Segurança e Conformidade

Centro de Segurança
e Conformidade

Saber mais

Na HiJiffy, compreendemos que a confiança é a base de todas as relações comerciais bem-sucedidas, pelo que estamos empenhados em proteger os dados com os mais elevados padrões de segurança, privacidade e conformidade.

Este Centro de Segurança e Conformidade oferece uma visão abrangente da nossa criptografia robusta, protocolos de segurança e adesão às normas internacionais, garantindo a proteção dos dados comerciais.

Aqui, encontrará insights sobre a forma como gerimos os riscos de segurança, as nossas práticas transparentes de tratamento de dados e os nossos esforços contínuos para nos adaptarmos e respondermos aos novos desafios na gestão de dados.

Idoneidade Verificada

Estado do Sistema

Controlos

Ver todos os controlos

Subprocessadores

Ver todos os subprocessadores

Amazon Web Services EMEA SARL

Usado para hospedar os nossos serviços.

Google Cloud EMEA Limited

Usado para hospedar os nossos serviços e utilizar os seus serviços de API (por exemplo, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Usado como fornecedor para o envio de mensagens SMS e WhatsApp.

MessageBird UK Limited

Usado para o serviço Pusher para operar o nosso widget de chat em tempo real.

FAQ

Ver todas as FAQs

Onde estão localizados os vossos servidores?

Irlanda, AWS

Quais configurações de privacidade/segurança estão disponíveis?

2FA, Política de senha forte, SSO (SAML), Lista branca de IP, Criptografia de Dados por Conta, Permissões de Usuário

Vocês encriptam os dados em repouso e em trânsito?

Sim, os dados em repouso são encriptados com chaves de encriptação AES-256. Para todo o tráfego da web enviado pela Internet pública, é utilizado o protocolo TLS v1.2 ou superior.

Controlos

Segurança da infraestrutura

Segurança organizacional

Segurança do produto

Procedimentos internos de segurança

Dados e Privacidade

Segurança da infraestrutura

CONTROL

STATUS

Autenticação única da base de dados de produção aplicada:

A empresa exige autenticação nos armazenamentos de dados de produção usando mecanismos de autenticação segura autorizados, como uma chave SSH única.

Acesso a chaves de encriptação restrito:

A empresa restringe o acesso privilegiado às chaves de encriptação a utilizadores autorizados com necessidade comercial.

Autenticação de conta única aplicada:

A empresa exige autenticação em sistemas e aplicações utilizando nome de utilizador e senha únicos ou chaves SSH (Secure Socket Shell) autorizadas.

Acesso à aplicação de produção restrito:

O acesso ao sistema é restrito apenas a acessos autorizados.

Procedimentos de controlo de acesso estabelecidos:

A política de controlo de acesso da empresa documenta os requisitos para as seguintes funções de controlo de acesso: adicionar novos utilizadores; modificar utilizadores; e/ou remover o acesso de um utilizador existente.

Acesso à base de dados de produção restrito:

A empresa restringe o acesso privilegiado a bases de dados a utilizadores autorizados com necessidade comercial.

Acesso ao firewall restrito:

A empresa restringe o acesso privilegiado ao firewall a utilizadores autorizados com necessidade comercial.

Acesso ao sistema operativo de produção restrito:

A empresa restringe o acesso privilegiado ao sistema operativo a utilizadores autorizados com necessidade comercial.

Acesso à rede de produção restrito:

A empresa restringe o acesso privilegiado à rede de produção a utilizadores autorizados com necessidade comercial.

Acesso revogado após a rescisão:

A empresa completa listas de verificação de rescisão para garantir que o acesso é revogado para funcionários dispensados dentro dos SLAs.

Autenticação única do sistema de rede aplicada:

A empresa exige autenticação na “rede de produção” usando nomes de utilizador e senhas únicos ou chaves SSH autorizadas.

MFA para acesso remoto aplicado:

Os sistemas de produção da empresa só podem ser acedidos remotamente por funcionários autorizados possuindo um método de autenticação multifatorial (MFA) válido.

