Saas + Hospedagem CV CRM

Confira neste artigo:

Ambiente 

Com o objetivo de disponibilizar um ambiente com alto desempenho e disponibilidade de acesso aos clientes do CV CRM, contamos com os serviços da Amazon Web Services (AWS), uma das maiores empresas de tecnologia do mundo e um dos principais Cloud Providers (provedores de nuvem) do mercado. 

Através da AWS (https://aws.amazon.com/pt/) associado a um conjunto de serviços e tecnologias do CV CRM, tornamos transparente para os nossos clientes as complexidades que envolvem o provisionamento de um ambiente de CRM. 

No link, é possível conhecer os detalhes das estruturas de data center do AWS: https://aws.amazon.com/pt/

Questões de segurança e compliance também representam fator relevante na escolha do parceiro de infraestrutura. Este é outro motivador na escolha da AWS, que utiliza as melhores práticas de mercado. 

Mais detalhes podem ser encontrados nos links abaixo: 

https://aws.amazon.com/pt/resources/analyst-reports/ 

https://aws.amazon.com/pt/compliance/iso-certified/


ISO 

A compatibilidade da AWS foi certificada com as normas ISO/IEC 27001:2022, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 20000-1:2018, 9001:2015 e CSA STAR CCM v4.0.


Política de Backup 

Conceitos e Definições 

  • Backup: cópia de segurança de dados (e informações) de um dispositivo de armazenamento (computadores, servidores) e sistemas (aplicativos, softwares) para outro ambiente, para que estes dados possam ser restaurados em caso de perda ou corrupção dos dados originais. 
  • Restore (restauração): ato de recuperar os dados de um backup previamente armazenado para o dispositivo em questão, seja um computador, servidor, etc. 
  • Backup diário: trata-se da abordagem padrão, utilizada nas rotinas diárias de backup. 
  • Backup mensal tipo “archive”: trata-se da abordagem adotada nas rotinas mensais de backup. Este backup possui retenção maior. 
  • Backup completo (full): a cada execução da rotina de backup, são transmitidos todos os arquivos existentes naquele momento. Ou seja, não são transmitidos somente os arquivos modificados desde a última execução. 
  • RPO (Recovery Point Objective): O tempo máximo de perda de dados, relacionado ao momento em que o backup foi realizado e as informações foram retidas.
  • RTO (Recovery Time Objective): O tempo estimado para restaurar os dados ou para tornar os sistemas operacionais novamente. 
  • Banco de dados (relacional): Coleção dos dados utilizados pelo sistema CV CRM. Os dados são organizados em um modelo relacional, com um conjunto de tabelas com colunas e linhas. As tabelas retêm informações sobre os objetivos a serem representados no banco de dados. 
  • Sistema de arquivos e objetos (anexos): Coleção dos arquivos anexados pelos usuários no sistema CV CRM. 
  • Parâmetros de Configuração: Conjunto de arquivos de parametrização que definem os diferentes comportamentos/configurações que o sistema pode adotar.


Referências Normativas 

Sempre que possível, as seguintes referências normativas são adotadas: 

  • “Norma Técnica ABNT NBR ISO/IEC 27001:2013”: requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação na organização. 
  • “Norma Técnica ABNT NBR ISO/IEC 27002:2013”: diretrizes para práticas de gestão de segurança da informação.


Procedimento de Backup 

Os procedimentos de backup realizados pela gestão da infraestrutura Cloud CV CRM são executados de forma automatizada e abrangem o seguinte conteúdo: 

- Banco de dados (relacional); 

- Sistema de arquivos e objetos (anexos); 

- Parâmetros de configuração. 

O backup dos artefatos acima garante a possibilidade de retornar por completo a instância do CV CRM. 

Os dados objeto de backup são armazenados, ao final do processo, em área dedicada a este propósito, com configurações avançadas de segurança e acesso restrito aos operadores de backup e restore. 

Os procedimentos de backup são realizados diariamente, em uma janela que compreende o período entre as 20h do dia atual e as 6h do dia posterior. Todos os backups gerados são do tipo completo. 

O RPO (Recovery Point Objective) é determinado pelo momento exato em que o backup foi realizado dentro da janela de backup.


A relação a seguir apresenta os períodos de retenção para os artefatos de backup:

  • Backup Diário: 

- Banco de Dados Relacional: Retido por 30 dias. 

