Segurança da Informação

Somos uma empresa certificada ISO/IEC 27001

Fomos certificados na ISO/IEC 27001 pela Fundação Vanzollini.

Essa certificação comprova que adotamos as melhores práticas internacionais de segurança da informação, demonstra o compromisso dos executivos da organização para com a segurança da informação e reforça que Blip tem um elevado compromisso com a proteção de dados e informações, o que representa um alto nível de conforto para nossos clientes, parceiros, fornecedores e partes interessadas que interagem com a Organização. 

Controle de Acesso

Controle de acesso é um dos mecanismos utilizados para proteger física e logicamente o ambiente e os ativos de TI. O acesso à informação, equipamentos, documentos e áreas seguras são devidamente controlados para que somente pessoas autorizadas tenham acesso.

Conscientização / Treinamento

Todos os funcionários participam de treinamentos e programas de conscientização sobre segurança da informação periodicamente, desde o onboarding e em todo o ciclo de vida do funcionário em Blip. A equipe de Segurança da Informação fornece atualizações adicionais de conscientização sobre segurança por postagens nos canais internos de comunicação e em apresentações durante eventos internos.

Gestão de Incidentes de Segurança da Informação

Blip possui normas e procedimentos sobre gerenciamento e resposta a incidentes, onde constam as diretrizes e os procedimentos a serem adotados em caso de incidentes de Segurança da Informação e Cibernética.

Essas diretrizes devem ser de conhecimento dos colaboradores, fornecedores e terceiros envolvidos para que notifiquem sobre a ocorrência de incidentes, a fim de que haja o tratamento em tempo hábil.

Gestão da Continuidade de Negócio

Blip possui procedimentos estabelecidos para a recuperação de serviços e processos críticos de forma a assegurar que suas atividades consideradas essenciais continuem a ser executadas e que os serviços críticos fiquem disponíveis, em situações de crise ou indisponibilidades não programadas.

Políticas e Normas

Blip desenvolveu um conjunto de políticas de segurança e normas que são compartilhadas e disponibilizadas para todos os funcionários e contratantes com acesso aos ativos de informações da Organização.

Segurança dos Dados

Protegemos os dados usando um conjunto de medidas de segurança técnicas, físicas e administrativas, destinadas a impedir o acesso e tratamento não autorizado aos nossos sistemas e dados, com controles de acesso baseados no princípio de menor privilégio. Todos os nossos colaboradores são treinados para tratar os dados de forma apropriada, em acordo com as diretrizes da Política de Segurança da Informação.

Segurança de Fornecedor

Blip minimiza os riscos associados aos fornecedores, realizando análises no processo de contratação e, anualmente, os fornecedores considerados críticos (que acessam nossos sistemas ou dados) são reavaliados.

INFORMATIVO PÚBLICO DE SEGURANÇA DA INFORMAÇÃO

Segurança no SDLC

1. Análise Estática de Código (SAST)
   O pipeline do SDLC é avaliado por solução de SAST (Static Application Security Testing) para identificar eventuais vulnerabilidades no código-fonte do produto e arquivos de configuração.
2. Análise SCA – Software Composition Analysis
   É realizada a verificação de vulnerabilidades em componentes de software, frameworks e bibliotecas.
3. Análise e Aprovação de Pull Request
   As equipes de desenvolvimento ao finalizar codificações, sejam de novas implementações ou correção de defeitos de software, fazem o commit do código e enviam pull requests, que são avaliados por partes competentes.
4. Guarda de código-fonte
   Os códigos-fonte são armazenados em repositório privado, com acesso controlado.
5. Segregação de ambientes
   Existe a separação dos ambientes de desenvolvimento, homologação e produção, cada um com suas respectivas permissões de acesso. O ambiente produtivo segue o conceito de privilégio mínimo.
6. Criptografia de dados em trânsito
   Os dados em trânsito em toda a plataforma utilizam por padrão o protocolo TLS 1.2 (sem cifras fracas) e TLS 1.3, em sua comunicação de dados, inclusive a comunicação de dados com os Sistemas Gerenciadores de Banco de Dados (SGBD).
7. Gestão de segredos
   Informações sensíveis de aplicativos, tais como chaves de API e senhas de bancos de dados, são armazenadas em cofre de senhas com registros de atividade e acesso controlado. 
8. Troca de arquivos no BLiP
   As mídias que trafegam no BLiP são submetidas à análise de antimalware (antes do armazenamento e após o armazenamento). Alguns tipos de arquivos potencialmente maliciosos, como executáveis e bibliotecas também são bloqueados.
9. Execução de pentest
   A Blip realiza periodicamente a contratação de empresa terceirizada para execução independente de Teste de Intrusão (Pentest) no produto BLiP.  A Blip fornece aos clientes, partes interessadas e competentes, quando devidamente aplicável e após a assinatura do NDA (Non Disclosure Agreement) entre as partes, uma carta emitida para evidência da realização das avaliações de segurança (análise de vulnerabilidade e teste de intrusão (Pentest), ou seja, uma Carta de Evidência. Os pormenores do Teste de Intrusão (Pentest) não são divulgados, por se tratar de informação classificada como Confidencial.

