Página de confiança do Eddy AI

Objetivo: A política visa garantir o uso adequado e eficaz da criptografia para proteger a confidencialidade, autenticidade e integridade das informações.

Escopo: A política se aplica a todos os sistemas de informação desenvolvidos e/ou controlados pela Document360 que armazenam ou transmitem dados confidenciais.

Proprietário da apólice: O CEO é responsável pela política.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Avaliação de risco: o Document360 avalia os riscos e implementa controles criptográficos para mitigá-los quando apropriado.

Padrões de criptografia: A criptografia forte com processos e procedimentos de gerenciamento de chaves associados deve ser implementada e documentada de acordo com os padrões do setor, incluindo o NIST SP 800-57. Temos uma implementação parcial da Estrutura de Gerenciamento de Riscos de IA do NIST.

Gerenciamento de chaves: o acesso a chaves e segredos é rigidamente controlado e há recomendações específicas para o uso de chaves criptográficas, incluindo tipos de chave, algoritmos e comprimentos de chave para vários domínios, como certificados da Web, cifras da Web e armazenamento de endpoint.

Exceções: As solicitações de exceções à política devem ser enviadas ao CEO para aprovação e devem ser documentadas.

Violações e Execução: Violações conhecidas devem ser relatadas ao CEO e podem resultar em ação disciplinar, incluindo rescisão do contrato de trabalho.

Dados em repouso: Os dados confidenciais em repouso devem ser criptografados usando criptografia simétrica com AES-256 bits por um período máximo de 1 ano.

Senhas: As senhas devem ser criptografadas usando funções de hash unidirecionais como Bcrypt, PBKDF2, scrypt ou Argon2, com uma chave de 256 bits e um trecho de 10K, incluindo um sal e pimenta criptográficos exclusivos.

Objetivo e Escopo: O documento tem como objetivo fornecer um plano para o gerenciamento de incidentes e eventos de segurança da informação, abrangendo todas essas ocorrências dentro da empresa.

Definições: Esclarece a diferença entre um evento de segurança (uma ocorrência observável relevante para a segurança de dados) e um incidente de segurança (um evento que resulta em perda ou dano à segurança de dados).

Relatórios e documentação: Os funcionários são instruídos a relatar quaisquer incidentes suspeitos imediatamente usando canais de comunicação específicos, e todos os incidentes devem ser documentados.

Níveis de gravidade: Os incidentes são categorizados em níveis de gravidade S1 (crítico), S2 (alto) e S3/S4 (médio/baixo), com diretrizes claras para escalonamento e resposta.

Equipe de Resposta a Incidentes: Os gerentes de engenharia lideram o esforço de resposta a incidentes, com uma "Sala de Guerra" designada para resposta centralizada. Reuniões regulares são realizadas para atualizar o tíquete de incidente, documentar indicadores de comprometimento e realizar outras atividades de resposta.

Análise de causa raiz: Para incidentes críticos, uma análise de causa raiz é realizada, documentada e revisada pelo Diretor de Engenharia, que decide sobre a necessidade de uma reunião post-mortem.

Processo de resposta: O processo de resposta inclui triagem, investigação, contenção, erradicação, recuperação e proteção, com foco nas lições aprendidas e melhorias de longo prazo.

Segurança física: O documento aborda a segurança física dos sistemas afetados, incluindo procedimentos de isolamento e backup.

Determinação e relatório de violação: Somente o proprietário do produto pode determinar se um incidente constitui uma violação. A empresa deve notificar imediatamente todas as partes relevantes de acordo com as políticas e requisitos regulamentares.

Comunicações externas: A empresa coopera com clientes, controladores de dados e autoridades conforme necessário, com a equipe jurídica e executiva determinando a abordagem.

Funções e responsabilidades: O documento descreve as responsabilidades específicas das funções de resposta a incidentes.

Considerações especiais: Inclui lidar com problemas internos, comunicações comprometidas e comprometimentos de contas raiz.

Status e resumo do incidente: Um modelo detalhado é fornecido para documentar os detalhes do incidente, incluindo data, hora, local, pessoal envolvido, tipo de informação envolvida, indicadores de comprometimento, causa raiz e ações tomadas.

Proprietário da apólice e data de vigência: O proprietário do produto é o proprietário da apólice e o plano entra em vigor em 1º de março de 2024.

Objectivo: Estabelecer funções e responsabilidades claras para a protecção dos sistemas electrónicos de informação e equipamentos conexos.

Proprietário da apólice e data de vigência: O CEO é o proprietário da apólice e o plano entra em vigor em 1º de março de 2024.

Aplicabilidade

• Aplica-se a toda a infraestrutura, segmentos de rede, sistemas, funcionários e prestadores de serviços do Document360 envolvidos em funções de segurança e TI.

