Navigation SearchNavigation ContactNavigation Products

Perspectiva Distintiva:
Segurança e Integridade

Desde a sua origem, a DDI tem valorizado sobremodo a integridade dos dados.  A DDI é uma empresa comprometida em conduzir seus negócios de forma a promover a segurança e confiança, o que inclui a utilização e gestão apropriadas dos dados pessoais fornecidos por colegas, clientes e fornecedores.  Cada colaborador da DDI, a nível mundial, foi treinado nas boas práticas de segurança de dados, para melhor proteger os dados dos clientes.

A nossa missão de segurança

  • Ser totalmente transparente acerca de como utilizamos e gerimos os dados.
  • Ajudar os nossos clientes a maximizar os benefícios dos seus dados, minimizando, ao mesmo tempo, os potenciais riscos.
  • Alavancar as boas práticas globais nas nossas políticas de dados e medidas de conformidade.
  • Proporcionar o mais elevado nível de proteção e confidencialidade dos dados aos nossos clientes.

A nossa abordagem à segurança de dados

A DDI aplica uma abordagem multicamadas à Segurança da informação ao proteger os dados dos usuários (informações de candidatos, participantes, aprendizes, administradores e clientes) e ao prevenir o acesso, alteração ou destruição não autorizados.  Os nossos processos e políticas são concebidos para:

  • Definir mecanismos para proteger os dados e impedir a sua utilização imprópria
  • Informar os colaboradores da DDI acerca da importância de uma gestão segura dos dados e do reconhecimento de possíveis ameaças à segurança
  • Fornecer um canal de comunicação para consultas externas acerca desta política e de sistemas associados

Administração da Segurança

Para garantir a integridade dos dados, a DDI possui recursos, políticas e processos dedicados à proteção de dados, incluindo um Gabinete de Segurança de Dados e um Gestor de Proteção de Dados, que monitorizam regularmente as normas mundiais. 

O Gestor da Proteção de Dados (GPD) da DDI estipula e aplica a visão e a estratégia do programa de segurança e conformidade da empresa, cuja finalidade é atingir a consistência global, garantindo que os riscos sejam adequadamente geridos e os objetivos alcançados.

Treinamento em Segurança

A DDI ministra regularmente treinamentos aos seus associados para que conheçam as boas práticas de privacidade, confidencialidade e segurança de dados.   Os usuários finais são treinados para reconhecer e evitar ataques de phishing, armadilhas de engenharia social, links maliciosos e transferências remotas de arquivos (downloads).

Processamento de Dados

A DDI assume o papel de Administrador ou Processador de dados, dependendo do contexto da atividade de negócios.  Quando os dados são captados e processados no contexto de marketing, vendas ou pesquisas conduzidas pela DDI, esta atua como um “Administrador de dados” e cumpre todas as responsabilidades e exigências de segurança de dados prescritas no âmbito dessa função.  Quando os dados são captados e tratados no contexto de uma interação financiada pelo cliente, o cliente assume a função de Administrador de dados.  A DDI atua como "processados de dados" e cumpre todas as responsabilidades e exigências de segurança dos dados prescritas no âmbito dessa função. 

Segurança nas Parcerias

A segurança e confidencialidade dos dados dos clientes é uma responsabilidade compartilhada entre a DDI e seus clientes.  A DDI fornece uma plataforma segura na qual os clientes podem acessar os seus dados.  Além disso, a DDI fornece ferramentas, serviços, assistência e recursos que permitem aos seus clientes garantir a segurança dos seus dados ao longo de todo o ciclo de vida da interação. Consulte a Declaração de Privacidade da DDI.

Os clientes são corresponsáveis pela segurança dos seus dados durante e após a sua interação com a DDI.  Os clientes devem compreender quais dados estão sendo coletados e mantidos nos sistemas da DDI e definir uma política apropriada de compartilhamento de dados para garantir que os dados sejam compartilhados apenas com aqueles autorizados a acessá-los.  A política de partilha de dados deve estar em consonância com os requisitos de risco e conformidade, de acordo com a importância e classificação desses dados.

