Legal & Compliance

Política de privacidade externa

Política de Segurança da Informação (ISP)

Security Measures

At CAF, we are committed to following the most effective security practices and measures, ensuring that access is controlled and data is safe and secure.

Our Guidelines

To continuously improve our security posture, we use ISO 27001 and CIS Controls to measure the maturity of our security programs. CAF is a company certified in the ISO/IEC 27001:2022 standard.

Safety education and awareness

We recognize our employees as a line of defense in protecting CAF's and our clients' data. To support effectiveness, we have a dedicated team promoting security awareness following SANS guidelines, a global standard of excellence in information security training and best practices.

Our programs begin with the onboarding process for new employees, ensuring they are familiar with secure practices from the start. Additionally, we maintain a commitment to continuous training in data security and personal information protection.

We train our employees to effectively identify and report commonly used attack vectors, such as phishing. We have implemented a regular training strategy for employees who have not succeeded in at least one monthly simulation. Those who fail more than one simulation participate in individualized sessions in addition to specific training.

The effectiveness of our awareness programs is monitored through performance indicators, ensuring continuous improvement. The training schedule is periodically reviewed, incorporating market trends and the evolving maturity of our employees.

We foster an active security culture through various communication and engagement initiatives:

Biweekly newsletter: We maintain continuous security communication with all employees.

Social media content: We share useful security tips for our clients and followers.

Corporate Podcast: A space where employees share security knowledge.

Engagement events: We host a public event open to employees’ families and the community, aimed at promoting safety awareness. We also organize another type of event focused on employees and third parties, fostering knowledge-sharing and discussions on cybersecurity beyond the work environment.

These initiatives ensure that our employees are always informed and prepared to face security challenges, reinforcing our proactive stance on data protection.

Asset Management

Assets are centrally managed through an inventory management system that stores and tracks the owner, location and status of assets.

After acquisition, assets are verified and tracked, and assets under maintenance are verified and monitored for ownership, status and resolution. It is also worth mentioning that CAF operates 100% in the cloud and therefore, there is no need to inventory physical assets for AWS cloud resources.

Media storage devices used to store customer data are classified as critical and appropriately treated as high impact throughout their lifecycles.

AWS uses strict standards for how to install, maintain, and eventually dispose of devices when they are no longer useful. When a storage device reaches the end of its useful life, it is retired using techniques detailed in NIST 800-88. Media used to store customer data is not removed from control until it has been safely retired.

Access, Identification, and Authentication

CAF strictly controls and monitors access to production environments. Only employees whose job roles require access may qualify for permission to access our systems.

Privileged employees of CAF, such as platform reliability engineers, use segregated accounts for administrative access to the environment. Additionally, all CAF accounts, not just those related to reliability, require multi-factor authentication (MFA) as an additional layer of security when accessing company-managed computers. This enhances protection and ensures that only authorized users can perform corporate operations.

All computers have usage logs sent to our SIEM.

Repositories with platform codes are private, adding and removing users from the organization is part of the onboarding and offboarding processes.

Only CAF developers and tech leads have access to code repositories.

We adopt secure configurations and a robust password policy for accessing our systems, such as the minimum number of characters and special characters, not using the last passwords, session control and inactivity, and many more.

When an employee is terminated, notification from Human Resources triggers a set of tasks that protect access to the production system. Upon termination, privileged accounts are locked out, active connections are terminated, and two-factor authentication tokens are removed. Our access control team periodically review logical access and verify that terminated users have been removed from their systems via an internal ticketing system.

We also review employee transfers and ensure that network, server and database access to production systems is still appropriate for their new job role.

Data Classification and Protection

At CAF, the data must be classified considering the impacts of confidentiality, integrity and availability in high, moderate and low. This structure will result in one of four classifications: restricted, confidential, internal, or public.

We implement the same rigorous classification for files, emails, and data stored in AWS, ensuring that all data, regardless of its location, is adequately protected and managed according to its security and access requirements.

