Centro de Segurança
e Conformidade
Na HiJiffy, compreendemos que a confiança é a base de todas as relações comerciais bem-sucedidas, pelo que estamos empenhados em proteger os dados com os mais elevados padrões de segurança, privacidade e conformidade.
Este Centro de Segurança e Conformidade oferece uma visão abrangente da nossa criptografia robusta, protocolos de segurança e adesão às normas internacionais, garantindo a proteção dos dados comerciais.
Aqui, encontrará insights sobre a forma como gerimos os riscos de segurança, as nossas práticas transparentes de tratamento de dados e os nossos esforços contínuos para nos adaptarmos e respondermos aos novos desafios na gestão de dados.
Controlos
- Autenticação única da base de dados de...
- Acesso a chaves de encriptação restrito
- Autenticação de conta única aplicada
- Tecnologia anti-malware utilizada
- Código de Conduta reconhecido pelos funcio...
- Acordo de Confidencialidade reconhecido...
- Autoavaliações de controle realizadas
- Testes de penetração realizados
- Transmissão de dados encriptada
- Planos de Continuidade e Recuperação de...
- Sistema de gestão de configuração estabelecido
- Procedimentos de gestão de mudanças...
- Procedimentos de retenção de dados estab...
- Política de classificação de dados estabelecida
Subprocessadores
Amazon Web Services EMEA SARL
Usado para hospedar os nossos serviços.
Google Cloud EMEA Limited
Usado para hospedar os nossos serviços e utilizar os seus serviços de API (por exemplo, Translate, LookerStudio, Google BigQuery).
Twilio, Inc.
Usado como fornecedor para o envio de mensagens SMS e WhatsApp.
MessageBird UK Limited
Usado para o serviço Pusher para operar o nosso widget de chat em tempo real.
Onde estão localizados os vossos servidores?
Irlanda, AWS
Quais configurações de privacidade/segurança estão disponíveis?
Política de senha forte, Lista branca de IP, Criptografia de Dados por Conta, Permissões de Usuário
Vocês encriptam os dados em repouso e em trânsito?
Sim, os dados em repouso são encriptados com chaves de encriptação AES-256. Para todo o tráfego da web enviado pela Internet pública, é utilizado o protocolo TLS v1.2 ou superior.
Controlos
Segurança da infraestrutura
CONTROL
STATUS
Autenticação única da base de dados de produção aplicada:
A empresa exige autenticação nos armazenamentos de dados de produção usando mecanismos de autenticação segura autorizados, como uma chave SSH única.
Acesso a chaves de encriptação restrito:
A empresa restringe o acesso privilegiado às chaves de encriptação a utilizadores autorizados com necessidade comercial.
Autenticação de conta única aplicada:
A empresa exige autenticação em sistemas e aplicações utilizando nome de utilizador e senha únicos ou chaves SSH (Secure Socket Shell) autorizadas.
Acesso à aplicação de produção restrito:
O acesso ao sistema é restrito apenas a acessos autorizados.
Procedimentos de controlo de acesso estabelecidos:
A política de controlo de acesso da empresa documenta os requisitos para as seguintes funções de controlo de acesso: adicionar novos utilizadores; modificar utilizadores; e/ou remover o acesso de um utilizador existente.
Acesso à base de dados de produção restrito:
A empresa restringe o acesso privilegiado a bases de dados a utilizadores autorizados com necessidade comercial.
Acesso ao firewall restrito:
A empresa restringe o acesso privilegiado ao firewall a utilizadores autorizados com necessidade comercial.
Acesso ao sistema operativo de produção restrito:
A empresa restringe o acesso privilegiado ao sistema operativo a utilizadores autorizados com necessidade comercial.
Acesso à rede de produção restrito:
A empresa restringe o acesso privilegiado à rede de produção a utilizadores autorizados com necessidade comercial.
Acesso revogado após a rescisão:
A empresa completa listas de verificação de rescisão para garantir que o acesso é revogado para funcionários dispensados dentro dos SLAs.
Autenticação única do sistema de rede aplicada:
A empresa exige autenticação na “rede de produção” usando nomes de utilizador e senhas únicos ou chaves SSH autorizadas.
