X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

TOMs para serviços de segurança de API Noname

Última atualização: novembro de 2024

TOMs aplicáveis para Serviços de segurança de APIs (definido como "Serviços").

Dados pessoais processados em conexão com os serviços: quaisquer dados pessoais incorporados no tráfego de API do cliente, por exemplo, endereço de IP, nome, e-mail, número de cartão de crédito e CPF (definido como "Dados pessoais de API").         

Essas TOMs são aplicáveis para as versões SaaS e Híbrida dos serviços de segurança de APIs.

Quaisquer dados pessoais processados em conexão com os serviços de suporte para as versões SaaS, Híbrida ou no local dos serviços de segurança de APIs são protegidos com base nas TOMs aplicadas pelos subprocessadores que fornecem sistemas de gerenciamento de tickets de suporte, conforme descrito na lista de subprocessadores do processador de dados.

Medidas de pseudonimização e criptografia de dados pessoais

Os serviços aplicam ofuscação automática para as categorias de dados mais sensíveis dentro dos dados pessoais de API, como, por exemplo, número de conta bancária, data de nascimento, cartão de crédito, CVV, dados de saúde, religião, salário, SSN e detalhes de passaporte. O cliente pode optar por incluir categorias de dados adicionais para ofuscação.

Os dados pessoais de API são criptografados em repouso e em trânsito, utilizando métodos aceitos que atendem aos padrões da indústria, como, por exemplo, AES-256, TLS 1.2 ou superior.

Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento

O processador de dados implementou e mantém o programa de segurança da informação e conformidade da empresa, projetado para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas das informações e dos sistemas de processamento, por exemplo:

  • Acordos de confidencialidade
  • Privacidade de dados e treinamento de segurança da informações 
  • Políticas e procedimentos de segurança da informação
  • Procedimentos de backup
  • Armazenamento remoto em data centers de terceiros
  • Utilização de diferentes zonas de disponibilidade por meio de provedores de serviços em nuvem, como AWS ou outros (conforme descrito na lista de subprocessadores do processador de dados) conforme a escolha de cada cliente, para garantir recuperação e disponibilidade em caso de falhas físicas no data center principal de um provedor de serviços em nuvem 
  • Controles de segurança de rede 24 horas por dia, 7 dias por semana, incluindo o uso de firewalls, sistemas de detecção e prevenção de intrusões atualizados, para ajudar a proteger os sistemas contra intrusões e limitar o escopo ou o sucesso de um ataque ou tentativa de acesso não autorizado aos sistemas, dispositivos de computação ou redes do processador de dados
  • Controles de acesso remoto para monitorar e controlar o acesso aos sistemas ou redes do processador de dados, incluindo a exigência de autenticação multifatorial para qualquer indivíduo que acesse a rede do processador de dados a partir de um sistema ou rede externa
  • Procedimentos e controles de gerenciamento de patches para implementar de forma oportuna patches de segurança e atualizações de software e firmware
  • Procedimentos e tecnologias de gerenciamento de vulnerabilidades para identificar, avaliar, reduzir e proteger contra novas e existentes vulnerabilidades e ameaças de segurança, incluindo vírus, bots, outros códigos maliciosos e proteção contra vírus
  • Controles de disponibilidade para proteger os dados pessoais contra destruição ou perda acidental

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de maneira oportuna em caso de incidente físico ou técnico

O processador de dados mantém:

  • Plano de continuidade de negócios
  • Procedimento de recuperação de desastres
  • Plano de resposta a incidentes que é mantido e praticado, como por meio de exercícios completos de recuperação do ambiente

Os sistemas de produção do processador de dados são realizados regularmente conforme exigido pelos procedimentos internos de backup.