Público

• Todos os funcionários e contratados envolvidos no Programa de Segurança da Informação.

• Inclui parceiros, afiliados, funcionários temporários, estagiários, convidados e voluntários.

Funções e responsabilidades

1. Liderança Executiva:

• Aprova despesas de capital para programas de segurança.

• Supervisiona a execução e a comunicação do gerenciamento de riscos de segurança e privacidade da informação.

• Garante a conformidade com leis e normas (por exemplo, GDPR, CCPA, SOC 2, ISO 27001).

• Analisa os contratos de serviço do fornecedor e supervisiona o gerenciamento de riscos de terceiros.

2. Diretor de Engenharia:

• Supervisiona a segurança da informação no desenvolvimento de software.

• Implementa e monitora controles de segurança para processos de desenvolvimento e TI.

• Realiza avaliações de risco de TI e comunica os riscos à liderança.

3. VP de Suporte ao Cliente:

• Gerencia ferramentas e processos de segurança da informação em ambientes de clientes.

• Garante a conformidade com as políticas de retenção e exclusão de dados.

4. Proprietários do sistema:

• Manter a confidencialidade, integridade e disponibilidade dos sistemas de informação.

• Aprove solicitações de acesso e alteração para seus sistemas.

5. Funcionários, contratados, trabalhadores temporários:

• Agir com responsabilidade para proteger a saúde, a segurança e os recursos de informação.

• Identifique áreas para melhores práticas de gerenciamento de riscos.

• Relate incidentes e cumpra as políticas da empresa.

6. Diretor de Pessoal

• Garante que funcionários e contratados sejam qualificados e competentes.

• Supervisiona verificações de antecedentes, apresentação de políticas e adesão ao Código de Conduta.

• Avalia o desempenho dos funcionários e fornece treinamento de segurança.

Conformidade com a política

• Conformidade medida por meio de relatórios, auditorias e feedback.

• As exceções devem ser pré-aprovadas pelo CEO.

• O não cumprimento pode levar a ações disciplinares, incluindo rescisão.

Controle de documentos

• Versão: 1.0

• Data: 3 de fevereiro de 2024

Proprietário da apólice e data de vigência: O CEO é o proprietário da apólice e o plano entra em vigor em 1º de março de 2024.

Propósito: Garantir que a segurança da informação seja projetada e implementada dentro do ciclo de vida de desenvolvimento de aplicativos e sistemas de informação.

Âmbito: Aplica-se a todos os aplicativos e sistemas de informações do Document360 que são críticos para os negócios e/ou processam, armazenam ou transmitem dados confidenciais.

Princípios de segurança por design:

• Minimize a área de superfície de ataque.

• Estabeleça padrões seguros.

• Aplique o princípio do privilégio mínimo.

• Implemente a defesa em profundidade.

• Falhe com segurança.

• Evite a segurança pela obscuridade.

• Mantenha a segurança simples.

Princípios de privacidade por design:

• Abordagem proativa e preventiva.

• Privacidade como configuração padrão.

• Privacidade incorporada ao design.

• Funcionalidade completa sem comprometer a privacidade.

• Segurança de ponta a ponta.

• Proteção do ciclo de vida completo.

Ambiente de desenvolvimento: Segregação lógica ou física de ambientes: Produção, Teste/Preparação, Desenvolvimento.

Teste de aceitação do sistema: Estabeleça programas e critérios de teste de aceitação para novos sistemas de informação, atualizações e novas versões. Conclua uma lista de verificação de versão antes de implantar o código.

Proteção de dados de teste: Os dados de teste devem ser selecionados com cuidado, protegidos e controlados. Os dados confidenciais do cliente devem ser protegidos e não devem ser usados para testes sem permissão explícita.

Procedimentos de controle de mudanças: Certifique-se de que o desenvolvimento, o teste e a implantação de alterações não sejam realizados por um único indivíduo sem aprovação e supervisão.

Controle de versão de software: Todo o software é controlado por versão, com acesso restrito com base na função.

Conformidade com a política: Medido por meio de relatórios, auditorias e feedback. O não cumprimento pode resultar em ação disciplinar, incluindo rescisão.

Proprietário da apólice: O CEO é responsável pela política.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Objetivo: A política visa estabelecer e manter um ambiente seguro e inclusivo para todos os funcionários.

Escopo: Esta política se aplica a todos os membros da equipe em todos os ambientes profissionais dentro da organização.

Cultura: A cultura organizacional promovida por esta política enfatiza o respeito, a colaboração e a consideração entre todos os funcionários.

Comportamento esperado: Espera-se que os membros da equipe participem ativamente da criação de um ambiente de trabalho respeitoso e colaborativo.

