Segurança e Conformidade na Gestão de Tempo

Conheça como protegemos nossos clientes e seus dados. Para mais informações sobre nossas práticas avançadas de segurança de dados, fique à vontade para nos contatar.

ícones de segurança, CCPA e LGPD

Certificações em Segurança e Conformidade 

Nossa segurança na coleta e armazenamento de dados é fortalecida por processos certificados, assegurando a confiabilidade das nossas operações

AICPA SOC 2

SOC 2

A Oitchau está em conformidade com SOC 2 Type 2, adotando padrões rigorosos para segurança, disponibilidade, processamento de informações, confidencialidade e privacidade.

ícone da LGPD lei geral de proteção de dados

LGPD

Cumprimos rigorosamente a LGPD (Lei Geral de Proteção de Dados), implementando práticas avançadas para a proteção de dados pessoais.

ícone da GDPR (General Data Protection Regulation)

GDPR

Atendemos as normas da GDPR (General Data Protection Regulation) o que assegura conformidade com os padrões internacionais de proteção de dados e privacidade.

Infraestrutura moderna e segura

Localização

Oitchau usa instalações de data center com certificação ISO 27001.

 

Nossos serviços são fornecidos a partir da infraestrutura GCP – Google Cloud Platform, onde hospedamos os dados nos Estados Unidos da América.

Certificação Google ISO 27001 Google Compliance Conformidade do Cloud: regulamentações e certificações
ícone de segurança

Segurança física

Nossos serviços de segurança física são fornecidos pelo Google, com instalações de data center com certificação ISO 27001 com acesso restrito, limitado e controlado.

ícone de segurança

Nossas soluções

Pontos de entrada

A Oitchau é uma empresa que oferece soluções em controle de ponto e timesheets que se adaptam a dispositivos móveis e com acesso Web em vários idiomas. Assim, nossos produtos foram desenvolvidos com o foco em oferecer um controle mais preciso de jornadas e tempo.

  1. Oitchau App (iOS e Android) é o principal ponto de entrada da UI para nossos clientes. Ele se conecta ao backend que está hospedado em clusters kubernets, configurado com HA multizona.
  2. Assim como as aplicações de navegadores web através das extensões:
  3. API Oitchau é o ponto de entrada para chamadas externas de API. Ela está hospedada na Google Cloud Platform.
ícone de computador e celular

Direitos de acesso e autenticação de usuário

Oitchau usa arquitetura de segurança baseada em funções e exige que os usuários do sistema sejam identificados e autenticados antes do uso de quaisquer recursos do sistema.
Oitchau fornece várias formas de autenticação de usuário:

  1. Contas de usuários locais: os usuários podem se inscrever com um endereço de e-mail válido e definir sua senha. Opcionalmente, os usuários podem ativar a autenticação de dois fatores.
  2. Contas existentes: os usuários também podem usar suas contas existentes do Github, Google e Microsoft para usar o sistema com a funcionalidade de logon único.

Logon único: também é possível usar SSO para logon único corporativo: Acesso por SSO: como ativar e configurar? – Oitchau.

ícone de senha
ícone de lista

Registros de auditoria interna

Internamente, os logs de auditoria dos componentes internos do sistema são coletados em um ambiente separado, com acesso limitado apenas a usuários autorizados. Dependendo do tipo de registro, os registros são retidos de 6 meses a vários anos.

Ambiente de desenvolvimento

Nossos ambientes de desenvolvimento e testes são hospedados separadamente, com controle de acesso separado, completamente isolados do ambiente de produção.

Temos testes de integração automáticos, que verificam erros e bugs do sistema antes de fazer alterações no ambiente de produção. Os testes de integração também são usados ​​para identificar problemas de segurança.

Gestão de mudanças

O processo de gestão de mudanças é documentado e auditado regularmente. Mediante alterações significativas, os clientes são informados antecipadamente por e-mail.

Temos vários estágios de revisão de código e garantia de qualidade antes que as alterações sejam implementadas na produção.

Gerenciamento de sessão

As sessões são gerenciadas no lado do servidor. O gerenciamento de sessões é implementado no código principal do aplicativo.

Backup automático

Realizamos backups automáticos e periódicos de registros de ponto e outras informações relevantes, minimizando o risco de perda de dados e garantindo continuidade dos negócios e conformidade com regulamentações de proteção de dados.