Personally Identifiable Information (PII)

Our critical information must always be encrypted not only in transit but also at rest. Therefore, all sensitive data is encrypted.

Data Retention

CAF does not actively delete any data owned by our customers without their express consent. This also includes cases of compliance with the request of holders of personal data and termination of the client's contract with CAF, in which there is a request for us to delete the client's data, including personally identifiable data.

Secure Data Transfer

As previously mentioned, our customer’s data are extremely valuable and we preserve their integrity and confidentiality throughout their entire life cycle. Therefore, CAF does not transfer or disclose customer data, except to provide the services and prevent or solve technical or service problems, at the request of the customer in connection with support issues or as required by law. We comply with governance obligations under a variety of regional privacy and data protection regulations such as the European Union General Data Protection Regulation (GDPR) and the Brazilian General Data Protection Law (LGPD).

CAF is fully committed to complying with Data Protection Regulations; that's why we are constantly updating our personal data security and privacy procedures in compliance with all applicable data protection laws in the countries where we provide services.

Cryptographic Controls

CAF uses TLS for data in transit and AES 256 for data at rest.

Encryption keys are provided by the AWS service. Access keys are stored in a segregated environment with proper cryptographic protection. To manage cryptographic keys, we use AWS Key Management, which stores and protects cryptographic keys to make them highly available while providing strong and flexible access control.

CAF data center security

Our and our customer’s data is hosted on AWS, a public cloud infrastructure service provider. CAF has agreements with this provider to ensure a baseline of physical security and environmental protection to run our services.

Before choosing a location, AWS performs initial environmental and geographic assessments. The selection of datacenter locations is done with great care to reduce environmental risks such as flooding, extreme weather and seismic activity. Our Availability Zones are designed to be self-contained and physically separate from each other.

AWS allows only approved employees physical access to the data center. All employees who need to access the data center first must request access and provide a valid justification. It is also worth noting that AWS operates its datacenters in compliance with Tier III+ (UpTime Institute) guidelines.

AWS compliance standards are broken down by certificates and declarations; laws, regulations, privacy; alignments and frameworks.

Data Storage

All CAF services are available via a cloud provider (AWS). Resources are hosted in N. Virginia (us-east-1).

Data volumes and backups are encrypted with industry standard algorithms (AES-256).

Backups are taken daily and kept for 7 days in the mentioned regions.

Host Security

CAF computers use operating systems that are configured and hardened in accordance with industry best security practices.

We adopt the following measures:

● Applying critical security patches to operating systems;

● Activation and centralization of system logs, so as not to lose important system information;

● Monitoring of stored data, to avoid misuse of our customer’s data;

● Activation of host firewalls;

● Disk encryption;

● Blocking of potentially dangerous ports and services, such as RDP and

SMB;

● Removal of unnecessary and standard processes, accounts and protocols

to reduce the attack surface of the equipment;

● Synchronization with centralized time server;

● Screen lock after 5 min of inactivity;

● Enabling command-line logging on Windows systems;

● Removing administrator permission from local users;

● Installation of anti-malware software (EDR) with centralized logs and alerts.

● DNS query monitoring with blocking of malicious addresses.

Security Logging and Monitoring

The information security monitoring system consists of a series of resources and software related to Information Technology, used to prevent the important data of a business or its customers from being accessed and exploited by third parties.

Sensitive data in our environment is monitored and, with real-time alerts, allows us to take immediate action. Even privileged employee access is monitored.

Our critical services are monitored in order to identify possible anomalies and cyber threats. Event logs from CAF's internal infrastructure and infrastructure providers are collected and centralized by our detection and response system. Through predefined rules and using correlated detection logic, alerts are generated. When this occurs, our incident response team investigates the causes of these alerts using standard processes and procedures.

Vulnerability Management

CAF rigorously evaluates resources by testing and identifying vulnerabilities, performing scans and penetration tests in our environments.

We have a schedule for vulnerability checks. These checks occur constantly and automatically through tools that identify changes in our domains and cloud environments.