Comportamento inaceitável: Qualquer forma de assédio, violência, discriminação ou conduta inadequada é estritamente proibida.

Política de Armas: A política proíbe a posse de armas nas dependências da empresa, com consequências estritas para violações.

Consequências: O não cumprimento desta política resultará em ações corretivas imediatas, incluindo medidas disciplinares e a exigência de denunciar violações.

Responsabilidade: O CEO tem a responsabilidade de garantir que todos os membros da equipe cumpram e defendam os princípios descritos nesta política.

Proprietário da apólice: O CEO é responsável pela política.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Propósito: O objetivo desta política é restringir o acesso a informações e sistemas a indivíduos autorizados de acordo com os objetivos de negócios.

Âmbito: Esta política se aplica a todos os sistemas operados pela Document360 que lidam com dados confidenciais de funcionários e partes externas com acesso à rede.

Resumo do controle de acesso e gerenciamento de usuários:

Identificando usuários: Os privilégios de acesso são alocados com base em funções de trabalho específicas e competências necessárias para executar tarefas.

Manutenção de autorização: Todas as alocações de acesso privilegiado são documentadas e mantidas para garantir a responsabilidade.

Aplicação de medidas de segurança: A autenticação multifator (MFA) é obrigatória para acesso privilegiado para aumentar a segurança. IDs administrativos genéricos são proibidos para impedir o uso não autorizado.

Adoção de protocolos: As permissões de acesso com limite de tempo são concedidas para limitar a exposição e reduzir os riscos de segurança.

Registro e auditoria: Todos os logins e atividades privilegiados são registrados e auditados para monitorar o acesso não autorizado ou o uso indevido.

Avaliações de acesso do usuário: Revisões regulares garantem que identidades distintas e apropriadas sejam mantidas para aqueles com acesso privilegiado.

Política de controle de acesso: O acesso é restrito apenas a partes autorizadas, garantindo que as informações permaneçam protegidas.

Gerenciamento de senhas: Procedimentos de logon seguros e políticas de senha são implementados para proteger contra acesso não autorizado.

Provisionamento de acesso do usuário: As permissões de acesso são concedidas com base em requisitos de negócios documentados e necessidades validadas.

Violações e Execução: As violações desta política são relatadas e estão sujeitas a medidas de aplicação para manter a conformidade e a segurança.

Proprietário da apólice: O CEO é responsável pela política.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Propósito: Para garantir que as informações sejam classificadas, protegidas, retidas e descartadas com segurança com base em sua importância para a organização.

Âmbito: Aplica-se a todos os dados, informações e sistemas de informações do Document360.

Classificação de dados: Confidencial: dados altamente confidenciais que precisam dos mais altos níveis de proteção. Os exemplos incluem dados de clientes, PII, finanças da empresa, planos estratégicos e relatórios técnicos.

Restrito: Informações proprietárias que exigem proteção completa. Classificação padrão para todas as informações da empresa, salvo indicação em contrário. Os exemplos incluem políticas internas, documentos legais, contratos e e-mails.

Público: Informações destinadas ao consumo público e podem ser distribuídas gratuitamente. Exemplos incluem materiais de marketing e descrições de produtos.

Tratamento de dados:

Dados confidenciais:

• Acesso restrito a funcionários ou departamentos específicos.

• Deve ser criptografado em repouso e em trânsito.

• Não deve ser armazenado em dispositivos pessoais ou mídias removíveis.

• Requer armazenamento e descarte seguros.

Dados restritos:

• Acesso restrito a usuários com base na necessidade de saber.

• Requer aprovação da gerência para transferência externa.

• O armazenamento e descarte seguros são obrigatórios.

Dados Públicos: Não são necessários controles especiais de proteção ou manuseio.

Retenção e descarte de dados:

• Dados retidos pelo tempo necessário para requisitos comerciais, regulatórios ou contratuais.

• Dados confidenciais e restritos excluídos com segurança quando não são mais necessários.

• PII excluídas ou desidentificadas quando não são mais necessárias para fins comerciais.

Revisão anual de dados: A gerência analisa os requisitos de retenção de dados anualmente para garantir a conformidade com a política.

Requisitos legais: Os dados associados a retenções legais ou ações judiciais estão isentos dos requisitos padrão da política e são retidos de acordo com as estipulações do advogado.

Conformidade com a política: Conformidade medida por meio de relatórios e auditorias de ferramentas de negócios.

Exceções: Quaisquer exceções à política exigem a aprovação do CEO.

Violações e Execução: Violações conhecidas da política devem ser relatadas ao CEO e podem resultar em ações disciplinares, incluindo rescisão do contrato de trabalho.

