No Judge.me, a confiança é a pedra angular da nossa operação. A segurança é uma de nossas preocupações primordiais, com um foco dedicado na documentação e revisão rotineira de nossas políticas e procedimentos de segurança. Nosso objetivo principal é instilar confiança em nossos clientes ao usar nossos aplicativos e serviços de suporte ao cliente, sabendo que suas informações pessoais e registros de lojas online estão protegidos.
Nossa dedicação à segurança é exemplificada pela nossa obtenção da certificação SOC2 Tipo 2. Esta certificação não apenas confirma o design apropriado e a implementação de controles, mas também a operação eficaz desses controles ao longo de um período específico.
Nossa compliance com o SOC2 Tipo 2:
Pessoal Seguro
Levamos a segurança dos nossos dados, bem como dos nossos clientes e clientes, a sério e garantimos que apenas pessoal qualificado tenha acesso aos seus recursos.
Todos os nossos contratados e funcionários passam por verificações de antecedentes antes de serem contratados ou empregados por nós, de acordo com as leis locais e as melhores práticas da indústria.
Acordos de Confidencialidade ou outros tipos de Acordos de Não Divulgação (NDAs) são assinados por todos os funcionários, contratados e outras pessoas que precisam acessar informações sensíveis ou internas.
Incorporamos a cultura de segurança em nosso negócio ao realizar treinamento e testes de segurança para funcionários usando técnicas atuais e vetores de ataque emergentes.
Desenvolvimento Seguro
Todos os nossos projetos de desenvolvimento, incluindo produtos de software local, serviços de suporte e nossas próprias ofertas de Digital Identity Cloud, seguem os princípios do ciclo de vida de desenvolvimento seguro.
Todo desenvolvimento de novos produtos, ferramentas e serviços, bem como grandes alterações em produtos existentes, passam por uma revisão de design para garantir que os requisitos de segurança sejam incorporados ao desenvolvimento proposto.
Todos os membros da equipe que estão regularmente envolvidos no desenvolvimento de sistemas passam por treinamento anual de desenvolvimento seguro em linguagens de codificação ou scripting com as quais trabalham, bem como qualquer outro treinamento relevante.
O desenvolvimento de software é realizado de acordo com as recomendações do OWASP Top 10 para segurança de aplicativos web.
Testes Seguros
Realizamos testes de penetração de terceiros e varredura de vulnerabilidades de todos os sistemas em produção e expostos à Internet regularmente.
Todos os novos sistemas e serviços são escaneados antes de serem implantados em produção.
Realizamos testes de penetração tanto por engenheiros de segurança internos quanto por empresas de testes de penetração externas em novos sistemas e produtos ou em grandes alterações nos sistemas, serviços e produtos existentes para garantir uma visão abrangente e realista de nossos produtos e ambiente a partir de múltiplas perspectivas.
Realizamos testes de segurança de aplicativos de software estáticos e dinâmicos de todo o código, incluindo bibliotecas de código aberto, como parte do nosso processo de desenvolvimento de software.
Segurança na Nuvem
Nossa nuvem oferece segurança máxima com isolamento completo do cliente em uma arquitetura de nuvem moderna e multi-inquilino.
Nossa nuvem aproveita as funcionalidades nativas de segurança física e de rede do serviço de nuvem e depende dos fornecedores para manter a infraestrutura, serviços e políticas e procedimentos de acesso físico.
Todos os ambientes e dados da nuvem do cliente são isolados usando nossa abordagem de isolamento patenteada. Cada ambiente do cliente é armazenado dentro de uma zona de confiança dedicada para evitar qualquer mistura acidental ou maliciosa.
Todos os dados também são criptografados em repouso e durante a transmissão para evitar qualquer acesso não autorizado e prevenir violações de dados. Nossa plataforma inteira também é monitorada continuamente por especialistas altamente treinados.
Separamos os dados de cada cliente e os nossos, utilizando chaves de criptografia exclusivas para garantir que os dados estejam protegidos e isolados.
A proteção dos dados do cliente está em conformidade com as normas do SOC 2 para criptografar dados em trânsito e em repouso, garantindo que os dados do cliente, da empresa e informações sensíveis estejam protegidos o tempo todo.
Implementamos controles de acesso baseados em funções e os princípios de acesso com privilégios mínimos, e revisamos e revogamos o acesso conforme necessário.
Como chegamos lá
Integramos nossas ferramentas e sistemas, incluindo G Suite, Github, AWS, Heroku, MongoDB, etc., com a Vanta, para automatizar o processo complexo de coleta de evidências para auditorias de segurança.
A Vanta nos ajuda a lidar com o treinamento de segurança dos funcionários, monitoramento de dispositivos e alertas automáticos sobre quaisquer controles de preocupação. Com um local centralizado para gerenciar nossa segurança e conformidade, garantimos que nossas políticas, procedimentos e controles sejam bem gerenciados e mantidos.
A Prescient Assurance, líder em certificações de segurança e conformidade para empresas B2B e SaaS em todo o mundo, realizou a auditoria. Esta auditoria vai um passo além e avalia a eficácia operacional dos controles ao longo de um período especificado, geralmente de pelo menos três meses. Ela examina não apenas o design, mas também a implementação e o monitoramento contínuo dos controles. O relatório Tipo 2 fornece garantia de que os controles estiveram em vigor e funcionando eficazmente ao longo de um período de tempo.
Para obter uma cópia do nosso relatório SOC2 Tipo 2, entre em contato com [email protected].