- Arquivos Anexos: Retidos por 31 dias. 

- Parâmetros de Configuração: Retidos por 31 dias. 

- RTO (Recovery Time Objective) objetivo é de até 8 horas para aplicação e banco de dados, dependendo do volume da instância a ser recuperada.


Testes de Recuperação de dados 

As automatizações implementadas indicam o status de conclusão da rotina de backup (êxito ou erro). Quando alguma rotina automatizada falha, o processo é reiniciado manualmente. 

Periodicamente são realizados testes de recuperação de dados. Os testes ocorrem no decorrer do mês, por amostragem, ou a partir das solicitações dos diferentes clientes hospedados na estrutura Cloud.


Política de Atualização de Versões 

Conceitos e Definições 

  • Automação de Testes: Consiste na execução de programas de teste para validação da qualidade do sistema. 
  • Integração Contínua: Consiste na prática de integrar, rotineiramente, alterações de código realizadas pelo desenvolvedor em seu ambiente de desenvolvimento ao diretório principal de um repositório e testar as alterações, o mais cedo e com a maior frequência possível. Idealmente, os desenvolvedores vão integrar os códigos todos os dias, se não várias vezes ao dia. Investir em Integração Contínua resulta em feedback rápido sobre as alterações de código, permitindo realizar correções com agilidade, se necessário. As execuções de IC têm duas fases principais. A etapa 1 garante a build (construção) do código. A etapa 2 garante que o código funcione do modo esperado. O modo mais seguro de fazer isso é com uma série de testes automatizados que validam todos os níveis do produto. 
  • Testes de API: APIs são os pontos de interface nos quais diferentes módulos se comunicam uns com os outros. Testes de API fazem a validação com chamadas de software de um módulo para o outro. Apresentam boa velocidade de execução. Visto que as APIs são interfaces entre diferentes partes do aplicativo, seus testes são particularmente úteis para validar a qualidade de uma liberação. 
  • Testes de integração: Consiste nos testes que combinam os módulos do software e os testes em grupo. O teste de integração é alimentado pelos módulos previamente testados individualmente pelos testes de unidade, agrupando-os assim em componentes, como estipulado no plano de teste, e resulta num sistema integrado e preparado para o teste de sistema. Os testes de integração verificam os requisitos funcionais, de desempenho e de confiabilidade na modelagem do sistema. 
  • Testes de unidade (unitários): Trata-se de testes “de mais baixo nível”, executados próximos aos componentes centrais de código. São utilizados para validar os componentes principais de software, mas não refletem os fluxos de trabalho de um usuário que, normalmente, envolvem vários componentes em execução. Apresentam ótima velocidade de execução.


Procedimento de Atualização 

O desenvolvimento do sistema CV CRM é realizado por diferentes equipes de desenvolvimento ágil, cada uma responsável por um conjunto de módulos do sistema. 

Os desenvolvedores destas equipes submetem suas alterações frequentemente ao repositório de código central, executando a atividade de Integração Contínua explicada acima. A Integração Contínua é executada em diferentes etapas, executando testes unitários, de integração e de APIs. A execução destas baterias de testes visa validar a qualidade do sistema, dando segurança em sua aplicação ao ambiente de produção. 

Diversas versões candidatas do CV CRM são geradas durante o dia, de acordo com a demanda, a partir do processo de Integração Contínua. 

A atualização da versão do sistema CV CRM ocorre em todos os clientes hospedados em nosso datacenter no modelo SaaS. 

Após concluído o processo de atualização, os sistemas de monitoramento retomam suas validações quanto à saúde do sistema.


Informações de infraestrutura (LGPD) 

Dados pessoais: 

Tratamento de Dados Pessoais:

- O sistema realiza o tratamento de dados pessoais? 

Sim. O sistema CV CRM realiza o tratamento de dados pessoais como parte fundamental de suas operações. Esses dados são coletados, armazenados e processados de acordo com as regulamentações aplicáveis, garantindo que todas as etapas do tratamento sejam conduzidas de forma segura e em conformidade com a legislação vigente, como a Lei Geral de Proteção de Dados (LGPD). 

 Exercício de Direitos:

- O sistema possui recurso para, quando solicitado, realizar a extração organizada dos dados pessoais de determinado titular? 