Confiabilidade

O aplicativo Oitchau é construído usando uma grande quantidade de tecnologias modernas que abrangem a continuidade dos negócios em múltiplas camadas.
Empregamos medidas rigorosas, como criptografia e controles de acesso, para proteger os dados pessoais e registros de ponto dos colaboradores, além de políticas internas e acordos de confidencialidade.

Segurança de dados

Processamento de PI

Oitchau processa e armazena um conjunto limitado de PI apenas para fornecer o processo de autenticação e autorização do usuário.
Nome / Sobrenome / Gênero / Foto / Senha / CEP / Endereço / Cidade / Estado / Dados / Biométricos / Endereço de e-mail / Endereço IP / Cookies / Dados de cartão de crédito / Dados de uso da plataforma (não considerados dados pessoais)

Tratamento de dados

A Oitchau, trata os dados pessoais de acordo com as melhores práticas de segurança da informação e, em especial, os armazena na nuvem da Google Cloud e seus demais serviços, sendo a mesma solução que muitas empresas de alto padrão utilizam. Ela aplica as mais avançadas técnicas de segurança da informação disponíveis no mercado, bem como backup automatizado dos servidores a cada 12h e certificado digital SSL 256 bits, sendo certificada e recertificada no atendimento a todos os requisitos de segurança determinados pela ISO 27018.

Backups de dados

Os backups são criados diariamente e os dados do backup são usados ​​automaticamente para testes e restauração de backup completo, por isso temos sempre a certeza de que em caso de desastre, será possível restaurar o sistema para um estado de funcionamento a partir do backup. Todos os procedimentos de backup são documentados e mantidos atualizados.

HTTPS e HSTS para conexões seguras

Os clientes acessam os serviços do aplicativo Oitchau pela Internet usando a funcionalidade SSL de seu navegador. A comunicação é criptografada usando algoritmos atualizados, como TLS1.2. Além disso, usamos HSTS para garantir que os usuários possam interagir com nosso aplicativo somente por HTTPS.

Informações coletadas

Realizamos a coleta de informações de indivíduos que estão registrados ou autorizados pelo cliente a acessar os ambientes da plataforma.

Assim, todos os dados pessoais poderão ser utilizados como meio probatório em casos de atos ilícitos ou contrários a esta Política de Privacidade ou qualquer outro documento legal disponibilizado pela Oitchau, bem como para o cumprimento de ordem judicial ou de requisição administrativa.

Informações detalhadas e atualizadas sobre os dados e tipos coletados podem ser recuperadas em nossa Política de Privacidade.

Acesso aos dados do cliente

O suporte ao cliente e um número limitado de membros de nossa equipe DevOps podem conseguir acesso aos dados do cliente para suporte e solução de problemas.

Término do contrato

Após a rescisão do contrato, todos os dados do cliente, exceto as partes exigidas por lei, serão excluídos dos nossos sistemas e bancos de dados. O processo é automático e documentado em nossos procedimentos internos.

Solicitações do titular dos dados

As solicitações são tratadas manualmente. Eles podem ser enviados por meio do bate-papo no aplicativo ou direcionados para [email protected].

Anonimização de dados

Exceto em casos específicos de solução de problemas avançados em que possamos precisar dos dados reais, todos os dados do cliente são anonimizados por meio de uma solução personalizada desenvolvida internamente.

Integridade de dados

A integridade dos dados é garantida por mecanismos integrados no núcleo do aplicativo e pelas camadas inferiores da infraestrutura, como verificações de integridade do banco de dados e integridade do sistema de arquivos. Processos regulares de snapshot e backup garantem que, em caso de corrupção de dados, os dados possam ser restaurados para sua versão original. Além disso, possuímos criptografia em repouso e backups com recuperação point-in-time .Asseguramos a precisão e atualização dos dados de ponto e registros dos colaboradores, prevenindo erros, duplicidades ou manipulações indevidas, garantindo dados confiáveis para tomadas de decisão e conformidade legal.

Segurança de pagamento

Usamos um processador de pagamento de terceiros certificado pela PCI DSS, o Stripe, para processar pagamentos feitos à Oitchau de forma segura. Não retemos nenhuma informação pessoal identificável ou qualquer informação financeira, como números de cartão de crédito, em nossos serviços.

