O Qntrl adere aos padrões de segurança da informação?
Temos um Sistema de Gerenciamento de Segurança de Informações (ISMS) em vigor a partir de padrões ISO, que leva em consideração nossos objetivos de segurança e os riscos e as atenuações relacionados a todas as partes interessadas. Obtivemos as certificações ISO 27001, ISO27017 & ISO27018 para demonstrar nossa conformidade com os padrões
Onde os meus dados serão armazenados? Posso escolher onde minha conta e meus dados estarão localizados?
O data center onde seus dados são armazenados é selecionado automaticamente com base no país escolhido por você durante a inscrição no Qntrl. As informações sobre qual data center foi selecionado são exibidas logo abaixo da lista de seleção País no formulário de inscrição.
A qualquer instante, você pode saber em qual data center seus dados residem olhando o URL no navegador quando você estiver conectado ao Qntrl e usando nossos aplicativos, ou clicando aqui.
Se o URL estiver no formato qntrl.zoho.com, seus dados serão armazenados no DC dos EUA (Estados Unidos).
Se o URL estiver no formato qntrl.zoho.eu, seus dados serão armazenados no DC da Europa (UE).
Se o URL estiver no formato qntrl.zoho.in, seus dados serão armazenados no DC na Índia (IN).
Se o URL estiver no formato qntrl.zoho.com.au, seus dados serão armazenados no DC na Austrália (AU).
Os funcionários do Qntrl terão acesso aos nossos dados e a quais dados eles terão acesso?
O acesso aos seus dados é restrito a um pequeno número de funcionários, de acordo com a necessidade, para fornecer suporte técnico. Esse acesso é revisado periodicamente.
Os dados armazenados no Qntrl são criptografados?
Criptografamos os dados do cliente em trânsito e em repouso. Os dados em repouso são criptografados usando o padrão do setor AES-256. Todos os dados do cliente são criptografados em trânsito por redes públicas usando TLS (Transport Layer Security) 1.2/1.3 com PFS (Perfect Forward Secrecy) para protegê-los contra divulgação ou modificação não autorizadas. Para saber mais sobre criptografia no Qntrl, clique aqui.
Como as chaves de criptografia são gerenciadas, e os clientes podem carregar suas próprias chaves?
Possuímos e mantemos as chaves usando nosso Serviço de gerenciamento de chaves (KMS) interno. Atualmente, não há provisão para que os clientes carreguem suas próprias chaves.
Como as senhas do Qntrl são armazenadas?
A senha que você usa para acessar o Qntrl é armazenada em um esquema de criptografia não reversível. Usamos o algoritmo de hash bcrypt com salt por usuário, desse modo, mesmo que nosso banco de dados de login fosse roubado, seria extremamente caro fazer engenharia reversa das senhas.
Como o Qntrl se protege contra ataques DDoS?
Usamos tecnologias de provedores de serviços bem estabelecidos e confiáveis, que oferecem vários recursos de atenuação de DDoS para evitar interrupções causadas por esses ataques.
O Qntrl conduz testes de penetração e leituras de código?
Sim, realizamos regularmente esforços de teste automatizado e manual de penetração. Usamos uma combinação de ferramentas de digitalização certificadas de terceiros e ferramentas internas para códigos de leitura.
Encontrei uma vulnerabilidade em um de seus produtos. Como faço para relatar?
Se você descobrir uma vulnerabilidade em um de nossos produtos, informe-nos para que possamos corrigi-la o mais rápido possível. Também temos uma política de divulgação responsável e um programa de recompensa de bugs. Para obter mais detalhes, acesse https://bugbounty.zohocorp.com/
O Qntrl tem um programa de resposta a incidentes?
Temos uma Equipe de resposta a incidentes dedicada, que é responsável pelas atividades de detecção, avaliação, perícia, contenção e recuperação de incidentes. Nos casos em que somos controladores de dados e um incidente leva a uma violação de dados, os clientes afetados serão notificados dentro de 72 horas após tomarmos conhecimento disso. Nos casos em que somos processadores de dados e um incidente leva a uma violação de dados, os respectivos controladores serão informados sem atraso indevido.
Para incidentes em geral, notificaremos os usuários por meio de blogs, fóruns e mídias sociais. No caso de incidentes específicos de um usuário individual ou de uma organização, notificaremos a parte interessada por e-mail (usando seu endereço principal). O relatório completo será fornecido aos clientes mediante solicitação dentro de 5 a 7 dias úteis.
Quais são as responsabilidades do Qntrl no caso de um incidente de segurança?