Sim. O CV permite que, mediante solicitação, seja realizada a extração de dados pessoais de forma organizada e estruturada, facilitando a entrega das informações ao titular dos dados em conformidade com suas solicitações. Isso garante transparência e acesso aos dados, alinhando-se às boas práticas de proteção de dados. 

- O sistema possui recurso para, quando solicitado, realizar a correção dos dados pessoais de determinado titular? 

Sim. O sistema oferece funcionalidades que permitem a correção de dados pessoais quando solicitado pelo titular. 

- O sistema possui recurso para, quando solicitado, realizar a exclusão de dados pessoais desnecessários de determinado titular? 

Sim, é possível excluir dados pessoais que sejam considerados desnecessários ou que estejam além do período de retenção autorizado, conforme a solicitação do titular. 

- O sistema possui recurso para, quando solicitado, realizar a eliminação dos dados pessoais de determinado titular? 

Sim. O sistema permite a eliminação dos dados pessoais quando solicitado, assegurando que os dados sejam removidos de forma segura e definitiva. (https://suporte.cvcrm.com.br/kb/pt-br/article/189949/anonimizacao-de-dados-lgpd-painel-do-gestor) 

- O sistema possui recurso para realizar a gestão do consentimento ao tratamento dos dados pessoais de determinado titular? 

Sim (https://suporte.cvcrm.com.br/kb/pt-br/article/189946/termo-de-consentimento-lgpd-painel-do-gestor?ticketId=&q=) 

- Como a solução garante a segregação de dados entre diferentes clientes?

Cada cliente possui uma base de dados relacional individualizada, garantindo que os dados de um cliente não se misturem com os de outro. Evitando qualquer risco de vazamento ou acesso não autorizado entre diferentes clientes. 


• Anonimização: 

- O sistema dispõe de técnicas de anonimização de dados pessoais? 

Sim


Informações Técnicas 

- O sistema possui controle de acesso individualizado? 

Sim. O sistema implementa um controle de acesso e individualizado, garantindo que cada usuário possua permissões específicas de acordo com seu perfil e responsabilidades. 

- O sistema é capaz de garantir a diferenciação entre usuários do sistema e usuários de administração e serviço? 

Sim. Existe uma clara distinção entre os usuários finais do sistema e os administradores, garantindo que cada grupo tenha acesso apenas às funcionalidades relevantes para suas atividades. Os usuários de serviço, como administradores de TI, possuem acessos adicionais para gerenciar e manter o sistema. Tudo isso pode ser definido pelos Perfis de Usuários Administrativos. (https://suporte.cvcrm.com.br/kb/pt-br/article/142362/configuracao-de-perfis-de-acesso-painel-do-gestor) 

- O acesso ao sistema é integrado com Active Directory (AD) ou similar? 

Sim. O sistema está integrado com Active Directory (AD). (https://suporte.cvcrm.com.br/kb/pt-br/article/274954/integracao-cv-e-active-directory-integracoes-e-api) 

- O sistema possui modelo de Gestão de Acesso? 

Sim. O sistema implementa um modelo completo de Gestão de Acesso, permitindo a administração detalhada das permissões de usuários e garantindo que apenas pessoas autorizadas possam acessar determinadas  informações ou realizar operações críticas.

- O acesso ao código fonte do sistema é protegido? 

Sim. O acesso ao código fonte do sistema é controlado e protegido, garantindo que apenas os desenvolvedores e administradores autorizados possam ter acesso ao código. 

- Requisitos de segurança da informação são avaliados para aquisição, desenvolvimento ou manutenção deste sistema? 

Sim. Todos os requisitos de segurança da informação são avaliados durante os processos de aquisição, desenvolvimento e manutenção do sistema. 

- Como é feito o acesso lógico no ambiente dos clientes? 

Infra - O acesso ao ambiente produtivo é feito somente pelo time de Cloud, controlado por restrições de IPs e Certificados. 

Produto - Todos o acesso ao ambiente produtivo é feito através do nosso 

SGA (Sistema de gestão de acessos) onde somente os colaboradores do CV tem acesso com o Login pelo nosso AD. Todo acesso ao ambiente do cliente é registrado, assim como o seu motivo. 

- Como é a política de senha e acesso? 

A política de senha segue as melhores práticas, exigindo senhas fortes e trocas periódicas. Há segregação de acessos por perfis, garantindo que cada usuário só tenha acesso às funcionalidades necessárias para suas funções. 