Processos para testar, avaliar e verificar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do processamento

O processador de dados implementou os seguintes processos:

  • Programa de auditoria interna e externa, relatórios de auditoria e documentação
  • Testes de processos de backup e procedimentos de continuidade de negócios
  • Avaliação de riscos e monitoramento do sistema regularmente
  • Testes de vulnerabilidade e penetração regularmente

O processador de dados passa por avaliações de segurança regulares e possui certificações conforme listado em https://www.akamai.com/legal/compliance

Medidas para identificação e autorização de usuários

O processador de dados mantém políticas e procedimentos para gerenciar a identificação e autorização de usuários, por exemplo:

  • Políticas e procedimentos internos, incluindo para estabelecer, gerenciar e controlar requisitos de senha e autenticação
  • Controles de autenticação de usuários, incluindo métodos seguros de atribuição, seleção e armazenamento de credenciais de acesso, além de bloquear o acesso após um número razoável de tentativas de autenticação falhadas
  • Restringindo o acesso a certos usuários
  • O acesso é concedido com base na necessidade de conhecimento, apoiado por protocolos para autorização de acesso, estabelecimento, modificação e término dos direitos de acesso
  • Sistemas de registro e relatórios
  • Esquemas de controle de autorização
  • Direitos de acesso diferenciados (perfis, funções, transações e objetos)
  • Monitoramento e registro de acessos
  • Relatórios de acesso
  • Políticas e procedimentos de acesso
  • Políticas e procedimentos de gerenciamento de mudanças

Medidas para proteção de dados durante a transmissão

Os dados pessoais de API são protegidos durante a transmissão por:

  • Criptografia em trânsito por meio de padrões da indústria, como TLS 1.2 ou superior
  • Ofuscação de qualquer dado sensível de acordo com a preferência de cada cliente, gerenciada por cada cliente
  • Segregação de rede e dados do cliente
  • Registro e monitoramento de eventos relevantes para a segurança

Medidas para a proteção de dados durante o armazenamento

Os dados pessoais de API são protegidos durante o armazenamento por:

  • Criptografia em repouso via padrões da indústria, como AES-256 
  • Controle de acesso
  • Separação de bancos de dados e segmentação lógica dos dados dos clientes em relação aos dados de outros clientes
  • Segregação de funções e ambientes (produção/teste/desenvolvimento)
  • Procedimentos para armazenamento, modificação, exclusão e transmissão de dados para diferentes finalidades

Medidas para garantir a segurança física dos locais onde os dados pessoais são processados

As seguintes medidas são gerenciadas pelos subprocessadores, como AWS ou outro provedor de serviços em nuvem (conforme descrito na lista de subprocessadores do processador de dados) da escolha de cada cliente, já que o processador de dados não armazena dados pessoais de API em seus próprios servidores:

  • Estabelecimento de áreas de segurança, restrição de caminhos de acesso
  • Estabelecimento de autorizações de acesso para funcionários e terceiros com base na necessidade de conhecimento
  • Sistema de controle de acesso (leitor de ID, cartão magnético, cartão de chip)
  • Gerenciamento de chaves, procedimentos de chaves de cartão
  • Trancamento de portas (abridores de portas elétricas, etc.)
  • Equipe de segurança
  • Monitoramento das instalações, vigilância por vídeo/CFTV, sistema de alarme
  • Segurança de equipamentos de processamento descentralizados e computadores pessoais

Medidas aplicadas por cada provedor de serviços em nuvem escolhido pelo cliente podem ser verificadas em seus respectivos websites. 

Medidas para garantir o registro de eventos

O processador de dados mantém políticas e procedimentos para garantir o registro de eventos, por exemplo:

  • Procedimentos de identificação e autenticação de usuários
  • Procedimentos de segurança de ID/senha 
  • Bloqueio e bloqueio automático de contas após um número definido de falhas de login
  • Tempo limite automático de sessão por inatividade
  • Procedimentos e tecnologias de gerenciamento de registros para criar e manter um registro completo de auditoria para permitir investigações forenses eficazes, incluindo monitoramento de tentativas de invasão e desligamento automático da ID do usuário após várias tentativas errôneas de senha
  • Criação de um registro mestre por usuário

Medidas para garantir a configuração do sistema, incluindo configuração padrão

O processador de dados mantém procedimentos e políticas para garantir que seus sistemas sejam configurados e mantidos de acordo com os padrões da indústria, por exemplo:

  • Documentação de configuração de base atualizada e configurações
  • Procedimentos operacionais e controles para garantir que software, dispositivos de computação e redes sejam desenvolvidos, configurados e mantidos de acordo com os padrões internos prescritos, consistentes com os padrões da indústria
  • Mudanças na configuração do sistema exigem privilégios específicos

