de controle de acessos revisam o acesso lógico periodicamente e verificam se os usuários encerrados foram removidos dos respectivos sistemas por meio de um sistema de tíquete interno. Também revisamos as transferências de funcionários e garantimos que os acessos à rede, servidor e banco de dados aos sistemas de produção ainda sejam apropriados para sua nova função de trabalho. E se ainda quiser saber mais sobre os recursos de segurança da plataforma clique aqui e conheça nosso provedor de identidade, o VTEX ID
Fale com a Supercampo
Se houver necessidade de maiores informações ou dúvidas sobre o tema apresentado, pedimos que entre em contato através dos canais disponíveis.
Presencial
Mario Tourinho, 1746
Curitiba/PR
Telefone
0800-000-0370
atendimento@supercampo.com
Atendimento
Seg - Sex: 9am as 17pm