- É possível integração com 2FA ou MFA para autenticação dos usuários? 

Sim, oferecemos a integração com 2FA e MFA para reforçar a segurança na autenticação dos usuários. 

- É possível (se aplicável) processo de workflow de aprovação de concessão, revogação e alteração de acessos? 

Não, o sistema registra qualquer alteração nos usuários administrativos. 

- O sistema recebe revisão de código fonte periodicamente? 

Sim. O código fonte do sistema passa por revisões periódicas para identificar e corrigir possíveis vulnerabilidades ou falhas. Essas revisões são parte do processo contínuo de melhoria, manutenção da segurança do software e controle da dívida técnica.

- A solução abrange mecanismos de recuperação de dados? 

Sim. Em alguns casos o usuário pode visualizar os dados antigos em históricos de alterações. 

- O provedor do sistema possui processo de gestão de mudanças? 

Sim, como detalhado anteriormente no documento na seção de Atualização de Versão. 

- O sistema ou suas atualizações são testadas e homologadas antes de operar em ambiente de produção? 

Sim. Todas as atualizações do sistema são submetidas a testes e homologações antes de serem implementadas no ambiente de produção. 

- O provedor do sistema adota políticas de segurança da informação? 

Sim. Políticas de segurança da informação são adotadas e seguidas, assegurando que todas as operações sejam conduzidas de acordo com as melhores práticas de segurança. 

- Foram realizados testes para detecção de vulnerabilidades no sistema antes de sua implementação ou nos últimos 12 meses? 

Sim. Mais de uma execução. O sistema passa regularmente por testes de detecção de vulnerabilidades. 

- O sistema é submetido a análises formais de vulnerabilidade? 

Sim, a partir de testes de detecção do tipo Pentest. Esses testes são realizados por profissionais terceirizados e têm como objetivo identificar vulnerabilidades no sistema que possam comprometer a segurança dos dados e a integridade das operações. 

- O sistema recebe atualizações de segurança regularmente? 

Sim. Atualizações de segurança são aplicadas regularmente ao sistema e em toda Stack. 

- O provedor do sistema possui processo de gestão de incidentes de segurança? 

Sim. Um processo de gestão de incidentes de segurança está em vigor, garantindo que qualquer ameaça ou incidente seja rapidamente identificado, comunicado e tratado de forma eficaz, minimizando o impacto nas operações e na segurança dos dados. Contratamos um SoC terceirizado.

- O sistema está armazenado fisicamente em local seguro, com acesso controlado, com controles capazes de prevenir perda, dano, furto e comprometimento dos dados? 

Sim. Os dados do sistema são armazenados em datacenters seguros. 

- Qual base de dados é utilizada no Sistema? 

Mysql. A solução utiliza o banco de dados MySQL na versão 8. 

- A transmissão de dados do sistema é encriptada? 

Sim. Todas as transmissões de dados entre o sistema e os usuários são encriptadas, garantindo que as informações trafeguem de forma segura e protegida contra interceptações. 

- Qual a versão do SSL/TLS empregado na criptografia da transmissão? 

TLS 1.1, 1.2 e 1.3. O sistema suporta múltiplas versões do protocolo TLS para garantir a compatibilidade e a segurança das conexões. A utilização das versões mais recentes, como o TLS 1.3, é incentivada para maximizar a segurança. 

- Os dados do sistema são armazenados encriptados? 

Não. No momento, os dados não são armazenados de forma encriptada. 

- Localização do datacenter 

EUA. Os dados do sistema são armazenados em datacenters localizados nos Estados Unidos, em conformidade com as normas de segurança e proteção de dados internacionais. 

- Provedor de Datacenter 

AWS, como detalhado anteriormente no documento. Utilizamos a infraestrutura da Amazon Web Services (AWS) devido à sua reputação de segurança, desempenho e confiabilidade. 

- Possui controle de acesso lógico ao banco de dados? 

Sim. O sistema implementa controles de acesso lógico ao banco de dados, garantindo que apenas usuários autorizados possam acessar ou modificar os dados armazenados. 

- Qual o Tipo de Serviço em Nuvem (IaaS, PaaS, SaaS, Serverless)? 