Medidas para governança e gerenciamento de TI internos e segurança de TI

O processador de dados gerencia a governança de TI de acordo com os padrões da indústria, como SOC 2 Tipo 2, CSA STAR 2, PCI DSS, HIPAA, e aplica as seguintes medidas, por exemplo: 

  • Políticas e procedimentos de segurança da informação 
  • Plano de resposta a incidentes
  • Auditorias internas e externas regulares
  • Revisão e supervisão do programa de segurança da informação
  • Treinamentos regulares de segurança da informação e privacidade para os funcionários
  • Acesso a dados com base no princípio do menor privilégio                    

Medidas para certificação/garantia de processos e produtos

O processador de dados possui as seguintes certificações:

  • SOC 2 Tipo 2
  • Cloud Security Alliance (CSA) STAR 2
  • HIPAA
  • PCI DSS

Mais detalhes listados em https://www.akamai.com/legal/compliance

Medidas para garantir a minimização de dados

O processador de dados garante, por meio de seus princípios de privacidade desde o design, que seus serviços e sistemas sejam desenvolvidos e projetados em conformidade com os requisitos de privacidade e que apenas o escopo necessário de dados seja processado, por exemplo:

  • Garantir que a quantidade mínima de dados seja processada para cumprir o propósito do processamento
  • Dados são capturados apenas quando incidentes de segurança de API são detectados, e apenas alguns pacotes são coletados por API para estabelecer linhas de base de API
  • Certas categorias sensíveis de dados pessoais capturados pelos Serviços são automaticamente ofuscadas, e o cliente pode optar por ofuscar categorias adicionais de dados pessoais de acordo com suas preferências, o que é gerenciado diretamente pelo cliente

Medidas para garantir a qualidade dos dados

O processador de dados recebe pacotes de tráfego de API como estão e não tem a capacidade de atualizar ou corrigir os dados pessoais de API dentro dos pacotes uma vez recebidos. 

Medidas para garantir a retenção limitada de dados

Os dados pessoais de API são armazenados durante a vigência do contrato e podem ser excluídos antes, a pedido do cliente. 

Medidas para garantir a responsabilidade

O processador de dados garante a responsabilidade por meio da implementação de várias medidas, por exemplo:

  • Políticas e procedimentos internos para proteger os dados
  • Privacidade por design e por padrão
  • Registros das atividades de processamento de dados
  • Avaliações de impacto de privacidade, quando necessário
  • Processo de integração de fornecedores e avaliações de due diligence 
  • Controles de subprocessadores, incluindo critérios apropriados para selecionar subprocessadores e acordos adequados 
  • Programa de treinamento sobre privacidade de dados e segurança da informação

Medidas para permitir a portabilidade de dados e garantir a exclusão

O processador de dados garante a portabilidade e a exclusão por meio das seguintes medidas:

  • Os clientes podem usar fluxos de trabalho para integrar os Serviços com seus próprios sistemas e receber os dados pessoais de API automaticamente em seus sistemas
  • Os dados pessoais de API podem ser exportados a pedido do cliente
  • Os dados pessoais de API podem ser excluídos a pedido do cliente
  • A exclusão dos dados pessoais de API é realizada de acordo com as melhores práticas do NIST e gerenciada pela AWS ou outro provedor de serviços em nuvem (conforme descrito na lista de subprocessadores do processador de dados) escolhido pelo cliente

Para transferências para (sub)processadores, também descreva as medidas técnicas e organizacionais específicas que devem ser tomadas pelo (sub)processador para fornecer assistência ao controlador

Quando o processador de dados envolve um subprocessador, o processador de dados e o subprocessador celebram um contrato com obrigações de proteção de dados substancialmente semelhantes às contidas no contrato entre o processador de dados e o controlador de dados. 

Descrição das medidas técnicas e organizacionais específicas que devem ser tomadas pelo processador para fornecer assistência ao controlador.

Para mais detalhes sobre a assistência do processador de dados ao controlador, consulte o contrato de processamento de dados e o contrato de serviço relacionado.