Identified vulnerabilities are treated and addressed in our vulnerability management process, being properly managed throughout their life cycle.

Additionally, we have contracts with external partners to perform annual penetration testing on our services.

Secure Development Cycle

At CAF we integrate security requirements into all stages of the platform development cycle, using the Secure Software Development Lifecycle (SSDLC) process.

Through this methodology, our development engineers work with agile processes, considering the safety issues and concerns of our products.

We care about following the best market guidelines when it comes to Secure Development, which is why CAF engineers develop following the OWASP Top 10 methods, in order to prevent any malicious code.

In addition, CAF has a code scanning system in the repository that acts by capturing possible vulnerabilities and errors within the software development cycles.

Management and Assessment of Third Parties

CAF has an established security risk analysis process for critical vendors, i.e. those who will handle sensitive data.

We assess the maturity and security posture of these vendors, with the aim of understanding what the risks and gaps are and directing these issues to the appropriate internal decision-making. In addition, all suppliers go through the risk assessment flow for adherence to personal data protection laws and business risk analysis. Only after all the necessary assessments and with an adequate level of maturity do we proceed with hiring.

Disaster Recovery

Our Disaster Recovery plan is focused on ensuring the continuity of operations and the availability of critical resources in the event of a disaster, containing instructions on what actions to take and how to respond to unplanned incidents characterized as a crisis. These incidents can be related to natural disasters, cyber attacks and any other disruptive events.

Security Maturity

We are ISO 27001 certified and adopt a personalized approach to risk management, evaluating each employee individually. We use specific indicators to measure their level of exposure and implement targeted actions to strategically and effectively strengthen security.

Medidas de segurança aplicadas pela Caf

Compromisso da CAF

Na CAF, temos o compromisso de seguir as práticas e medidas de segurança mais eficazes, garantindo que os acessos sejam controlados e os dados estejam seguros e protegidos.

Nossas Diretrizes

Para melhorar continuamente nossa postura de segurança, usamos o ISO27001 e o CIS Controls para medir a maturidade de nossos programas de segurança. A CAF é uma empresa certificada na norma ISO SO/IEC 27001:2022.

Educação e conscientização sobre segurança

Reconhecemos nossos colaboradores como uma linha de defesa na proteção dos dados da Caf e de nossos clientes. Para apoiar na eficácia, contamos com uma equipe dedicada à promoção da conscientização em segurança, seguindo as diretrizes do SANS, um padrão global de excelência em treinamentos e melhores práticas em segurança da informação.

Nossos programas abrem com o processo de integração para novos colaboradores, garantindo sua familiarização com práticas seguras desde o início. Além disso, mantemos um compromisso com o treinamento contínuo em segurança de dados e proteção de informações pessoais.

Treinamos nossos colaboradores para identificar e denunciar com eficácia vetores de ataque frequentemente utilizados, como phishing. Implantamos uma estratégia de treinamento regular para colaboradores que não atingiram sucesso em ao menos um simulado mensal. Aqueles que falham em mais de um simulado participam, além do treinamento específico, de sessões individualizadas.

A eficácia dos nossos programas de conscientização é monitorada através de indicadores de desempenho, assegurando melhorias contínuas. O cronograma de treinamentos é revisado periodicamente, incorporando tendências de mercado e a evolução da maturidade dos nossos colaboradores.

Fomentamos uma cultura de segurança ativa por meio de diversas iniciativas de comunicação e engajamento:

Newsletter quinzenal: mantemos uma comunicação contínua sobre segurança com todos os colaboradores.

Conteúdo em redes sociais: compartilhamos dicas de segurança úteis para nossos clientes e seguidores.

Podcast corporativo: um espaço onde colaboradores compartilham conhecimentos sobre segurança.

Eventos de engajamento: Temos um evento aberto ao público e familiares dos colaboradores, com objetivo de levar segurança para a comunidade. E outro tipo de evento com o foco nos colaboradores e terceiros, para trocas de conhecimento e experiências que envolvam cibersegurança para além da jornada de trabalho.

