Este guia descreve em linhas gerais a gestão do Serviço eDok no que tange as questões relativas à Governança e à Segurança da Informação. Apesar de fazer parte da documentação oficial do eDok, este guia se refere a como realizamos a gestão do serviço do qual ele é parte, e nossos esforços para garantir a governança da tecnologia e da segurança da informação sobre os dados de seus clientes.
Esta documentação é voltada a auditores de segurança e compliance, e corpo jurídico dos clientes eDok.
Produto vs. Serviço
eDok é uma marca utilizada para descrever três entidades distintas:
- Produto eDok: é o software que fornece as funcionalidades para Gestão Eletrônica de Documentos (GED), ou seja, a aplicação web propriamente dita;
- Serviço eDok: é o SaaS (Software as a Service, ou Software como Serviço) que inclui o Produto eDok, infraestrutura dedicada em nuvem, armazenamento, backup, monitoração e suporte.
- Empresa eDok: pessoa jurídica proprietária do Produto eDok e gestora do Serviço eDok.
No caso de clientes On-Premises (com infraestrutura própria), o termo Serviço eDok se aplica do mesmo modo, mas a infraestrutura, armazenamento, backup e conectividade são fornecidos pelo cliente.
Governança
O Serviço eDok, por força dos seus Termos do Serviço, se obriga a:
DAS OBRIGAÇÕES DAS PARTES
- Zelar pela eficiência, segurança e efetividade da INSTÂNCIA.
DA SEGURANÇA DAS INFORMAÇÕES
- A CONTRATADA será responsável por quaisquer violações dos dados da CONTRATANTE armazenados na INSTÂNCIA, resultantes de atos de pessoas não-autorizadas pela CONTRATANTE ou resultantes da ação criminosa de terceiros.
DA PROTEÇÃO DE DADOS
- Aplicam-se ao presente Contrato as disposições da Lei Nº 13.709/18 – Lei Geral de Proteção de Dados (LGPD).
Para dar transparência às nossas obrigações, implementamos a família de normas ISO/IEC 27000:2018. Especificamente quanto à governança, objeto da norma ISO/IEC 27014:2020, os alicerces da gestão do Serviço eDok são:
- Visibilidade da alta direção sobre a situação da Segurança da Informação;
- Uma abordagem ágil para a tomada de decisões sobre os riscos da informação;
- Investimentos eficientes e eficazes em Segurança da Informação;
- Conformidade com requisitos externos (legais, regulamentares ou contratuais).
A estrutura de governança da tecnologia e segurança da informação no Serviço eDok é ilustrada abaixo:
Segurança
As políticas de segurança do Serviço eDok são implementadas com base na norma ISO/IEC 27002:2022. Nesta seção, evidenciamos as linhas gerais das práticas de gestão do Serviço eDok.
Isolamento
O Serviço eDok é Single Tenant, ou seja, o repositório e todos os aspectos de gestão de um cliente são isolados dos demais.
Gestão de Mudanças
O desenvolvimento do Produto eDok ocorre em ambientes controlados, seguros e sendo feito por pessoal qualificado. Implementamos ativamente a metodologia OWASP para verificação de mais de 300 itens que cobrem as áreas de segurança, confiabilidade, desempenho, qualidade, complexidade, arquitetura e estilo do código. Além disso, 100% do código é analisado por mais de 400 testes unitários com mais de 800 asserções. Todas essas rotinas são obrigatórias e automatizadas, sendo que anomalias BLOQUEIAM a publicação de um release.
Gestão de Configuração
A gestão dos serviços é controlada por uma base de código separada do Produto eDok, onde toda a configuração é executada de modo automatizado e sem intervenção humana. Anomalias nesse processo IMPEDEM a implementação de configurações novas ou atualizadas. Operações de baixo nível são escrutinadas e registradas por mais de 400 regras de auditoria.
Monitoramento
Cada instância do Serviço eDok possui monitoração ativa de mais de 4.000 MpS (métricas por segundo) distribuídas em mais de 650 gráficos e 80 alarmes. Essas métricas são enviadas a uma plataforma própria de dados temporais, que então fornece informações a um painel de monitoramento que funciona e notifica gestores em regime 24x7x365. Os dados temporais são mantidos conforme as resoluções abaixo:
- 10 segundos: até 30 dias;
- 1 minuto: até seis meses;
- 5 minutos: últimos dois anos.
Registros
Registros (logs) completos dos sistemas são mantidos conforme as regras abaixo:
- eDok Ingest, combinação de documentos, limpeza e backup local: 6 meses;
- Backup off-site, renovação de certificados e daemons: 1 ano;
- Atividades eDok: perpétuo.
Criptografia
Os dados e documentos são criptografados tanto em trânsito (Data In Transit) como em repouso (Data At Rest) utilizando algoritmos abertos, modernos, seguros e amplamente testados. Toda a criptografia ocorre com suporte à PFF (Perfect Forward Secrecy).
Os dispositivos (computadores, celulares, tablets etc) fornecidos aos colaboradores eDok possuem criptografia integral de armazenamento com autenticação de dois fatores. Em caso de perda, furto ou roubo desses dispositivos, sucessivas tentativas de acesso mal-sucedidas destroem os dados neles armazenados.
Chaves de Acesso
As chaves de acesso às estruturas em produção são fortes e mantidas em cofres digitais seguros, com acesso exclusivo a dois membros seniores da equipe eDok.
Controle de Acesso
O acesso às estruturas em produção só é possível em locais físicos selecionados, cuja atribuição de regras de acesso é executada de modo automatizado e sujeita à Gestão de Configuração.
LGPD: Titular dos Dados
Especificamente no que tange a figura jurídica do "Titular dos Dados" abordado pela LGPD, efetivamente a pessoa física ou jurídica a qual se referem os dados pessoais, o Serviço eDok não opera, acessa, controla ou processa eventuais informações pessoais armazenadas no repositório de documentos. Essa característica do Serviço eDok é expressa pelos Termos de Serviço com a seguinte redação:
A CONTRATANTE é a única OPERADORA e CONTROLADORA de Dados Pessoais no âmbito deste Contrato, considerando que a CONTRATADA, por obrigação deste instrumento, não controla o acervo armazenado no repositório.
Continuando...
Parabéns! Você concluiu o aprendizado sobre Governança e Segurança no Serviço eDok. Para saber como eDok lida com as tecnologias OCR, leia Sobre OCR.