Acesso remoto encriptado aplicado:

Os sistemas de produção da empresa só podem ser acedidos remotamente por funcionários autorizados através de uma conexão encriptada aprovada.

Segmentação de rede implementada:

A rede da empresa é segmentada para impedir o acesso não autorizado a dados de clientes.

Firewalls de rede utilizados:

A empresa utiliza firewalls e configura-os para prevenir o acesso não autorizado.

Padrões de reforço da rede e do sistema mantidos:

Os padrões de reforço da rede e do sistema da empresa são documentados, baseados nas melhores práticas do setor, e revisados pelo menos anualmente.

Segurança organizacional

CONTROL

STATUS

Tecnologia anti-malware utilizada:

A empresa implementa tecnologia anti-malware em ambientes comumente suscetíveis a ataques maliciosos, configurando-a para ser atualizada rotineiramente, registada e instalada em todos os sistemas relevantes.

Código de Conduta reconhecido pelos funcionários e aplicado:

A empresa exige que os funcionários reconheçam o código de conduta no momento da contratação. Os funcionários que violarem o código de conduta estão sujeitos a ações disciplinares de acordo com a política disciplinar.

Acordo de Confidencialidade reconhecido pelos contratantes:

A empresa exige que os contratantes assinem um acordo de confidencialidade no momento da contratação.

Acordo de Confidencialidade reconhecido pelos funcionários:

A empresa exige que os funcionários assinem um acordo de confidencialidade durante o processo de integração.

Avaliações de desempenho realizadas:

Os gestores da empresa são obrigados a realizar avaliações de desempenho dos subordinados diretos pelo menos uma vez por ano.

Política de senha aplicada:

A empresa exige que as senhas dos componentes do sistema em questão sejam configuradas de acordo com a política da empresa.

Formação de sensibilização para a segurança implementada:

A empresa exige que os colaboradores completem a formação de sensibilização para a segurança no prazo de trinta dias após a contratação e, a partir daí, pelo menos uma vez por ano.

Segurança do produto

CONTROL

STATUS

Autoavaliações de controle realizadas:

A empresa realiza autoavaliações de controle pelo menos uma vez por ano para garantir que os controles estão implementados e operando efetivamente. Ações corretivas são tomadas com base nas descobertas relevantes. Se a empresa se comprometeu com um SLA para uma descoberta, a ação corretiva é concluída dentro desse SLA.

Testes de penetração realizados:

Os testes de penetração da empresa são realizados pelo menos anualmente. Um plano de remediação é desenvolvido e as alterações são implementadas para corrigir vulnerabilidades de acordo com os SLAs.

Transmissão de dados encriptada:

A empresa utiliza protocolos de transmissão de dados seguros para encriptar dados confidenciais e sensíveis quando transmitidos por redes públicas.

Procedimentos de monitorização de vulnerabilidades e sistemas estabelecidos:

As políticas formais da empresa delineiam os requisitos para as seguintes funções relacionadas à TI / Engenharia: gestão de vulnerabilidades; monitorização de sistemas.

Procedimentos internos de segurança

CONTROL

STATUS

Planos de Continuidade e Recuperação de Desastres estabelecidos:

A empresa possui Planos de Continuidade de Negócios e Recuperação de Desastres que delineiam planos de comunicação para manter a continuidade da segurança da informação em caso de indisponibilidade de pessoal-chave.

Sistema de gestão de configuração estabelecido:

A empresa tem um procedimento de gestão de configuração em vigor para garantir que as configurações do sistema sejam implementadas consistentemente em todo o ambiente.

Procedimentos de gestão de mudanças aplicados:

A empresa exige que as alterações nos componentes de software e infraestrutura do serviço sejam autorizadas, formalmente documentadas, testadas, revisadas e aprovadas antes de serem implementadas no ambiente de produção.

Acesso à implementação de produção restrito:

A empresa restringe o acesso para migrar alterações para produção a pessoal autorizado.