MFA para acesso remoto aplicado:
Os sistemas de produção da empresa só podem ser acedidos remotamente por funcionários autorizados possuindo um método de autenticação multifatorial (MFA) válido.
Acesso remoto encriptado aplicado:
Os sistemas de produção da empresa só podem ser acedidos remotamente por funcionários autorizados através de uma conexão encriptada aprovada.
Segmentação de rede implementada:
A rede da empresa é segmentada para impedir o acesso não autorizado a dados de clientes.
Firewalls de rede utilizados:
A empresa utiliza firewalls e configura-os para prevenir o acesso não autorizado.
Padrões de reforço da rede e do sistema mantidos:
Os padrões de reforço da rede e do sistema da empresa são documentados, baseados nas melhores práticas do setor, e revisados pelo menos anualmente.
Segurança organizacional
CONTROL
STATUS
Tecnologia anti-malware utilizada:
A empresa implementa tecnologia anti-malware em ambientes comumente suscetíveis a ataques maliciosos, configurando-a para ser atualizada rotineiramente, registada e instalada em todos os sistemas relevantes.
Código de Conduta reconhecido pelos funcionários e aplicado:
A empresa exige que os funcionários reconheçam o código de conduta no momento da contratação. Os funcionários que violarem o código de conduta estão sujeitos a ações disciplinares de acordo com a política disciplinar.
Acordo de Confidencialidade reconhecido pelos contratantes:
A empresa exige que os contratantes assinem um acordo de confidencialidade no momento da contratação.
Acordo de Confidencialidade reconhecido pelos funcionários:
A empresa exige que os funcionários assinem um acordo de confidencialidade durante o processo de integração.
Avaliações de desempenho realizadas:
Os gestores da empresa são obrigados a realizar avaliações de desempenho dos subordinados diretos pelo menos uma vez por ano.
Política de senha aplicada:
A empresa exige que as senhas dos componentes do sistema em questão sejam configuradas de acordo com a política da empresa.
Formação de sensibilização para a segurança implementada:
A empresa exige que os colaboradores completem a formação de sensibilização para a segurança no prazo de trinta dias após a contratação e, a partir daí, pelo menos uma vez por ano.
Segurança do produto
CONTROL
STATUS
Autoavaliações de controle realizadas:
A empresa realiza autoavaliações de controle pelo menos uma vez por ano para garantir que os controles estão implementados e operando efetivamente. Ações corretivas são tomadas com base nas descobertas relevantes. Se a empresa se comprometeu com um SLA para uma descoberta, a ação corretiva é concluída dentro desse SLA.
Testes de penetração realizados:
Os testes de penetração da empresa são realizados pelo menos anualmente. Um plano de remediação é desenvolvido e as alterações são implementadas para corrigir vulnerabilidades de acordo com os SLAs.
Transmissão de dados encriptada:
A empresa utiliza protocolos de transmissão de dados seguros para encriptar dados confidenciais e sensíveis quando transmitidos por redes públicas.
Procedimentos de monitorização de vulnerabilidades e sistemas estabelecidos:
As políticas formais da empresa delineiam os requisitos para as seguintes funções relacionadas à TI / Engenharia: gestão de vulnerabilidades; monitorização de sistemas.
Procedimentos internos de segurança
CONTROL
STATUS
Planos de Continuidade e Recuperação de Desastres estabelecidos:
A empresa possui Planos de Continuidade de Negócios e Recuperação de Desastres que delineiam planos de comunicação para manter a continuidade da segurança da informação em caso de indisponibilidade de pessoal-chave.
Sistema de gestão de configuração estabelecido:
A empresa tem um procedimento de gestão de configuração em vigor para garantir que as configurações do sistema sejam implementadas consistentemente em todo o ambiente.
Procedimentos de gestão de mudanças aplicados:
A empresa exige que as alterações nos componentes de software e infraestrutura do serviço sejam autorizadas, formalmente documentadas, testadas, revisadas e aprovadas antes de serem implementadas no ambiente de produção.
Acesso à implementação de produção restrito:
A empresa restringe o acesso para migrar alterações para produção a pessoal autorizado.
