Esta Declaração de segurança se aplica a todos os produtos, serviços, sites e aplicativos oferecidos pela Horizonte Tecnologia LTDA. sob a marca ImpulseUP (coletivamente, "ImpulseUP"), exceto indicação em contrário. Nós nos referimos a esses produtos, serviços, sites e aplicativos coletivamente como os "serviços" nesta política. Salvo indicação em contrário, nossos serviços são prestados pela Horizonte Tecnologia LTDA.A Declaração de segurança faz parte dos contratos do usuário para clientes da ImpulseUP.


A ImpulseUP valoriza a confiança de nossos clientes quanto a seus dados. Assumimos nossa responsabilidade em proteger suas informações e buscar a total transparência quanto a nossas práticas de segurança detalhadas abaixo. Nossa Política de Privacidade também contém outros detalhes sobre as formas como tratamos seus dados.



Segurança física


Os sistemas de informações e a infraestrutura técnica da ImpulseUP são hospedados em centros mundiais de dados credenciados pelo SOC 2. Os controles físicos de segurança de nossos centros de dados incluem monitoramento 24 horas, câmeras, registro de visitantes, requisitos de entrada e compartimentos dedicados para os produtos da ImpulseUP.



Conformidade


A ImpulseUP está em conformidade com o PCI-DSS (Payment Card Industry Data Security Standards, Padrões de segurança de dados do Payment Card Industry) 3.2. Portanto, podem aceitar ou processar informações de cartões de crédito de forma segura de acordo com esses padrões.



Controle de acesso


O acesso aos recursos de tecnologia da ImpulseUP só é permitido por meio de conectividade segura (por exemplo, VPN, SSH) e exige autenticação multifator. Nossa política de senha exige complexidade, expiração e bloqueio, e não permite a reutilização. A ImpulseUP concede acesso com base nas regras do menor privilégio e conforme a necessidade, revisa as permissões trimestralmente e revoga imediatamente o acesso após o desligamento de funcionário.



Políticas de segurança


A ImpulseUP mantém, analisa e atualiza suas políticas de segurança de informações no mínimo anualmente. Os funcionários devem aceitar anualmente as políticas e passar por treinamento adicional, de legislação de privacidade e/ou de desenvolvimento específico de segurança e de habilidades para os cargos mais importantes. 



Funcionários


A ImpulseUP realiza a verificação de antecedentes no momento da contratação (na medida do permitido ou facilitado pela legislação aplicável). Além disso, comunica suas políticas de segurança de informações a todos os funcionários (que devem confirmar seu entendimento delas), exige que os novos funcionários assinem contratos de confidencialidade e fornece treinamento contínuo de privacidade e segurança.



Funcionários dedicados de segurança


A ImpulseUP também tem uma organização dedicada de confiança e segurança concentrada na segurança dos aplicativos, da rede e do sistema. Essa equipe também é responsável por conformidade, instrução e resposta a incidentes de segurança.



Testes de penetração e gerenciamento de vulnerabilidades


A ImpulseUP possui gerenciamento de vulnerabilidades que inclui verificações periódicas, identificação e remediação de vulnerabilidades de segurança em servidores, estações de trabalho, equipamentos de rede e aplicativos. Todas as redes, inclusive os ambientes de teste e produção, são verificadas regularmente usando fornecedores externos de confiança. Correções críticas são aplicadas nos servidores com base na prioridade e conforme apropriado a todas as demais correções.


Também são realizados regularmente testes de penetração interna e externa, e corrigimos de acordo com a severidade dos resultados encontrados.



Criptografia


Criptografamos seus dados em trânsito usando protocolos criptográficos seguros de TLS. 



Desenvolvimento


Nossa equipe de desenvolvimento emprega técnicas de codificação segura e práticas recomendadas baseadas no OWASP Top Ten. Os desenvolvedores são treinados formalmente em práticas seguras de desenvolvimento de aplicativos da Web após a contratação e anualmente.


Os ambientes de desenvolvimento, teste e produção são separados. Todas as alterações são revisadas por colegas e registradas para fins forenses, de desempenho e de auditoria antes da implementação no ambiente de produção.



Gerenciamento de incidentes de segurança de informação


A ImpulseUP mantém políticas e procedimentos de resposta a incidentes de segurança que abrangem resposta inicial, investigação, notificação do cliente (no mínimo conforme o exigido por lei), comunicação pública e remediação. 



Notificação de violação


Apesar dos melhores esforços empenhados, nenhum método de transmissão pela internet e nenhum método de armazenamento eletrônico é totalmente seguro. Não podemos garantir segurança absoluta. No entanto, se a ImpulseUP toma ciência de uma violação de segurança notificamos os usuários afetados para que eles possam tomar medidas de proteção adequadas. Nossos procedimentos de notificação de violação são compatíveis com nossas obrigações nos termos de várias leis e regulamentos estaduais e federais, bem como de quaisquer regras ou padrões do setor aplicáveis a nós. Temos o compromisso de manter nossos clientes totalmente informados sobre qualquer questão relevante à segurança de sua conta e de fornecer a eles todas as informações necessárias para cumprirem suas próprias obrigações regulamentares de comunicação.



Backups


O backup dos bancos de dados da Impulseup é realizado automaticamente diariamente de forma completa, e mantidos por 10 últimos dias, e backups semanais mantidos por 3 meses. Os backups são armazenados no ambiente de produção para preservar sua confidencialidade e integridade. Além disso, são testados regularmente para garantir a disponibilidade.


Suas responsabilidades


A manutenção da segurança de seus dados também requer a manutenção da segurança de sua conta pelo uso de senhas suficientemente complicadas e do armazenamento delas de forma segura. Você também deve garantir que tenha segurança suficiente em seus próprios sistemas. Oferecemos o TLS para proteger a transmissão de respostas de questionários, mas é sua responsabilidade garantir que seu acesso seja configurado para usar esse recurso sempre que necessário.



Registro e monitoramento


Os sistemas de aplicativos e de infraestrutura registram informações em um repositório central para fins de solução de problemas, revisão de segurança e análise de funcionários autorizados da ImpulseUP. Os registros são mantidos de acordo com os requisitos regulamentares. Caso ocorra algum incidente de segurança que afete sua conta, forneceremos aos clientes assistência razoável e acesso aos registros.