Segurança em nuvem

1. Privilégio mínimo
   Os acessos ao ambiente em nuvem exigem por padrão, no mínimo, dois fatores de autenticação (2FA). O ambiente de produção possui acesso restrito. Somente o pessoal autorizado, considerando o privilégio mínimo e necessidade de saber, acessam dados e ativos, ressalvado que dados de auditorias, como registros de acesso, permanecem restritos às partes competentes.
2. Registros de Ações e Atividades
   São mantidos registros de ações e atividades como modificação de configurações, criação e exclusão de ativos no ambiente de produção para permitir auditorias e investigações sempre que necessário.
3. Monitoramento
   Existe monitoramento de ações por meio de dashboard onde são inspecionadas o compliance do ambiente com relação às políticas de segurança em vigor. As políticas são aplicadas por enforcement sempre que possível.
4. Certificações de segurança
   Os ambientes dos provedores de serviço de computação em nuvem utilizados pela Blip atendem aos mais rígidos requisitos de segurança, os quais são auditados e certificados por entidades externas e de terceira parte.

Segurança dos Dados

1. Criptografia
   O armazenamento e a comunicação de dados com os bancos de dados relacionais estão todos criptografados em repouso e em trânsito.
2. Registros de acesso e registro de modificações
   São mantidos registros de acesso e alterações de registros para fins de auditoria, quando necessário, de todos os bancos de dados relacionais de produção. 
3. Backups
   Os backups de bancos de dados relacionais de produção são realizados com periodicidade definida e auditados. 
4. Localização dos Dados
   Os bancos de dados e arquivos de mídia são armazenados em nuvem em data centers localizados no Brasil.

Segurança das estações de trabalho

1. Antivírus
   Todos os computadores fornecidos para os funcionários de Blip possuem solução avançada de Antimalware e EDR.
2. Utilização de software
   Aos colaboradores da Blip não é permitida a utilização de software sem autorização prévia das partes competentes.

Canal WhatsApp

1. Comunicação BLiP e WhatsApp
   Cada número do WhatsApp representa um container na infraestrutura do BLiP, cada um desses containers possui uma criptografia própria, tal qual um aparelho de celular com um número ativado.
   Dessa forma, Blip não possui acesso a nenhum conteúdo de texto ou de mídia, armazenados em cada container ativo no canal WhatsApp.

Redes

1. Firewall
   As redes da operação em nuvem do ambiente da Blip possuem firewalls nas bordas que podem executar o bloqueio em razão do risco que representam à plataforma.
2. Reputação de IPs
   Análise de reputação de IPs são realizadas em cada requisição recebida pela plataforma, de maneira que uma requisição poderá ser bloqueada em razão dessa condição.
3. Segregação das redes
   As redes de produção, homologação e testes são segregadas e não possuem comunicação entre si.

Iniciativas by-design

1. Segurança by-design
   Durante as fases do SDLC (Ciclo de Desenvolvimento de Software) a equipe de Segurança da Informação participa como consultores, buscando adequar o SDLC a frameworks e padrões de segurança, tais como o OWASP. 
2. Privacidade by-design
   Durante a fase de desenvolvimento de produtos, sistemas ou serviços,  a equipe de Privacidade de Dados avalia  os riscos que as atividades podem representar para os titulares de dados e as possíveis medidas a serem adotadas para garantir os princípios de proteção de dados e os direitos dos titulares dos dados. Os times possuem autonomia para requisitar avaliações de privacidade sempre que necessário.

Conscientização

1. Processo de onboarding
   Novos funcionários são treinados pelo time de Segurança da Informação antes de iniciarem suas atividades. Nessa oportunidade, as diretrizes  da Política de Segurança da Informação (PSI) são apresentadas.
2. Treinamentos
   Os times recebem rotineiramente do time de Segurança da Informação treinamentos a respeito de temas ligados à segurança e privacidade em linha com a execução de suas atividades.
3. Comunicação
   O time de Segurança da Informação utiliza os canais de comunicação interna da Blip para manter todos os colaboradores informados sobre os temas relacionados à segurança, buscando a conscientização e que se mantenham atualizados a respeito da Política da Segurança da Informação (PSI).
4. Comitê de Segurança da Informação
   Existe um comitê de Segurança da Informação com integrantes de diversos setores e responsabilidades da Blip, demonstrando comprometimento em relação ao sistema de gestão da segurança da informação.