Centro de Confiança

Estabelecemos políticas de segurança da informação rígidas e qualificadas pela indústria em todos os procedimentos e estratégias de negócios.

As políticas de segurança da informação da IFS fazem parte do nosso Sistema global de gestão de segurança da informação (ISMS) que é mantido de acordo com várias estruturas de segurança reconhecidas internacionalmente, incluindo a ISO 27001.

Como usamos práticas de segurança detalhadas e confiáveis para gerenciar e proteger suas informações.

Na IFS, seguimos as práticas recomendadas da indústria, adotando uma abordagem baseada em riscos e dando ênfase especial a uma série de práticas confiáveis.

Centro de Operações de Segurança (SOC)
Investimos continuamente na nossa segurança de rede e da plataforma, coordenada pelo Centro de Operações de Segurança (SOC). Ao usarmos uma combinação de ferramentas convencionais baseadas em inteligência artificial de nível internacional e testes regulares de penetração, asseguramos que nossas operações comerciais sejam monitoradas e protegidas o tempo todo.

Controle de acesso
Nossa abordagem ao controle de acesso garante que nossos usuários, parceiros e fornecedores tenham apenas o nível necessário de acesso exigido para desempenhar suas funções com eficiência e eficácia.

O logon único (SSO) e a autenticação multifator (MFA) também estão ativos em todo o nosso território. A criptografia é usada em trânsito e em repouso para assegurar os níveis mais elevados de segurança dos dados, sempre que informações forem compartilhadas.

Continuidade das operações
Por meio do planejamento detalhado da continuidade das operações, estabelecemos uma sólida política de recuperação e backup que ocupa o centro do nosso plano de recuperação de desastres. Implementamos processos e sistemas resilientes capazes de nos apoiar no caso de um evento na continuidade das operações em uma ou mais de nossas unidades operacionais.

Nossos Colaboradores
Executamos vastas verificações pré-contratação e rigoroso treinamento de indução, acompanhado de um programa de treinamento de segurança anual contínuo, para ajudar a manter um ambiente de trabalho físico e digital seguro. Seguimos processos formais de integração e desligamento de funcionários para garantir que o acesso aos nossos domínios de TI seja estritamente controlado o tempo todo e que a confidencialidade da informação seja mantida até o pós-emprego.

Asseguramos que todos os fornecedores terceirizados que apoiam a entrega de nossos serviços aplicam os mesmos padrões elevados que estabelecemos.

Às vezes, pode ser necessário que terceiros acessem informações confidenciais e sensíveis. Seja informação que pertence à IFS ou aos clientes da IFS, todos os terceirizados com acesso são obrigados a seguir nossas políticas, padrões e práticas de segurança da informação. Nossos processos de Gestão de Parceiros e Gestão de Fornecedores asseguram que os serviços e elementos de entrega fornecidos por nosso ecossistema de terceirizados cumpram os mesmos padrões elevados que estabelecemos para nós.

O IFS Lifecycle Experience (LE) é nosso conjunto de processos que abrange todo o ciclo de vida de implementação e produção. Da descoberta inicial e exploração de soluções até a otimização continuada da solução, anos após entrar em operação, a segurança é uma parte fundamental dos nossos processos e inclui segregação do ambiente, gestão de mudança formal, liberação e distribuição de software rigorosamente controladas, revestidas com a proteção de dados e o controle de acesso estrito.

O IFS Lifecycle Experience fornece os controles de segurança acima, independentemente se o cliente optou por hospedar a solução ele mesmo ou decidiu aproveitar o nosso serviço IFS Cloud.

Usando práticas de codificação seguras e diretrizes reconhecidas globalmente, como OWASP Top 10, garantimos que o risco de vulnerabilidade do produto seja minimizado.

Para validar ainda mais a segurança do produto durante todo o ciclo de vida do desenvolvimento, empregamos testes de penetração conduzidos por especialistas externos. Qualquer vulnerabilidade em potencial é remediada antes do lançamento do produto.

A segurança não é uma atividade “de dose única”, e continuamos a testar nossos produtos depois que eles são lançados para proteger contra as crescentes ameaças à segurança e quaisquer vulnerabilidades associadas. Isso inclui verificar a existência de vulnerabilidades em potencial, não apenas nos produtos desenvolvidos pela IFS, mas também em produtos de terceiros nos quais se baseia o produto da IFS.

Fornecemos patches de segurança para quaisquer vulnerabilidades identificadas, descobertas em nossos produtos, além de orientação sobre patches necessários de produtos de terceiros não fornecidos pela IFS. Os clientes do serviço IFS Cloud se beneficiam desses patches aplicados pela IFS, como parte do serviço.

Ao escolherem nosso serviço IFS Cloud, os clientes têm a vantagem de saber que as práticas recomendadas de segurança na nuvem estão sendo implementadas para eles, incluindo:

• Arquitetura de locatário único, totalmente segregada e segura para garantir a separação entre os ambientes do cliente.
• Criptografia de dados em repouso e em trânsito.
• Proteção contra vírus e malware.
• Serviços de monitoramento, detecção e correção sem interrupção usando conjuntos de ferramentas avançadas de nível empresarial, operados por profissionais experientes.
• Proteção e detecção DDoS no nível da plataforma.
• Backups em vários níveis com armazenamento de backup separado geograficamente e recurso de restauração multinível.
• Recurso de recuperação de desastres em um local geograficamente separado.

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Os clientes com requisitos de residência de dados podem selecionar entre várias geografias compatíveis. Isso determina a localização física na qual o serviço será hospedado e, por implicação, o local físico dentro do qual os dados serão armazenados e processados.

Para garantir que mantemos um conjunto robusto de políticas, práticas e procedimentos, complementamos a especialização em privacidade de dados de nossa equipe interna com a perspectiva externa de especialistas em proteção de dados externos. Isso também separa a primeira e a segunda linha de defesa eficientemente, de acordo com as práticas recomendadas.

Integramos segurança a cada produto, não importa como ele é hospedado. Tudo isso começa com nossos processos seguros de desenvolvimento do produto, que asseguram que nossos produtos são criados com a segurança em mente e configurados para fornecer segurança por padrão.

Na IFS, monitoramos diligentemente o desempenho do fornecedor, garantindo que todos os requisitos contratuais, de qualidade e de segurança da informação sejam cumpridos. Isso inclui acordos que temos em vigor para auditar as práticas e os processos de segurança do fornecedor. Por meio do nosso programa de privacidade global, garantimos transferências de dados em conformidade do EEA para subprocessadores (incluindo Afiliadas da IFS) em outros países. Implementamos uma série de cláusulas contratuais padrão e outros mecanismos legais de transferência com cada subprocessador e asseguramos que medidas organizacionais e técnicas adequadas estejam em vigor para proteger os dados dos nossos clientes.

Fornecemos um Adendo de processamento de dados pré-assinado que abrange o processamento pela IFS de dados controlados pelo cliente de acordo com os regulamentos de privacidade de dados. Isso inclui uma descrição de todo o processamento feito pela IFS enquanto executa os serviços definidos nos acordos com nossos clientes. Os regulamentos de privacidade de dados abordados incluem o Regulamento Geral sobre a Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Também fornecemos um adendo somente para cláusulas contratuais padrão.