A segurança da informação é primordial na HID. Para garantir que manteremos a confiança de nossos clientes, estabelecemos um Sistema de Gerenciamento de Segurança de Informações (ISMS) abrangente, para exceder os requisitos de segurança reconhecidos e continuar sendo a fonte de identidades confiáveis e seguras no mundo inteiro.
Equipe de Segurança
Todos os colaboradores da HID são condicionados a concluir o treinamento de conscientização sobre segurança da informação e privacidade. Os colaboradores que podem ter acesso a dados confidenciais ou de clientes recebem treinamento adicional específico para suas funções, bem como habilitação de segurança governamental (conforme necessário). Temos uma equipe dedicada de profissionais de segurança altamente qualificados, incluindo as seguintes funções e responsabilidades:
Comitê Executivo de Direção do ISMS
- Cumpre todos os requisitos de gestão executiva no âmbito do ISMS
- Garante que funções, responsabilidades e autoridades relevantes para a segurança da informação sejam atribuídas e comunicadas
- Aprova o processo global de gestão de riscos, incluindo a metodologia de avaliação de riscos (abordagem), escalas de impacto e verossimilhança, critérios de aceitação de riscos, controles selecionados, riscos residuais e aceitos
Comitê Diretivo da Unidade de Negócios
- Garante que o ISMS atenda aos requisitos de negócios, agregando valor adicional aos produtos e serviços da unidade de negócios
- Revisa o processo de gerenciamento dos riscos relacionados à unidade de negócios
- Revisa políticas, processos e procedimentos do ISMS
Equipe Global de Segurança da Informação
- Responsável pela implementação, manutenção e aprimoramento geral do ISMS
- Garante que todos os incidentes de segurança sejam examinados, comunicados, documentados e solucionados de acordo com políticas, processos e procedimentos publicados
- Desenvolve uma arquitetura de segurança da informação que atenda às necessidades de negócios atuais e futuras da HID
Políticas
A HID mantém políticas internas detalhadas de Segurança da Informação e Privacidade de Dados. Todos os colaboradores devem reconhecer que leram, entenderam e concordaram em cumprir os termos da Política Global de Segurança da Informação e as políticas e procedimentos de suporte.
Avaliações
A HID dedica-se à implementação de uma abordagem ativa e orientada para a análise da segurança cibernética. A verificação e o aprimoramento da segurança são atividades contínuas incorporadas ao nosso processo de avaliação de vulnerabilidades e ameaças. Realizamos testes contínuos em todos os componentes da solução HID Origo e, para garantir o mais alto nível possível de segurança, interagimos regularmente com auditores de segurança externos para validar nossa postura de segurança. As avaliações contínuas de ameaças de vulnerabilidade de aplicações e sistemas abrangem o seguinte:
- Rastreamentos de vulnerabilidade de rede
- Testes de penetração e revisão de código com terceiros independentes e líderes no setor
- Revisão e teste da estrutura de controle de segurança
Recomendamos fortemente que os clientes adotem todas as precauções possíveis para prevenir o acesso não autorizado. Caso vulnerabilidades sejam descobertas, elas devem ser relatadas diretamente à HID, entrando em contato com o Suporte Técnico HID ou através de nossa Central de Segurança, em circunstâncias não urgentes.
Nota: não permitimos testes de vulnerabilidade e penetração de terceiros sem autorização prévia. Temos a responsabilidade de garantir operações mais tranquilas. Testes não controlados implicam o risco de afetar negativamente o desempenho do sistema.
Gerenciamento de Incidentes de Segurança
A HID mantém políticas e procedimentos de gerenciamento de incidentes de segurança e aplicamos análises de causa raiz e planos de ação corretiva apropriados. Notificamos prontamente os clientes afetados sobre qualquer divulgação não autorizada, real ou razoavelmente suspeita, de seus respectivos dados de clientes, na medida permitida por lei. Se um incidente de segurança for detectado, a Equipe Global de Segurança da Informação adotará as medidas necessárias para avaliar, testar e solucionar a questão conforme o procedimento definido:
- Investigar e diagnosticar
- Escalar para a alta administração se houver uma suspeita de violação ou perda de dados confidenciais
- Executar medidas corretivas
- Testar e validar
- Avaliar a análise da causa raiz do incidente se ocorreu um escalonamento
Como desenvolvemos produtos seguros
Dispomos de um processo ágil de Ciclo de Vida de Desenvolvimento de Software baseado em SAFe (Scaled Agile Framework, ou Estrutura Ágil Dimensionada), que incorpora as melhores práticas de segurança em todas as etapas. Algumas das etapas do procedimento de integração e implementação contínuas são descritas abaixo
Desenvolvimento
Análise de código estático e verificações de auditoria do código-fonte
Teste
- Testes de segurança de aplicações e varreduras de segurança de rede
- Revisão e aprovação dos resultados dos testes de segurança
Implementação
- Mascaramento de dados confidenciais
- Verificação e aprovação da implementação e dos padrões de segurança
- Verificações de conformidade de governança para arquitetura e segurança
- Isolamento dos ambientes de produção e não-produção
Monitoramento
- Monitoramento e revisão das políticas de controle de acesso
- Implementação de políticas de firewall e revisão de anomalias
- Avaliações periódicas de vulnerabilidade
- Implementação de ferramentas de análise de log