O CV CRM é oferecido como um serviço SaaS (Software as a Service), permitindo que os clientes acessem a solução via internet sem a necessidade de gerenciar a infraestrutura. O CV CRM utiliza o PaaS como forma de contratação no AWS. 

- Qual o Tipo de Nuvem (Pública, Privada, Híbrida)? 

Utilizamos uma Nuvem Pública, hospedada na Amazon Web Services (AWS). 

- Qual o tipo de conexão (VPN, Internet)? 

A conexão ao sistema CV CRM é feita via internet, utilizando protocolos seguros (HTTPS) para garantir a proteção dos dados em trânsito. 

- Topologia de rede (camadas de segurança, ex: firewall, IPS, WAF, etc.) 

A infraestrutura da AWS utilizada pelo CV CRM inclui múltiplas camadas de segurança, como firewall, sistemas de prevenção de intrusão (IPS) e Web Application Firewall (WAF), para proteger contra ameaças externas e garantir a segurança do ambiente.




- Quais tipos de ferramentas de segurança estão disponíveis para o ambiente (antivírus, DLP, host IPS, Sandbox, etc.)?

O ambiente utiliza uma combinação de ferramentas de segurança da AWS, incluindo sistemas de prevenção de intrusão (IPS), antivírus para servidores, e outras soluções de monitoramento e proteção automatizadas. 

- Segregação dos clientes dentro do ambiente virtualizado (Física ou Lógica)? 

A segregação dos clientes é feita de forma lógica, onde cada cliente possui uma base de dados individualizada, garantindo a separação e segurança dos dados. 

- São realizadas varreduras de vulnerabilidades no ambiente e testes regulares de invasão? (detalhar informar periodicidade e política de correção) 

Sim, realizamos varreduras regulares de vulnerabilidades e testes de invasão (pentests) periodicamente, pelo menos uma vez por ano, para identificar e corrigir possíveis falhas de segurança. 

- Qual é a SLA de disponibilidade? 

Nosso SLA de disponibilidade é de 99,44%, com mecanismos de contingência e recuperação de desastres implementados para garantir a continuidade do serviço. 

- O Serviço possui trilhas de logs e auditoria? (qual a retenção, os logs são fornecidos aos clientes se solicitado?) 

Sim, o sistema mantém trilhas de logs e auditorias, com retenção de logs por até 1 ano, além do Marco Civil da Internet (Lei nº 12.965/2014) que especifica 6 meses. Logs específicos podem ser fornecidos aos clientes mediante solicitação, respeitando as políticas de privacidade e segurança.


Contingências 

- São realizados backups dos dados do sistema? 

Sim, como detalhado anteriormente no documento. Os backups dos dados do sistema são realizados de forma regular e automatizada. 

- Qual a periodicidade do backup? 

Diário, como detalhado anteriormente no documento.

- Quais as formas de backup? 

Cópia de arquivos, backup específico de banco de dados, como detalhado anteriormente no documento. 

- Backups realizados estão protegidos? 

Sim. O backup é armazenado em uma infraestrutura com restrição maior de acessos. 

- O sistema está inserido no Plano de Continuidade do Negócio? 

Sim. O sistema é uma parte integral do Plano de Continuidade do Negócio (PCN), assegurando que, em caso de qualquer interrupção significativa, as operações possam ser retomadas rapidamente e com o mínimo de impacto possível.


Questões Legais/Jurídicas 

- Em um eventual término de contrato, há cláusulas de devolução segura dos dados e o descarte definitivo e irrecuperável das nossas informações nos sistemas do fornecedor? 

Sim, o contrato inclui cláusulas que garantem a devolução segura dos dados dos clientes e o descarte definitivo e irrecuperável das informações ao término do contrato. 

- Há cláusulas de Confidencialidade e Não Divulgação no contrato de serviços? 

Sim, o contrato de serviços inclui cláusulas de Confidencialidade e Não Divulgação para proteger as informações sensíveis dos clientes.

Este artigo foi útil?

Que bom!

Obrigado pelo seu feedback

Desculpe! Não conseguimos ajudar você

Obrigado pelo seu feedback

Deixe-nos saber como podemos melhorar este artigo!

Selecione pelo menos um dos motivos
A verificação do CAPTCHA é obrigatória.

Feedback enviado

Agradecemos seu esforço e tentaremos corrigir o artigo

Visualizar
0 de 0