Segurança de corporativa

Na Oitchau, compreendemos a importância crucial da segurança de dados, não apenas para nossa própria operação, mas também para a confiança e o bem-estar de nossos clientes. A integridade e a proteção de informações sensíveis estão no cerne de nossas políticas internas, refletindo nosso compromisso inabalável com a segurança e o compliance

Para assegurar que cada aspecto de nossas operações esteja alinhado com os mais altos padrões de segurança, implementamos uma série de políticas internas rigorosas. Estas políticas são desenhadas não apenas para atender, mas para exceder as expectativas regulatórias e dos clientes em relação à segurança de dados.

Equipe de segurança

A Oitchau possui uma equipe interna de Segurança que cobre todos os aspectos relacionados à Segurança da TI. A equipe de Segurança trabalha em estreita colaboração com o departamento Jurídico em questões de conformidade e proteção de dados.

Políticas de segurança

Nossas operações de segurança estão alinhadas com os princípios e processos recomendados pelas principais certificações em segurança. Temos vários processos em vigor e um extenso conjunto de políticas relacionadas à cibersegurança, que ajudam a monitorar riscos de segurança. Técnicas como gerenciamento de logs, gerenciamento de acesso e varreduras de vulnerabilidade, bem como educação e avaliação contínua de usuários. Todos os procedimentos são documentados e em boa conformidade pela certificação SOC 2 Tipo 2.

Desempenho e monitoramento

Dispomos de várias soluções internas em vigor usadas para monitorar nossos sistemas, disponibilidade de aplicativos e outros parâmetros críticos. Também temos uma solução que nos permite gerenciar e monitorar o desempenho de nosso aplicativo.

Gestão de vulnerabilidades

Existe um processo contínuo de gestão de vulnerabilidades e atualizações em vigor. Sistemas operacionais de servidores são regularmente corrigidos e atualizados, e temos vários processos internos em vigor que ajudam a identificar possíveis vulnerabilidades.

Gestão de riscos de terceiros

Além dos riscos internos, a Oitchau também avalia os possíveis riscos gerados por terceiros. Para isso, eles são identificados com o objetivo de tratar ou mitigar seus possíveis impactos.

Resposta a incidentes

A Oitchau possui uma política estabelecida de Resposta a Incidentes. Assim, definimos um método para incidentes de segurança da informação gestão, incluindo identificação eficaz, reparos, investigação, prevenção e acompanhamento ações.
Se identificarmos que os dados do cliente foram afetados como resultado de um incidente, informaremos os clientes afetados. As informações fornecidas e o tempo dependerão de cada caso. Todos os incidentes podem ser relatados para o suporte em [email protected] .

Segurança de recursos humanos

A Oitchau possui sólidos princípios de ética empresarial, que mantemos contratando e retendo pessoal de alta qualidade. Todos os funcionários conhecem suas responsabilidades e papéis em conexão com a segurança da informação e passam por treinamentos regulares de conscientização de segurança. Dessa forma, minimizamos o risco de erro humano, como roubo, fraude e uso indevido de ativos de informação.

Proteção contra malware

O equipamento dos funcionários é protegido por uma solução antivírus.

Gestão de riscos internos

O processo de gerenciamento de riscos da Oitchau envolve a identificação, avaliação e minimização de riscos por meio do monitoramento contínuo. Assim, procedimentos de avaliação de risco ocorrem integrados às atividades recorrentes normais e incluem atividades regulares de gestão e supervisão. Esta abordagem visa alinhar a estratégia da empresa com seus principais stakeholders, ajudando as unidades organizacionais a gerenciarem a incerteza de forma mais eficaz, minimizar ameaças ao negócio e maximizar suas oportunidades no ambiente de mercado em rápida mudança.
Para isso, a Oitchau identifica as fontes subjacentes de risco, mede o impacto, estabelece níveis aceitáveis de tolerância ao risco e implementa medidas apropriadas para monitorar e gerenciar.

Divulgação responsável

Como forma de aprimorar nossos processos, realizamos testes de vulnerabilidade e pentesters regularmente e podemos compartilhar com o cliente, mediante solicitação.

Preocupações sobre segurança e vulnerabilidades?

Você possui alguma preocupação de segurança que gostaria de discutir conosco, ou deseja relatar uma vulnerabilidade nos serviços da Oitchau? Fale com nosso time de suporte via chat.