Classificações de Dados

  • Dados pessoais incluem quaisquer informações que possam identificar um indivíduo. Nós coletamos, acessamos e utilizamos ou divulgamos dados pessoais apenas para fins comerciais válidos e apropriados. Nós protegemos adequadamente essas informações e não as partilhamos com ninguém, dentro ou fora da empresa, sem uma necessidade comercial válida e vigente.
  • Dados particulares/confidenciais são quaisquer ativos de informação para os quais existam requisitos legais destinados a evitar a divulgação, ou cuja divulgação comprometa seriamente a confidencialidade do indivíduo.  O acesso aos dados confidenciais é limitado aos usuários internos da DDI para que os serviços comerciais contratados e/ou a gestão da segurança dos dados possam ser realizados.  As aplicações de Software como Serviço (SaaS) da DDI não adquirem nem armazenam ativos de informação confidenciais. 
  • Dados de diagnóstico/desempenho são captados durante o processo de cumprimento das obrigações contratuais para com os nossos clientes, no contexto indicado e detido pelo cliente.  Os depósitos de dados de aplicações da DDI têm controlos rigorosos que impedem a divulgação desses dados a terceiros não autorizados.  O acesso aos mesmos está limitado aos usuários internos da DDI que deles necessitem para prestar os serviços comerciais contratados e/ou para procederem a gestão de dados, bem como aos usuários identificados e autorizados pelo cliente e de acordo com a política de compartilhamento de dados do mesmo.
  • Dados públicos são informações que estão disponíveis para divulgação pública ou que podem ser acessadas a partir de outras fontes públicas.  No entanto, a maior parte das informações acerca de indivíduos é tratada como Confidencial ou Particular mesmo que esteja publicamente disponível.

Direitos de Acesso Mínimo

Aos dados

O acesso a todos os dados (independentemente da classificação) é fornecido mediante o modelo de segurança de "Princípio do Privilégio Mínimo", ou seja, concedido aos que têm uma necessidade comercial legítima, tais como usuários finais, administradores de clientes e diversas equipes da DDI e de suporte ao cliente.  Podem ser utilizadas medidas adicionais para garantir que os dados sejam protegidos de acordo com os requisitos de cada classificação.  Os indivíduos a quem pode ser concedido acesso incluem:

Usuários finais

Os usuários finais são as pessoas que participam de um processo online (como, por exemplo, um teste ou uma avaliação) ou criam ou respondem a uma pesquisa.

Administrador de clientes

Os administradores de clientes são os usuários finais do sistema que gerem contas e processos de fluxo de trabalho dentro de um sistema de aplicação da DDI como, por exemplo, gestores de contratação, profissionais de desenvolvimento de pessoal e outras funções em Recursos Humanos.  Os administradores podem ser associados dos clientes ou da DDI que introduzem informações pessoais em nome dos clientes ou candidatos e que podem gerir o seu prosseguimento pelas diferentes fases do processo. 

Pessoal de Suporte

Quando um usuário solicita assistência técnica à equipe de Suporte ao Produto da DDI, esse usuário pode conceder acesso temporário à conta a um representante do suporte.  A equipe de assistência pode precisar visualizar um teste, avaliação ou pesquisa de um usuário individual como parte da resolução do incidente de suporte.

Às aplicações

As aplicações utilizam um modelo de segurança baseado na função para determinar os direitos de acesso. Os dados do cliente são logicamente segregados com base no local, documento, usuário e outros critérios.  As alterações do sistema são controladas através de um processo de gestão de alterações de acordo com as boas práticas.

Às contas

Os usuários finais recebem "acesso com os privilégios mínimos" para fazerem o seu trabalho com eficácia e eficiência.  Toda a administração e gestão de contas é rigorosamente controlada pela DDI. As contas de usuários estão obrigadas a ter senhas fortes e protetores de tela protegidos senhas.  O acesso à conta será automaticamente desativado após falhas excessivas de início de sessão ou cessação de vínculo empregatício.