Estas iniciativas asseguram que nossos colaboradores estejam sempre informados e preparados para enfrentar desafios de segurança, solidificando nossa postura proativa na proteção de dados.

Gestão de Ativos

Os ativos são gerenciados centralmente por meio de um sistema de gerenciamento de inventário que armazena e rastreia o proprietário, a localização e o status dos ativos.

Após a aquisição, os ativos são verificados e rastreados, além disso, os ativos em manutenção são verificados e monitorados quanto à propriedade, status e resolução.

Vale ainda ressaltar que a CAF opera 100% na nuvem e assim, não há necessidade de inventário de ativos físicos para os recursos na nuvem da AWS.

Os dispositivos de armazenamento de mídia usados para armazenar dados do cliente são classificados como críticos e tratados adequadamente, como de alto impacto, ao longo de seus ciclos de vida.

A AWS utiliza padrões rigorosos sobre como instalar, fazer manutenção e, eventualmente, destruir os dispositivos quando eles não forem mais úteis. Quando um dispositivo de armazenamento chega ao fim de sua vida útil, ele é desativado usando técnicas detalhadas no NIST 800-88. A mídia utilizada para armazenar os dados do cliente não é removida do controle até que seja desativada com segurança.

Acesso, Identificação, e Autenticação

A CAF controla e monitora rigorosamente o acesso aos ambientes de produção. Somente os funcionários cujas funções de trabalho exigem acesso podem se qualificar com a permissão para acessar nossos sistemas.

Funcionários privilegiados da CAF, como engenheiros de confiabilidade da plataforma, usam contas segregadas para acesso administrativo ao ambiente. Além disso, todas as contas da CAF, e não apenas as de confiabilidade, exigem a autenticação multifator (MFA) como camada adicional de segurança ao acessar computadores gerenciados pela empresa. Isso reforça a proteção e assegura que somente usuários autorizados possam realizar operações corporativas.

Todos os computadores dos administradores têm os logs de uso enviados ao nosso SIEM.

Os repositórios com os códigos da plataforma são privados, adicionar e remover usuários da organização faz parte dos processos de contratação e demissão.

Apenas os desenvolvedores e líderes técnicos da CAF têm acesso aos repositórios de código.

Adotamos configurações seguras e política de senha robusta para o acesso aos nossos sistemas, tais como, quantidade mínima de caracteres e caracteres especiais, periodicidade para alteração das senhas, não utilização das últimas senhas, controle e inatividade de sessão, e muitos mais.

Quando um funcionário é demitido, a notificação de Recursos Humanos aciona um conjunto de tarefas que protegem o acesso ao sistema de produção. Após o encerramento, as contas privilegiadas são bloqueadas, as conexões ativas são encerradas e os tokens de autenticação de dois fatores são removidos. Nossa equipe de controle de acessos revisam o acesso lógico periodicamente e verificam se os usuários encerrados foram removidos dos respectivos sistemas por meio de um sistema de tíquete interno.

Também revisamos as transferências de funcionários e garantimos que os acessos à rede, servidor e banco de dados aos sistemas de produção ainda sejam apropriados para sua nova função de trabalho.

Classificação e Proteção dos Dados

Para nós da CAF os dados devem ser classificados considerando os impactos de confidencialidade, integridade e disponibilidade em alto, moderado e baixo. Essa estrutura resultará em uma das quatro classificações: restrita, confidencial, interna ou pública.

Implementamos esse mesmo rigor de classificação em arquivos, e-mails e dados armazenados na AWS, assegurando que todos os dados, independentemente de sua localização, sejam adequadamente protegidos e geridos conforme suas necessidades de segurança e acesso.

Informações de Identificação Pessoal (PII)

Nossas informações críticas devem sempre ser criptografadas não apenas em trânsito, mas também em repouso. Portanto, todos os dados confidenciais são criptografados.