Processos de backup estabelecidos:

A política de backup de dados da empresa documenta os requisitos para backup e recuperação de dados dos clientes.

Alterações no sistema comunicadas externamente:

A empresa notifica os clientes sobre alterações críticas no sistema que podem afetar o seu processamento.

Papéis e responsabilidades de gestão definidos:

A gestão da empresa estabeleceu papéis e responsabilidades definidos para supervisionar o design e a implementação dos controlos de segurança da informação.

Estrutura organizacional documentada:

A empresa mantém um organograma que descreve a estrutura organizacional e as linhas de reporte.

Políticas de segurança estabelecidas e revisadas:

As políticas e procedimentos de segurança da informação da empresa são documentados e revistos pelo menos anualmente.

Sistema de suporte disponível:

A empresa possui um sistema de suporte externo que permite aos usuários relatar informações do sistema sobre falhas, incidentes, preocupações e outras reclamações ao pessoal apropriado.

Alterações no sistema comunicadas:

A empresa comunica alterações no sistema aos usuários internos autorizados.

Revisões de acesso realizadas:

A empresa realiza revisões de acesso pelo menos trimestralmente para os componentes do sistema em questão para ajudar a garantir que o acesso seja restrito de forma adequada. As alterações necessárias são acompanhadas até a sua conclusão.

Solicitações de acesso exigidas:

A empresa garante que o acesso de usuários aos componentes do sistema em questão seja baseado na função e cargo ou exige um formulário de solicitação de acesso documentado e a aprovação do gestor antes que o acesso seja fornecido.

Políticas de resposta a incidentes estabelecidas:

A empresa possui políticas e procedimentos de resposta a incidentes de segurança e privacidade que são documentados e comunicados a usuários autorizados.

Procedimentos de gestão de incidentes seguidos:

Os incidentes de segurança e privacidade da empresa são registados, acompanhados, resolvidos e comunicados às partes afetadas ou relevantes pela gestão, de acordo com a política e procedimentos de resposta a incidentes de segurança da empresa.

Recursos de suporte externo disponíveis:

A empresa fornece diretrizes e recursos de suporte técnico relacionados às operações do sistema aos clientes.

Descrição do serviço comunicada:

A empresa fornece uma descrição dos seus produtos e serviços aos usuários internos e externos.

Acordos com terceiros estabelecidos:

A empresa possui acordos escritos com fornecedores e terceiros relacionados. Esses acordos incluem compromissos de confidencialidade e privacidade aplicáveis a essa entidade.

Dados e Privacidade

CONTROL

STATUS

Procedimentos de retenção de dados estabelecidos:

A empresa possui procedimentos formais de retenção e descarte para orientar a retenção e eliminação segura de dados da empresa e de clientes.

Política de classificação de dados estabelecida:

A empresa possui uma política de classificação de dados para ajudar a garantir que os dados confidenciais sejam devidamente protegidos e restritos a pessoal autorizado.

Subprocessadores

Amazon Web Services EMEA SARL

Usado para hospedar os nossos serviços.

Google Cloud EMEA Limited

Usado para hospedar os nossos serviços e utilizar os seus serviços de API (por exemplo, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Usado como fornecedor para o envio de mensagens SMS e WhatsApp.

MessageBird UK Limited

Usado para o serviço Pusher para operar o nosso widget de chat em tempo real.

Triptease Ltd

Usado para operar a funcionalidade de comparação em tempo real entre o preço do motor de reservas e os preços nas plataformas OTA mais populares.

DeepL

Traduções automáticas.

Open AI - Utilizado apenas para add-ons de IA

Capacidades de IA usadas para add-ons de IA.

Centro de Segurançae Conformidade

Idoneidade Verificada

Estado do Sistema

Controlos

Subprocessadores

FAQ

Onde estão localizados os vossos servidores?

Quais configurações de privacidade/segurança estão disponíveis?

Vocês encriptam os dados em repouso e em trânsito?

Centro de Segurança
e Conformidade