Na Zazos, priorizamos acima de tudo a segurança de dados e aplicações. Adotamos uma estratégia multidimensional e robusta, buscando sempre assegurar a integridade de nossos ativos e dos de nossos clientes frente a qualquer ameaça.

1. Segurança de Dados

Criptografia de Dados

Para garantir que os dados estejam sempre seguros, utilizamos os seguintes protocolos de criptografia:

• Criptografia em trânsito: Todos os dados enviados para ou da infraestrutura da Zazos são criptografados em trânsito usando Transport Layer Security (TLS).
• Criptografia em repouso: Todos os dados dos usuários nos nossos bancos de dados são criptografados usando o padrão de criptografia AES-256.

Segurança do Data Center

A Zazos utiliza a Amazon Web Services (AWS) como provedor para hospedar nossos servidores de produção, bancos de dados e serviços de suporte. Os bancos de dados e servidores ficam na região sa-east-1 (São Paulo), em uma configuração de Multi-AZ (múltiplas zonas de disponibilidade).

Backups de Dados

Os backups de dados são realizados regularmente, segundo um calendário que prevê backups diários, semanais e mensais.
‍

2. Segurança da Aplicação

Gestão de Mudanças

Na Zazos, empregamos um processo formal de gestão de mudanças. Cada mudança é revisada por pares antes de ser incorporada ao nosso código. Além disso, utilizamos análise de qualidade automatizada para garantir a segurança e a eficácia de cada alteração.

Ambientes Separados

Mantemos ambientes separados para desenvolvimento, teste, homologação e produção. Cada ambiente tem seus próprios recursos e dados, assegurando que quaisquer problemas identificados durante a fase de teste não afetem a segurança e experiência do usuário final.

Controles de Acesso

O acesso direto aos recursos de produção é limitado, restringindo-se a um pequeno grupo de funcionários com base em sua função e responsabilidades. Utilizamos o princípio de mínimo privilégio para garantir o acesso adequado e seguro aos nossos sistemas e dados.

Bloqueio Automático de Ataques de Força Bruta

A Zazos conta com sistemas que bloqueiam automaticamente tentativas de ataques de força bruta, tanto por meio de throttling de requisições quanto por CAPTCHA para logins.
‍

3. Segurança da Infraestrutura e Cloud

AWS

A Zazos utiliza a Amazon Web Services (AWS) como provedor para hospedar nossos servidores de produção, bancos de dados e serviços de suporte. A AWS segue as melhores práticas do setor e cumpre uma lista abrangente de padrões de segurança. Para mais informações, consulte o Whitepaper de Segurança da AWS.

Firewall e Balanceamento de Carga

Adotamos práticas de segurança robustas para nossa infraestrutura e cloud. Utilizamos um Web Application Firewall (WAF) e implementamos estratégias de alta disponibilidade e balanceamento de carga (load balancer) para garantir um desempenho estável e seguro.

Segregação de Rede

Utilizamos a segregação de rede através de Virtual Private Clouds (VPCs) e grupos de segurança (security groups), assegurando que o acesso à rede de produção da Zazos seja concedido de forma mínima e segura.

Registro de atividades (Audit Trail) e inventário

O ambiente da Zazos na AWS conta com um Audit Trail configurado para registrar qualquer atividade de acesso à nossa conta, o que proporciona uma camada adicional de transparência e controle. Além disso, todos os ativos na infraestrutura são inventariados para garantir controle e visibilidade total.
‍

4. Gestão de Vulnerabilidades

Testes de Penetração

Nosso time de segurança da Zazos estabelece parcerias com empresas de segurança reconhecidas no mercado para realizar, regularmente, testes de penetração em nossas aplicações e infraestrutura. Esses testes têm como objetivo identificar deficiências no sistema que possam afetar nossos ativos críticos.

Análise de Vulnerabilidade

Utilizamos ferramentas de segurança de terceiros para verificar continuamente nossa aplicação em busca de riscos e vulnerabilidades de segurança. Além disso, realizamos um processo recorrente de análise de código estático e verificamos continuamente possíveis alertas de vulnerabilidades nas dependências de bibliotecas usadas pela aplicação da Zazos.

5. Segurança Operacional

Segurança de Pessoas

Todos os novos funcionários assinam um acordo de confidencialidade antes de receberem acesso a qualquer informação, sistema ou processo da Zazos. Contamos com uma solução de gerenciamento de dispositivos (MDM - Mobile Device Management) e de patch management nos computadores da empresa, fornecendo uma camada de controle de de updates de segurança nos nossos sistemas. Também asseguramos que os equipamentos de nossos colaboradores estejam equipados com antivírus corporativo.

Plano de Resposta a Incidentes

De maneira resumida, o plano de resposta a incidentes da Zazos segue as seguintes etapas:

1. Detecção do incidente: identificamos qualquer anomalia que possa indicar uma violação de segurança.
2. Triagem e avaliação da gravidade do incidente: avaliamos o potencial de dano do incidente, classificando-o de acordo com a gravidade e o impacto em potencial aos nossos serviços e clientes.
3. Identificação da fonte do incidente: investigamos a origem do incidente para entender como ele ocorreu, e se alguma vulnerabilidade foi explorada.
4. Contenção do incidente: tomamos medidas imediatas para isolar e conter o incidente, impedindo que cause mais danos.
5. Avaliação de impacto: avaliamos o impacto total do incidente nos nossos serviços e na privacidade e segurança dos dados dos nossos clientes, se houver.
6. Comunicação via email com os stakeholders: mantemos uma comunicação aberta e proativa com todas as partes interessadas em situações em que a segurança ou disponibilidade dos dados sejam substancialmente afetadas.
7. Mitigação de danos e implementação de melhorias: trabalhamos para minimizar qualquer dano causado pelo incidente e implementamos melhorias em nossos sistemas e protocolos para prevenir a recorrência de incidentes semelhantes no futuro.

‍

6. Auditoria Interna

Conduzimos auditorias internas regulares em todos os nossos sistemas e processos, para avaliar e garantir a nossa conformidade contínua com a LGPD. Qualquer inconsistência ou desvio identificado é prontamente corrigido, e as medidas corretivas são documentadas e implementadas sem demora.

‍

7. Treinamento e Conscientização

Fornecemos treinamento regular e atualizado a todos os membros da nossa equipe sobre as disposições da LGPD e questões relacionadas à proteção de dados. Isso assegura que todos os colaboradores estão informados e aptos a manejar os dados pessoais de forma legal e segura. Esse treinamento também é realizado com novos colaboradores na Zazos.

Promovemos ativamente a conscientização sobre a importância da proteção de dados entre nossos funcionários, por meio de reuniões e materiais educativos. Essas iniciativas reforçam a cultura de respeito à privacidade e ajudam a prevenir incidentes de segurança da informação.

‍

Data Protection Officer (DPO) da Zazos

Roger Garcia - dpo@zazos.com

‍