Segurança dos dados

Componentes de segurança

1. Segurança organizacional
2. Segurança física
3. Controlo de acesso lógico
4. Segurança dos dados
5. Segurança de rede
6. Segurança operacional
7. Resposta a incidentes
8. Gestão da mudança
9. Gestão de fornecedores e de terceiros
10. Controlos de segurança do cliente

1. Segurança organizacional
   Políticas e procedimentos de segurança
   A moonstride mantém um conjunto de políticas e procedimentos de segurança robustos para orientar a Organização e os seus colaboradores na adesão aos mais elevados padrões de práticas de segurança. As nossas políticas são revistas e actualizadas regularmente para garantir que estão em dia com as ameaças e regulamentos mais recentes.

   Formação de sensibilização

   Aquando da integração, todos os funcionários assinam um acordo de confidencialidade e uma política de utilização aceitável. Em seguida, são submetidos a uma formação completa em matéria de segurança da informação. Para aumentar ainda mais a sensibilização, partilhamos regularmente as melhores práticas de segurança através de publicações e blogues. Incentivamos ativamente os nossos funcionários a comunicar quaisquer actividades suspeitas, promovendo um ambiente de trabalho vigilante e seguro.

   Segurança do dispositivo

   A moonstride implementa medidas avançadas de segurança de endpoint para proteger os dispositivos de potenciais ameaças à segurança. Isto inclui software antivírus robusto, proteção contra spam e o bloqueio de suportes amovíveis para melhorar a segurança geral dos terminais. Além disso, aplicamos a encriptação dos dispositivos para impedir o acesso não autorizado em caso de roubo.

   Os dispositivos da empresa que armazenam dados confidenciais são eliminados de forma segura, com formatação completa e eliminação de dados antes de serem reutilizados. No caso de dispositivos desactivados, os discos rígidos são fisicamente destruídos antes de serem eliminados.

   Auditoria interna e conformidade

   A nossa equipa de conformidade revê regularmente os nossos controlos e procedimentos de segurança. Também realizamos auditorias internas e externas regulares para garantir que estamos em conformidade com as normas do sector.
2. Segurança física
   Acesso do pessoal
   O acesso às instalações físicas da moonstride é estritamente controlado, com medidas de segurança como cartões de acesso ou fobs de acesso e vigilância 24 horas por dia, 7 dias por semana, para impedir o acesso não autorizado.

   Acesso ao centro de dados

   Os nossos servidores em nuvem, alojados em centros de dados de confiança a nível mundial, cumprem normas de segurança física rigorosas, incluindo perímetros restritos, controlo de acesso biométrico ou por crachá e monitorização contínua por pessoal de segurança.
3. Controlo de acesso lógico
   Autenticação robusta:
   É utilizada uma combinação distinta de um nome de utilizador, uma palavra-passe e um código MFA únicos para restringir o acesso front-end e back-end ao ambiente de produção. O início de sessão é facilitado através do ambiente de Single Sign-On (SSO) do fornecedor de serviços de computação em nuvem.

   Controlo de acesso baseado em funções (RBAC):

   As permissões dos utilizadores são geridas de forma rigorosa utilizando a Gestão de Identidades e Acessos (IAM) para aplicar o princípio do menor privilégio, garantindo que os utilizadores têm apenas o acesso mínimo necessário para as suas funções.

   Revisão do acesso

   A moonstride efectua revisões trimestrais do acesso dos funcionários, administradores e contas de serviço para garantir que o acesso é limitado aos sistemas necessários para a sua função. As revisões de acesso são documentadas e qualquer acesso considerado inativo ou que já não seja necessário é identificado e desativado.
4. Segurança dos dados
   Encriptação
   • Em trânsito:
     A sua ligação ao nosso sítio Web é fortificada com encriptação SSL, tal como indicado pelo símbolo do cadeado na sua barra de endereços. Utilizamos os conjuntos de cifras mais recentes para proteger os seus dados contra as ameaças online em constante evolução.
   • Em repouso:
     Os seus dados sensíveis são encriptados em repouso utilizando o Serviço de Gestão de Chaves (KMS) do fornecedor de serviços na nuvem. O método de encriptação que utilizamos é o Advanced Encryption Standard (AES), de grande confiança, com um tamanho de chave robusto de 256 bits.

