Priorizamos a sua segurança para que você possa se concentrar nos seus negócios

Infraestrutura em nuvem: Os serviços da Taktile são totalmente executados na nuvem, o que significa que não operamos nem mantemos nossos próprios servidores. Em vez disso, utilizamos a Amazon Web Services (AWS) para nossa infraestrutura, o que nos permite atender nossos clientes em qualquer região do mundo. A AWS mantém os mais altos padrões de segurança e é considerada líder em segurança na nuvem pela empresa de pesquisa Forrester. Todos os data centers estão em conformidade com os mais altos padrões do setor, incluindo SOC 2 Tipo II e ISO 27001. A AWS também possui sistemas de monitoramento e alerta de nível internacional. 

Segurança de rede: Utilizamos uma nuvem privada virtual e separamos o tráfego privado do público em sub-redes distintas. Nossa infraestrutura de produção é mantida separada da infraestrutura de desenvolvimento (ambas com contas e redes diferentes). Restringimos as portas e monitoramos nossas configurações de rede de forma contínua por meio de varreduras automatizadas. Também utilizamos um Sistema de Detecção de Intrusões para identificar atividades suspeitas.

Isolamento rigoroso das cargas de trabalho dos clientes: como permitimos que os autores de decisões executem código em nossa infraestrutura, investimos em uma separação robusta entre os clientes, tanto em termos de computação quanto de armazenamento. Criamos espaços de trabalho dedicados onde as decisões são executadas (via AWS Lambda) e armazenadas (via AWS S3). Os clientes não compartilham funções na nuvem nem buckets de armazenamento. Utilizamos infraestrutura multilocatária apenas para operações que não envolvem dados de decisão dos clientes (por exemplo, gerenciamento de usuários). Os dados estão sempre associados a um único cliente e são necessárias verificações de autenticação para acesso.

Criptografia de dados: Os dados capturados, armazenados ou processados pela Taktile são criptografados tanto durante a transmissão por redes públicas quanto quando estão armazenados. Especificamente, criptografamos os dados transmitidos por redes públicas utilizando o Protocolo de Segurança da Camada de Transporte (TLS 1.2). Nosso armazenamento de dados é criptografado em repouso utilizando métodos de criptografia padrão do setor. Para infraestruturas específicas do cliente que hospedam dados de decisão, utilizamos o Sistema de Gerenciamento de Chaves da AWS para criar e gerenciar chaves de criptografia específicas para cada cliente.

Controle de acesso: Nós nos conectamos aos provedores de autenticação única (SSO) dos clientes e não gerenciamos credenciais. Isso permite que os clientes reutilizem seu próprio provedor de autenticação e apliquem automaticamente seus próprios controles de segurança, como requisitos de complexidade de senha e autenticação de dois fatores (2FA). O produto oferece suporte ao controle de acesso baseado em funções (RBAC) para gerenciar permissões.

Análise de vulnerabilidades: Utilizamos scanners de vulnerabilidades para analisar automaticamente nossa infraestrutura em nuvem, imagens de contêineres e dependências, além de realizar análises estáticas de aplicativos para garantir o cumprimento das melhores práticas. 

Detecção de intrusões: Utilizamos uma solução de detecção de intrusões (IDS) para detectar acessos não autorizados aos nossos sistemas.

Registros de auditoria: Registramos eventos relevantes em nossa infraestrutura (por meio do AWS Cloud Trail) e coletamos registros detalhados das aplicações para acompanhar as atividades em nossa plataforma.

Práticas de desenvolvimento seguro: Seguimos as melhores práticas de segurança ao desenvolver nossas aplicações (como o OWASP Top 10). Todas as alterações no código passam por uma revisão obrigatória que inclui a verificação de possíveis problemas de segurança. Além disso, utilizamos o Teste Estático de Segurança de Aplicações (SAST) para detectar vulnerabilidades em nossa base de código. Também verificamos as dependências do código em busca de vulnerabilidades conhecidas.

Testes de penetração externos: Realizamos testes de penetração anuais com especialistas em segurança independentes para garantir que nossos sistemas não sejam acessíveis a agentes mal-intencionados.

Acesso dos funcionários: Seguimos o Princípio do Privilégio Mínimo e minimizamos o acesso dos funcionários aos dados de produção. Os direitos de acesso são concedidos pelos administradores por meio de um processo de emissão de tickets, a fim de garantir o rastreamento do processo de concessão de permissões. Além disso, coletamos registros de auditoria relacionados à nossa infraestrutura de dados para rastrear as alterações feitas pelos funcionários. Todos os funcionários devem concluir um treinamento sobre segurança e privacidade de dados e assinar nossa Política de Controle de Acesso.

Resposta a incidentes: Nossa equipe está de plantão 24 horas por dia, 7 dias por semana, para responder a alertas automáticos, bem como a problemas críticos relatados pelos clientes. Contamos com um plano de resposta a incidentes e treinamos regularmente nossos funcionários nessa área.

Continuidade de negócios e recuperação de desastres: a Taktile mantém uma Política de Continuidade de Negócios (BC), bem como uma Política de Recuperação de Desastres (DR). Realizamos testes anuais para simular como nossa empresa responderia e manteria operações consistentes em diferentes cenários de crise. Mantemos backups diários de todos os sistemas de produção para poder restaurar os dados em tempo hábil.

RGPD e outras regulamentações de privacidade: Estamos comprometidos em proteger os dados dos clientes e ajudá-los a cumprir as leis e regulamentações locais. A Taktile está em conformidade com o RGPD e atua como Subcontratante, conforme descrito em nosso Acordo de Tratamento de Dados (DPA). Caso deseje consultar uma cópia do nosso DPA, entre em contato com seu Gerente de Contas. 

Infraestrutura regionalizada para manter os dados confidenciais localizados: Mantemos as informações confidenciais dos clientes que transitam por nossos sistemas como parte do processo de tomada de decisão na região da AWS preferida por nossos clientes, a fim de ajudá-los a cumprir suas obrigações de localização de dados. 

Solicitações de informações e exclusão: Contamos com identificadores para rastrear informações confidenciais dos clientes em nossos sistemas e podemos recuperar ou excluir essas informações mediante solicitação, a fim de ajudar nossos clientes a cumprir suas obrigações relacionadas à privacidade.

Caixa de entrada de vulnerabilidades: você pode divulgar vulnerabilidades de forma responsável enviando um e-mail para security@taktile.com. Por favor, inclua o nível de gravidade da vulnerabilidade e detalhes suficientes para que possamos verificá-la. Ofereceremos recompensas não monetárias a nosso critério.