Proprietário da apólice: O CEO é responsável pela política.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Objetivo e escopo:

• Garantir a operação segura dos sistemas e instalações de processamento de informações.

• Aplica-se a todos os sistemas de informação críticos do Document360 e entidades de terceiros com acesso à rede.

Procedimentos operacionais documentados:

Os procedimentos técnicos e administrativos devem ser documentados e acessíveis aos utilizadores relevantes.

Gerenciamento de mudanças:

• Mudanças significativas devem ser documentadas, testadas, revisadas e aprovadas antes da implantação.

• Mudanças de emergência requerem revisão e autorização retrospectivas.

Gerenciamento de capacidade:

• Monitore e ajuste os recursos de processamento e o armazenamento do sistema para atender aos requisitos de desempenho.

• Incluir a capacidade de recursos humanos no planejamento e nas avaliações anuais de risco.

Prevenção de vazamento de dados:

• Identifique e classifique as informações de acordo com a Política de Gerenciamento de Dados.

• Treine os usuários sobre o manuseio adequado de informações confidenciais.

• Use ferramentas de prevenção de perda de dados (DLP) com base na avaliação de risco.

Filtragem da Web:

• Implemente o bloqueio de DNS e IP para restringir o acesso a sites arriscados.

• Bloqueie sites com conteúdo malicioso ou servidores de comando e controle, a menos que seja necessário para os negócios.

Separação de Ambientes:

• Separe estritamente os ambientes de desenvolvimento, preparação e produção.

• Não use dados confidenciais do cliente de produção em ambientes de desenvolvimento ou teste sem aprovação.

Configuração de sistemas e rede:

• Siga os padrões de configuração e proteção para manter a segurança do sistema e da rede.

• Revise as regras de configuração de acesso à rede de produção anualmente.

Proteção contra malware:

• Implemente controles de detecção, prevenção e recuperação de malware.

• Utilize software antimalware e de detecção de ameaças em todos os endpoints e e-mails da empresa.

Backup de informações: Projetar e implementar processos de backup para sistemas e dados, garantindo a recuperação de dados do cliente de acordo com os SLAs.

Registro e monitoramento: Implemente o registro e o monitoramento para detectar e responder a incidentes de segurança.

Controle de Software Operacional: Gerenciar a instalação e o uso de software operacional de acordo com as regras estabelecidas.

Inteligência de ameaças: Colete e analise ameaças à segurança da informação para produzir inteligência acionável.

Gerenciamento técnico de vulnerabilidades: Identifique, avalie e resolva vulnerabilidades técnicas em tempo hábil.

Restrições à instalação de software: Estabeleça regras para instalação de software para garantir a segurança e a conformidade.

Considerações sobre auditoria de sistemas de informação: Planeje e concorde com os requisitos de auditoria para minimizar interrupções nos processos de negócios.

Avaliação e requisitos de segurança de sistemas: Inclua requisitos de segurança na aquisição ou alterações significativas nos sistemas.

Mascaramento de dados: Implemente técnicas de mascaramento de dados para proteger PII e dados confidenciais com base na avaliação de risco.

Proprietário da política: o CEO é responsável pela política de retenção de dados.

Data de vigência: A política entra em vigor em 1º de março de 2024.

Objetivo: esta política descreve como os dados são armazenados, analisados e excluídos no Document360, garantindo transparência e controle do usuário sobre as informações retidas.

Escopo: essa política se aplica a todos os clientes que usam o Document360, incluindo projetos de base de dados de conhecimento públicos e privados.

Coleta de dados:

• Para sites públicos: nenhum dado no nível do usuário é coletado.

• Para projetos privados: coletamos dados no nível do usuário, incluindo a identidade do usuário que envia um prompt, carimbos de data/hora e outras informações do usuário disponíveis no Document360.

Uso de dados: O Document360 armazena todos os prompts/perguntas inseridos no Eddy AI Chatbot para realizar as seguintes análises:

• Análise tópica: agrupamento de perguntas/prompts usando algoritmos internos e APIs OpenAI.

• Análise de citações: Identificando os artigos mais citados.

• Métricas: Exibir métricas de profundidade e rastrear perguntas respondidas versus não respondidas.

Personalização: Esta política não é personalizável pelo cliente, mas os clientes têm o direito de solicitar a exclusão de seus dados a qualquer momento durante o período do contrato.

Retenção e exclusão de dados:

• Todos os dados coletados são retidos em seu projeto do Document360.

• Os dados são excluídos permanentemente quando o projeto da base de dados de conhecimento é excluído.

• Você pode solicitar a exclusão desses dados a qualquer momento durante seu contrato com a Document360.

Responsabilidade: O CEO é responsável por garantir a implementação e a conformidade desta política em todas as contas e projetos de clientes.