Retenção dos Dados

A CAF não exclui ativamente nenhum dado de propriedade dos nossos clientes sem que haja a expressa manifestação de vontade deles. Isso também inclui os casos de atendimento à solicitação de titulares de dados pessoais e rescisão do contrato do cliente junto a CAF, em que há o pedido para excluirmos os dados do cliente, incluindo dados de identificação pessoal.

Transferência Segura dos Dados

Como já dito anteriormente, para a CAF os dados dos nossos clientes são extremamente valiosos e preservamos sua integridade e confidencialidade durante todo o seu ciclo de vida. Sendo assim, a CAF não transfere nem divulga dados do cliente, exceto para fornecer os serviços e prevenir ou resolver problemas técnicos ou de serviço, a pedido do cliente em relação a questões de suporte ou conforme exigido por lei. Cumprimos as obrigações de governança sob uma variedade de regulamentações regionais de privacidade e proteção de dados como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei Geral de Proteção de Dados (LGPD) do Brasil

A CAF está totalmente comprometida em cumprir os Regulamentos de Proteção de Dados; é por isso que estamos constantemente atualizando nossos procedimentos de segurança e privacidade de dados pessoais em conformidade com todas as leis de proteção de dados aplicáveis nos países onde prestamos serviços.

Controles Criptográficos

A CAF utiliza o TLS para dados em trânsito e o AES 256 para dados em repouso.

Chaves de criptografia são providas pelo serviço da AWS. Chaves de acesso são armazenadas em ambiente segregado com devida proteção criptográfica. Para realizar a gestão das chaves criptográficas utilizamos a AWS Key Management que armazena e protege as chaves de criptografia para torná-las altamente disponíveis e, ao mesmo tempo, oferece controle de acesso forte e flexível.

Segurança do datacenter da CAF

Os nossos dados e dos nossos clientes estão hospedados na AWS, um provedor de serviços de infraestrutura em nuvem pública, A CAF tem acordos com esse fornecedor para garantir uma linha de base de segurança física e proteção ambiental para executar nossos serviços.

Antes de escolher um local, a AWS faz avaliações ambientais e geográficas iniciais. A seleção dos locais dos datacenters é feita com muito cuidado para reduzir riscos ambientais, como enchentes, condições meteorológicas extremas e atividades sísmicas. Nossas zonas de disponibilidade são criadas para ser independentes e estar fisicamente separadas umas das outras.

A AWS permite que apenas funcionários aprovados tenham acesso físico ao datacenter. Todos os funcionários que precisam acessar o datacenter primeiro devem solicitar o acesso e fornecer uma justificativa válida. Vale ainda ressaltar que a AWS opera seus datacenters em conformidade com as diretrizes do Tier III+ (UpTime Institute).

Os padrões de conformidade da AWS são divididos por certificados e declarações; leis, regulamentos e privacidade; e alinhamentos e frameworks.

Armazenamento dos dados

Todos os serviços da CAF são disponibilizados via provedor de cloud (AWS). Os recursos são hospedados em N. Virgínia (us-east-1).

Os volumes de dados e backups são criptografados com algoritmos padrão de mercado (AES-256).

Os backups são feitos diariamente e mantidos por 7 dias nas regiões mencionadas.

Segurança do Host

Os computadores da CAF usam sistemas operacionais configurados e reforçados de acordo com as práticas de segurança recomendadas do setor.

Adotamos as seguintes medidas:

Aplicação de patches de segurança críticos nos sistemas operacionais;
Ativação e centralização de logs do sistema, para não perdermos informações importantes dos sistemas;
Monitoração de dados armazenados, para evitar uso indevido de dados de nossos clientes;
Ativação dos firewalls de hosts;
Criptografia de disco;
Bloqueio de portas e serviços potencialmente perigosos, como RDP e SMB;
Remoção de processos, contas e protocolos desnecessários e padrão para redução da superfície de ataque do equipamento;
Sincronização com servidor de hora centralizado;
Bloqueio de tela após 5 min de inatividade;
Ativação de logs de linha de comando em sistemas Windows;
Remoção de permissão de administrador dos usuários locais;
Instalação do software antimalware (EDR) com logs e alertas centralizados.
Monitoramento de consultas DNS com bloqueio a endereços maliciosos.