Notificamos os incidentes que se aplicam a você, juntamente com ações adequadas que talvez você precise tomar. Rastreamos e fechamos os incidentes com as ações corretivas apropriadas. Sempre que aplicável, fornecemos as evidências necessárias sobre incidentes que se aplicam a você. A análise de causa raiz será fornecida mediante solicitação.
O Qntrl está em conformidade com o PCI DSS?
O Qntrl nunca transmite ou armazena os dados do cartão de crédito. O serviço de Pagamentos que os clientes usam para comprar assinatura do Qntrl também é compatível com PCI.
Como um cliente Qntrl, quais são as opções de segurança adicionais que tenho para proteger meus dados?
Recursos de segurança adicionais que podem ser disponibilizados pelos clientes:
Autenticação multifator
Política de senha configurável
Restrições de IP
Controle de acesso baseado em função
Criptografia para campos personalizados
Auditoria de atividade da conta
Se um cliente descontinuar o serviço do Qntrl, por quanto tempo os dados são mantidos?
Mantemos os dados em sua conta desde que você escolha usar o Qntrl. Assim que você encerrar sua conta de usuário do Qntrl, seus dados serão excluídos do banco de dados ativo na próxima limpeza que ocorre uma vez a cada 6 meses. Os dados eliminados do banco de dados ativo serão excluídos dos backups após três meses.
Qual é o plano de continuidade dos negócios e recuperação de desastres do Qntrl?
Temos um plano de continuidade dos negócios para nossas principais operações, como suporte e gerenciamento de infraestrutura. Para fins de redundância, os dados no data center (DC) primário são replicados no secundário. Em caso de falha do DC primário, o DC secundário assume o controle, e as operações são realizadas facilmente com o mínimo ou nenhuma perda de tempo.
Qual é a sua política de backup de dados?
Fazemos backups completos uma vez por semana e backups incrementais todos os dias. Os dados de backup em um DC são armazenados no mesmo local e criptografados em repouso, assim como os dados originais. Além disso, restauramos e validamos backups toda semana. Um tempo de retenção de 3 meses é aplicável a todos os dados de backup. No caso de uma solicitação de um cliente específico, vamos restaurar seus dados do backup e disponibilizá-los para ele.
Quais controles estão em vigor ao acessar os dados do cliente?
Empregamos controles de acesso técnico e políticas internas para proibir que os funcionários acessem arbitrariamente os dados do usuário. Aderimos aos princípios de privilégios mínimos e permissões baseadas em função para diminuir o risco de exposição dos dados. O acesso aos ambientes de produção é facilitado por meio de uma rede separada com regras mais rígidas e dispositivos reforçados. O controle de acesso é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por senha.
Qual é o seu compromisso de SLA de disponibilidade?
Nosso compromisso de SLA de disponibilidade é de 99,9% de tempo de atividade mensal. Para isso, temos redundâncias implementadas em vários níveis, desde a infraestrutura até o ISP. Os dados do data center primário são replicados no secundário e uma versão somente leitura do Qntrl é sempre atendida a partir do data center secundário.
Qual é o seu processo de avaliação de riscos? Com que frequência a avaliação de riscos é realizada?
Temos uma política e um procedimento de avaliação de riscos para identificar, analisar e minimizar os riscos por meio da implementação de controles apropriados. Realizamos uma avaliação de risco para todas as mudanças importantes que ocorrem em nosso ambiente. Os riscos gerais são revisados e atualizados uma vez por ano.
Qual é a política de verificação de antecedentes de seus funcionários?
Cada funcionário é submetido a um processo de verificação de antecedentes. Contratamos agências externas excelentes para realizar essa verificação em nosso nome. Fazemos isso para consultar registros criminais, registros de empregos anteriores, se houver, e formação acadêmica. Até que essa verificação seja realizada, não serão atribuídas ao funcionário tarefas que possam representar riscos para os usuários.
Quais certificações o Qntrl possui para demonstrar sua conformidade com os padrões?
Temos certificações ISO 27001, ISO 27017 e ISO 27018. E o Qntrl também está em conformidade com SOC 2 Tipo II em segurança, confidencialidade, integridade de processamento, disponibilidade e privacidade. Essas auditorias ISO e SOC são realizadas anualmente e abrangem todos os controles importantes e essenciais.
Você compartilhará meus dados para fins de aplicação da lei?
Sempre damos o máximo de importância à privacidade do cliente. Quando recebemos solicitações de autoridades de aplicação da lei, revisamos essas solicitações para ver se o processo legal aplicável é seguido para obter uma ordem válida e obrigatória. Desaprovamos as solicitações de excesso ou outras solicitações inadequadas. A menos que proibido por lei, notificamos os clientes antes de divulgar os dados deles para que possam procurar proteção contra divulgação.