Processos de backup estabelecidos:
A política de backup de dados da empresa documenta os requisitos para backup e recuperação de dados dos clientes.
Alterações no sistema comunicadas externamente:
A empresa notifica os clientes sobre alterações críticas no sistema que podem afetar o seu processamento.
Papéis e responsabilidades de gestão definidos:
A gestão da empresa estabeleceu papéis e responsabilidades definidos para supervisionar o design e a implementação dos controlos de segurança da informação.
Estrutura organizacional documentada:
A empresa mantém um organograma que descreve a estrutura organizacional e as linhas de reporte.
Políticas de segurança estabelecidas e revisadas:
As políticas e procedimentos de segurança da informação da empresa são documentados e revistos pelo menos anualmente.
Sistema de suporte disponível:
A empresa possui um sistema de suporte externo que permite aos usuários relatar informações do sistema sobre falhas, incidentes, preocupações e outras reclamações ao pessoal apropriado.
Alterações no sistema comunicadas:
A empresa comunica alterações no sistema aos usuários internos autorizados.
Revisões de acesso realizadas:
A empresa realiza revisões de acesso pelo menos trimestralmente para os componentes do sistema em questão para ajudar a garantir que o acesso seja restrito de forma adequada. As alterações necessárias são acompanhadas até a sua conclusão.
Solicitações de acesso exigidas:
A empresa garante que o acesso de usuários aos componentes do sistema em questão seja baseado na função e cargo ou exige um formulário de solicitação de acesso documentado e a aprovação do gestor antes que o acesso seja fornecido.
Políticas de resposta a incidentes estabelecidas:
A empresa possui políticas e procedimentos de resposta a incidentes de segurança e privacidade que são documentados e comunicados a usuários autorizados.
Procedimentos de gestão de incidentes seguidos:
Os incidentes de segurança e privacidade da empresa são registados, acompanhados, resolvidos e comunicados às partes afetadas ou relevantes pela gestão, de acordo com a política e procedimentos de resposta a incidentes de segurança da empresa.
Recursos de suporte externo disponíveis:
A empresa fornece diretrizes e recursos de suporte técnico relacionados às operações do sistema aos clientes.
Descrição do serviço comunicada:
A empresa fornece uma descrição dos seus produtos e serviços aos usuários internos e externos.
Acordos com terceiros estabelecidos:
A empresa possui acordos escritos com fornecedores e terceiros relacionados. Esses acordos incluem compromissos de confidencialidade e privacidade aplicáveis a essa entidade.
Dados e Privacidade
CONTROL
STATUS
Procedimentos de retenção de dados estabelecidos:
A empresa possui procedimentos formais de retenção e descarte para orientar a retenção e eliminação segura de dados da empresa e de clientes.
Política de classificação de dados estabelecida:
A empresa possui uma política de classificação de dados para ajudar a garantir que os dados confidenciais sejam devidamente protegidos e restritos a pessoal autorizado.
Subprocessadores
Amazon Web Services EMEA SARL
Usado para hospedar os nossos serviços.
Google Cloud EMEA Limited
Usado para hospedar os nossos serviços e utilizar os seus serviços de API (por exemplo, Translate, LookerStudio, Google BigQuery).
Twilio, Inc.
Usado como fornecedor para o envio de mensagens SMS e WhatsApp.
MessageBird UK Limited
Usado para o serviço Pusher para operar o nosso widget de chat em tempo real.
Triptease Ltd
Usado para operar a funcionalidade de comparação em tempo real entre o preço do motor de reservas e os preços nas plataformas OTA mais populares.
DeepL
Traduções automáticas.
Open AI - Utilizado apenas para add-ons de IA
Capacidades de IA usadas para add-ons de IA.
FAQ
Onde estão localizados os vossos servidores?
Irlanda, AWS
Quais configurações de privacidade/segurança estão disponíveis?
Política de senha forte, Lista branca de IP, Criptografia de Dados por Conta, Permissões de Usuário
Vocês encriptam os dados em repouso e em trânsito?
Sim, os dados em repouso são encriptados com chaves de encriptação AES-256. Para todo o tráfego da web enviado pela Internet pública, é utilizado o protocolo TLS v1.2 ou superior.