Registro e Monitoramento de Segurança

O sistema de monitoramento de segurança da informação consiste em uma série de recursos, softwares ligados à Tecnologia da Informação, empregados para prevenir que dados importantes de um negócio ou dos seus clientes sejam acessados e explorados por terceiros.

Dados sensíveis em nosso ambiente são monitorados e, com alertas em tempo real, nos permitem tomar ações de forma imediata. Inclusive acessos privilegiados de colaboradores são monitorados.

Os nossos serviços críticos são monitorados visando identificar possíveis anomalias e ameaças cibernéticas. Os logs dos eventos da infraestrutura interna e dos provedores de infraestrutura da CAF são coletados e centralizados pelo nosso sistema de detecção e resposta. Através das regras predefinidas e utilizando lógica de detecção correlacionada, são gerados alertas. Quando isso ocorre, a nossa equipe de resposta a incidentes investiga as causas desses alertas usando processos e procedimentos padrão.

Gestão de Vulnerabilidades

A CAF, avalia rigorosamente os recursos testando e identificando as vulnerabilidades, realizando scans e testes de penetração em nossos ambientes.

Possuímos um cronograma para as verificações de vulnerabilidade. Estas verificações ocorrem de forma constante e automatizada por meio de ferramentas que identificam alterações em nossos domínios e ambientes cloud.

As vulnerabilidades identificadas são tratadas e endereçadas no nosso processo de gestão de vulnerabilidades, sendo devidamente gerenciadas durante todo o seu ciclo de vida.

Além disso, possuímos contratos com parceiros externos para fazer pentest anuais em nossos serviços.

Ciclo de Desenvolvimento Seguro

Na CAF integramos os requisitos de segurança em todas as etapas do ciclo de desenvolvimento da plataforma, usando o processo Secure Software Development Lifecycle (SSDLC).

Através dessa metodologia, nossos engenheiros de desenvolvimento atuam com processos ágeis, considerando as questões e preocupações de segurança dos nossos produtos.

Nos preocupamos em seguir as melhores diretrizes do mercado quando o assunto é Desenvolvimento Seguro, por isso os engenheiros da CAF desenvolvem seguindo os métodos OWASP Top 10, a fim de prevenir qualquer código malicioso.

Além disso, a CAF possui um sistema de escaneamento de código no repositório que age captando possíveis vulnerabilidades e erros dentro dos ciclos de desenvolvimento de Software.

Gestão e Avaliação de Terceiros

A CAF possui um processo estabelecido de análise de risco de segurança para fornecedores críticos, ou seja, aqueles que irão manusear dados sensíveis.

Avaliamos a maturidade e postura de segurança desses fornecedores, com o objetivo de entender quais são os riscos e lacunas e direcionar essas questões para as devidas tomadas de decisões internas. Além disso, todos os fornecedores passam pelo fluxo de avaliação de risco para aderência às leis de proteção de dados pessoais e análise de risco do negócio. Somente após todas as avaliações necessárias e com um nível de maturidade adequado seguimos com a contratação.

Recuperação de Desastres

Nosso plano de Recuperação de Desastres é focado em garantir a continuidade das operações e a disponibilidade de recursos críticos em caso de um desastre, contendo instruções sobre quais ações e como responder a incidentes não planejados e caracterizados como uma crise. Estes incidentes podem estar relacionados a desastres naturais, ataques cibernéticos e quaisquer outros eventos disruptivos.

Maturidade de Segurança

Somos certificados na ISO 27001 e adotamos uma abordagem personalizada para a gestão de riscos, avaliando individualmente cada colaborador. Utilizamos indicadores específicos para medir seu nível de exposição e implementamos ações direcionadas para fortalecer a segurança de forma estratégica e eficaz.

Pronto para elevar a segurança da sua empresa?