Política de segurança
Visão geral
Na VoIPstudio consideramos os dados dos nossos clientes como um bem do cliente que nos foi confiado e que requer que a VoIPstudio trate cada elemento de dados com um elevado nível de segurança. Consideramos cada elemento dos dados dos nossos clientes igualmente privado e concebemos o nosso envelope de segurança com isso em mente.
Segurança interna e de recursos humanos
Todos os nossos funcionários aderem a processos de segurança e testes de auditoria definidos pela empresa para garantir a integridade da conta. O nosso site é protegido pela McAfee. Uma política de privacidade abrangente também está disponível em nosso site para que todos possam ler. Realizamos inspeções mensais de segurança e uma auditoria de infra-estrutura para conformidade com a PCI, que é realizada por uma parte externa. Realizamos continuamente testes de vulnerabilidade contra ameaças e vetores de ataque para detectar quaisquer vulnerabilidades de segurança nos processos de pagamento, para evitar resgates e outras ameaças.
Além disso, o VoIPstudio é certificado pelo Ombudsman do Governo do Reino Unido, sob o Gabinete do Comissário de Informação. Também vai satisfazer os requisitos futuros do Regulamento Geral de Protecção de Dados da UE (GDPR), o que significa que os nossos clientes podem ter a certeza de que adoptamos e cumprimos não só os requisitos actuais, mas também os regulamentos à medida que estes evoluem. O VoIPstudio tem as seguintes normas e procedimentos de segurança e monitorização de conformidade:
Padrões e procedimentos de segurança organizacional definidos e documentados.
Todos os empregados e contratados devem assinar um acordo de confidencialidade.
Verificações de antecedentes para todos os empregados que têm acesso aos dados dos clientes.
Acesso restrito somente aos funcionários que precisam gerir dados de clientes ou gerir servidores que hospedam dados de clientes.
Processo para a remoção atempada do acesso aos dados dos clientes de qualquer empregado ou subcontratado que deixe a empresa ou que já não necessite de acesso. O acesso é revogado dentro de 24 horas após a saída ou reatribuição do empregado ou contratado.
Formação contínua do staff sobre todas as políticas de segurança interna e sensibilização geral para a segurança.
Centros de dados, encriptação e alojamento
Em termos de segurança, as nossas chamadas são encaminhadas através dos nossos três centros de dados - Reino Unido, EUA e Japão. Todos os centros de dados têm a certificação ISO 27001, o que garante os mais elevados padrões de segurança de dados. Todos os nossos dispositivos de armazenamento físico empregam os mais altos padrões de criptografia de dados, usando AES-256 para criptografar os dados. Também usamos sinalização SIP criptografada por TLS e ZRTP para fluxos de voz criptografados.* A segurança física dos centros de dados que hospedam os servidores que contêm dados de clientes atende aos seguintes requisitos:
Os quartos são protegidos por pelo menos dois mecanismos de acesso (por exemplo, cartão de acesso ao edifício, man traps, guarda de segurança e cartões de entrada da sala de computadores).
Somente funcionários autorizados têm acesso físico aos servidores que hospedam os dados dos clientes.
O fornecedor mantém a segurança 24 horas por dia, 7 dias por semana, no local.
Todos os backups dos dados dos clientes são armazenados no local com acesso controlado ou em um local seguro controlado pelo fornecedor ou em um local comercial fora do local.
O local suporta níveis adicionais de proteção, tais como energia ininterrupta e supressão de fogo.
Os componentes de armazenamento defeituosos no centro de dados são submetidos a um procedimento de "apagamento" ou "limpeza" aprovado pelo MoD (se funcionalmente possível) antes da destruição.
Controlos técnicos
O VoIPstudio contém sofisticados controles técnicos que fornecem proteção à sua rede, sistemas e aplicações.
O VoIPstudio utiliza um provedor de hospedagem de primeira linha que protege os dados dos clientes contra ameaças externas.
O VoIPstudio mantém a responsabilidade individual pelos funcionários e contratados que acedem aos sistemas que hospedam os dados dos clientes. O VoIPstudio tem um sistema documentado de gestão de conta de utilizador/senha para estes empregados e contratados.
O VoIPstudio assegura que o acesso individual aos dados dos clientes é controlado (ou seja, é necessário um nome de usuário e senha separados para cada administrador individual). Os dados dos clientes são compartimentados para evitar o acesso não autorizado aos dados de outros clientes.
Os dados são protegidos por palavras-passe "hardened" alteradas numa base de 90 dias.
A conectividade sem fios a redes ou servidores que hospedam dados do cliente é protegida usando mecanismos de segurança tais como EAP, TTLS, TLS ou PEAP.
O VoIPstudio tem políticas e procedimentos formais de segurança para lidar com vírus, malware e ameaças relacionadas. Os programas de software antivírus estão ativos em todas as máquinas baseadas no Windows. Estes sistemas têm análises completas periódicas automatizadas e utilizam ficheiros de assinaturas de vírus atualizados.
Critérios de utilização
Para proteger a confidencialidade, integridade e disponibilidade dos dados dos clientes, o VoIPstudio cumpre os seguintes critérios de utilização:
-
A cada utilizador é atribuído um ID único. Os IDs do utilizador e as palavras-passe cumprem os seguintes requisitos:
- Os utilizadores podem alterar a sua palavra-passe a qualquer momento.
- As palavras-passe devem ter pelo menos 6 caracteres de comprimento.
O acesso aos dados na base de dados VoIPstudio tem controlos baseados em permissão que restringem o acesso aos utilizadores autorizados do cliente, conforme determinado pelo proprietário dos dados do cliente.
Cada alteração do estado de login do utilizador é registada dentro do VoIPstudio. Todos os registos são tratados como informações confidenciais e o acesso a relatórios pode ser restringido usando o sistema de permissão. A informação desta informação está disponível na interface de administração VoIPstudio.
Se forem transmitidos dados confidenciais, dados pessoais (por exemplo, nomes, moradas, números de telefone) ou informações de autenticação (por exemplo, palavras-passe), o VoIPstudio suporta e recomenda a implementação da encriptação SSL opcional de 256 bits entre cada componente da via de comunicações.
Ao implementar o VoIPstudio, os utilizadores concordam em ficar vinculados pela Política de Utilização Aceitável.
A política de segurança da VoIPstudio pressupõe que a retenção de dados dos clientes é permanente e é projetada para esse padrão. Os clientes mantêm a capacidade de implementar a sua própria política de retenção de dados.