   Conservação de dados

   Conservamos os dados da sua conta durante o tempo em que utilizar os nossos serviços para garantir uma continuidade perfeita. Após o encerramento da conta, os seus dados são retidos em segurança durante 90 dias antes de serem permanentemente eliminados das nossas bases de dados activas.

   Isolamento de dados

   A nossa infraestrutura foi concebida para distribuir e manter o espaço na nuvem para cada cliente, garantindo que os dados de serviço dos clientes individuais permanecem logicamente separados uns dos outros. Isto significa que os seus dados permanecem confidenciais e só podem ser acedidos pelo utilizador.

   Segurança dos cartões de crédito

   Assegure-se de que as informações do seu cartão de crédito nunca são armazenadas nos sistemas da Moonstride. Actuamos como um facilitador da integração de pagamentos, estabelecendo a ligação entre os nossos clientes e os respectivos fornecedores de contas comerciais ou adquirentes de cartões. Quando os dados da reserva lhes são transferidos para processamento do pagamento, é da responsabilidade do prestador ou adquirente garantir a segurança da transação.
5. Segurança das infra-estruturas

   A postura de segurança da moonstride adopta uma abordagem multi-camadas e de defesa em profundidade para salvaguardar as suas infra-estruturas e dados.

   Na camada de rede, os pedidos de entrada são encaminhados através de um fornecedor de DNS líder, ocultando a identidade da infraestrutura subjacente. As funcionalidades de segurança avançadas, como proxy, encriptação SSL e Web Application Firewall (WAF), estão activadas para proteger contra ataques DDoS e outras intrusões ao nível do DNS e da rede.

   Na camada de aplicação, um sistema robusto de deteção de intrusões monitoriza continuamente a atividade suspeita. Apenas os anfitriões remotos incluídos na lista branca podem ligar-se em portas específicas, como SSH ou RDP, para acesso controlado. As aplicações e serviços principais da moonstride são ainda mais isolados dentro desta camada para uma comunicação interna segura.

   Na camada de armazenamento de dados, os dados são armazenados num serviço de base de dados gerido dentro da sua rede isolada. As bases de dados são mantidas privadas e protegidas por grupos de segurança, permitindo o acesso apenas a partir de anfitriões ou redes autorizados.

   Além disso, submetemo-nos a avaliações de segurança regulares e implementamos melhorias contínuas para garantir a proteção dos nossos sistemas e dos dados dos utilizadores.

6. Segurança operacional
   Registo e monitorização
   Os nossos servidores de armazenamento registam meticulosamente cada interação de dados, fornecendo uma imagem clara de quem acedeu ao quê e quando. Retemos de forma segura os registos de servidores em nuvem, firewalls e VPC Flow, oferecendo informações valiosas sobre a atividade da rede e potenciais ameaças. Cada evento do sistema, atividade do utilizador e registo específico da aplicação é capturado e analisado, não deixando nenhum canto sem monitorização. Automatizamos as respostas com base em tecnologias sem servidor para garantir uma resposta rápida a incidentes. Esta recolha de dados abrangente alimenta a resolução eficaz de problemas, tornando a resolução de problemas rápida e precisa.

   Análise de vulnerabilidades

   A moonstride dá prioridade à segurança através de uma gestão proactiva das vulnerabilidades. As verificações regulares de contentores, instâncias de nuvem e aplicações Web, com ferramentas fiáveis e uma equipa dedicada, identificam e resolvem prontamente potenciais problemas, garantindo que os seus dados estão num ambiente constantemente fortificado.

   Cópias de segurança e recuperação

   As cópias de segurança são encriptadas utilizando a poderosa encriptação AES-256 e armazenadas num balde de armazenamento na nuvem protegido. As bases de dados de produção beneficiam de cópias de segurança incrementais em tempo real e de cópias de segurança completas a cada 8 horas, assegurando uma proteção completa dos dados.

   Mantemos cópias de segurança da base de dados durante 15 dias. A recuperação de dados segue um processo claro, incluindo a identificação do ponto de cópia de segurança pretendido, o início do restauro através de serviços em nuvem e a verificação da recuperação bem sucedida dos dados.

   Continuidade das actividades

   O nosso plano detalhado de recuperação de desastres descreve as funções críticas, os componentes da infraestrutura e os procedimentos de recuperação, definindo os Objectivos de Ponto de Recuperação (RPO) e os Objectivos de Tempo de Recuperação (RTO) para orientar a nossa resposta. Efectuamos regularmente testes e simulações para validar a eficácia do nosso plano e garantir que a nossa equipa está preparada para agir em caso de falhas no sistema.
7. Resposta a incidentes

   A moonstride tem um Plano de Resposta a Incidentes (IRP) personalizado que especifica os procedimentos de contenção, protocolos de escalonamento e estratégias de comunicação. Revemos e actualizamos regularmente o nosso PIA e testamos a sua eficácia através de exercícios de mesa. A nossa Equipa de Resposta a Incidentes (IRT) é composta por especialistas em segurança, redes e comunicações. Mantemos registos detalhados dos incidentes para análise posterior e melhoria.

   Para comunicar um incidente de segurança, utilize o formulário de contacto do centro de ajuda.

   Estamos empenhados em manter o moonstride seguro para todos.

8. Gestão da mudança
   Desenvolvimento seguro:
   Os nossos procedimentos de controlo de alterações, meticulosamente documentados através de um sistema de emissão de bilhetes, abrangem processos de iniciação, práticas de desenvolvimento, aprovações necessárias e resultados de testes. Além disso, as nossas actividades de desenvolvimento e teste são conduzidas num ambiente logicamente separado do ambiente de produção para manter a integridade dos seus dados.

   Controlo de versões:

   Utilizamos software de controlo de versões para manter eficazmente as versões do código fonte, acompanhar as alterações e facilitar as capacidades de reversão. A moonstride utiliza a gestão de compilações e o serviço de Integração Contínua/Desenvolvimento Contínuo (CI/CD) para automatizar o processo de compilação e desenvolvimento para actualizações controladas e fiáveis.
9. Gestão de fornecedores e de terceiros
   Seleção do fornecedor:
   Efectuamos avaliações exaustivas para avaliar a postura de segurança dos nossos fornecedores, incluindo as suas práticas de tratamento de dados, planos de resposta a incidentes e adesão às melhores práticas do sector.

   Relações seguras com terceiros:

   O acesso aos sistemas e dados da Moonstride é estritamente controlado e limitado ao pessoal autorizado através da Gestão de Identidade e Acesso. Os dados partilhados com ou armazenados por fornecedores estão sujeitos a medidas de segurança rigorosas, como encriptação, mascaramento de dados e protocolos de transmissão seguros. Implementamos autenticação multi-fator, controlos de acesso baseados em funções e registo de acesso para restringir ainda mais o acesso e acompanhar a atividade.

   As responsabilidades dos fornecedores em matéria de segurança dos dados, comunicação de incidentes e cumprimento das nossas políticas de segurança estão claramente definidas nos contratos de serviços. Para garantir o cumprimento contínuo das nossas normas de segurança, são efectuadas auditorias de segurança regulares e análises das práticas dos fornecedores.

10. Controlos de segurança do cliente
    Eis os 10 conjuntos de controlos que pode seguir:
    1. Crie palavras-passe complexas e evite utilizar informações pessoais.
    2. Utilize um gestor de palavras-passe respeitável para armazenar e gerir as suas palavras-passe de forma segura.
    3. Active a opção MFA fornecida pela moonstride para adicionar uma camada extra de proteção.
    4. Instale regularmente os patches de segurança e as actualizações mais recentes para o seu sistema operativo e aplicações.
    5. Utilize software antivírus e anti-malware para proteger os seus dispositivos contra vírus, malware e outras ameaças.
    6. Ligue-se a redes Wi-Fi fiáveis e considere a possibilidade de utilizar uma VPN para proteção adicional, especialmente em redes Wi-Fi públicas
    7. Nunca clique em ligações ou abra anexos de remetentes desconhecidos e verifique novamente o endereço de correio eletrónico e os URLs dos sítios Web para se certificar de que são legítimos.
    8. Reveja regularmente a atividade da sua conta para detetar transacções ou alterações não autorizadas e comunique qualquer atividade suspeita à equipa de apoio da Moonstride.
    9. Actualize regularmente as definições de segurança da sua conta moonstride para as adaptar às suas necessidades actuais.
    10. Mantenha-se a par das actualizações de segurança, subscreva os avisos de segurança e as newsletters da moonstride para se manter informado sobre potenciais ameaças e vulnerabilidades.
    Na moonstride, damos prioridade à segurança dos dados e das operações, esforçando-nos continuamente por criar um ambiente resiliente e seguro para os nossos clientes, consumidores e parceiros.