À bases de dados

Membros selecionados da nossa equipe de engenharia têm acesso a nível das bases de dados. Esse acesso é utilizado para criar cópias de segurança externas e para restauração de dados. Tudo isso é feito sem visualização dos dados.

Aos centros de dados ou cópias de segurança

O acesso físico aos Centros de dados está limitado a uma lista de nomes de associados da DDI. Acesso físico não significa acesso aos dados. As mídias físicas residem em servidores em gabinetes trancados. As cópias de segurança externas são armazenadas num cofre à prova de fogo numa divisão protegida. O acesso a essa divisão é restrito e registado.

Transmissões Seguras

Geralmente, quando são utilizadas aplicações da DDI, os dados são transmitidos entre três partes importantes: o cliente, os seus colaboradores/candidatos e a DDI.  Quando um usuário final acessa uma aplicação da DDI, as informações fornecidas são enviadas através de métodos encriptados seguros (HTTPS).  Os dados processados pelos nossos servidores de aplicações são enviados para os nossos servidores de bases de dados para serem armazenados. Os servidores Web/de aplicações e de bases de dados estão localizados em redes físicas e lógicas separadas, protegidas por firewalls.

A DDI utiliza SSL/TLS 1.2 para acesso seguro a dados de aplicação HTTPS. A DDI utiliza SSL/TLS 1.2 para acesso seguro a dados de aplicação HTTPS. A tecnologia SSL é oferecida como padrão para todas as aplicações da DDI e todas as fitas de cópia de segurança utilizam  encriptação AES de 256 bits. A encriptação é utilizada para as senhas armazenadas nas bases de dados das aplicações.  Todos os arquivos (independentemente da confidencialidade) permanecem encriptados quando copiados de um equipamento portátil da DDI para um dispositivo de armazenamento externo.

Processo de Desenvolvimento do Produto e Gestão de Códigos

Ciclo de Desenvolvimento e Liberação

A DDI emprega um modelo de desenvolvimento ágil.  O Agile é uma abordagem iterativa ao desenvolvimento de software e proporciona uma capacidade bastante flexível que permite à DDI responder rapidamente às necessidades dos seus clientes.  Nós temos um ciclo planejado de liberação de novos códigos -  em geral, um ciclo semanal – o que significa que a cada semana, aproximadamente, a DDI lança novos recursos e atualizações.  O modelo de desenvolvimento ágil proporciona frequentemente janelas para melhorar as funcionalidades existentes e/ou adicionar outras novas. Fora desse ciclo, podemos fazer liberações imediatas ("correção") conforme ditado pela urgência.

Ambientes de Desenvolvimento (digital)

A DDI utiliza instâncias de aplicação separadas para testar códigos atualizados, bem como instâncias separadas para os códigos e softwares pré-lançamento. Essa abordagem protege os dados de virem a ser controlados ou acessados pelos códigos ainda em desenvolvimento.  Todos os códigos de desenvolvimento são executados em confrontação com "bases de dados fictícias".

Revisão de código

Os programadores trabalham individualmente e em equipes para desenvolver códigos novos.  À medida que o fim de cada ciclo de desenvolvimento se aproxima, o código é revisto pelos pares e testado num ambiente de GQ separado do ambiente de produção.  Esse período de teste permite a resolução da maior parte dos bugs antes de estes chegarem a ser introduzidos na produção.  O código é inspecionado também programaticamente quanto a vulnerabilidades conhecidas, utilizando a ferramenta NTOSpider.

Gestão de códigos

O Git é utilizado para gerir o processo de desenvolvimento de software e serve de repositório de código-fonte.  A ferramenta Git e os processos relacionados garantem que nenhuma alteração é substituída por haver vários programadores efetuando alterações no mesmo módulo.  Os processos de controle de alterações existem em muitos níveis diferentes do desenvolvimento, da GQ e da implementação, incluindo:

  • Documentação de Solicitação de Alteração e propriedade que inclui revisão, aprovação e documentação de todas as alterações efetuadas pelo proprietário da aplicação.
  • Um processo de aprovação protegido para promoção de código desde: o desenvolvimento à GQ; a GQ ao Staging e Staging à Produção.
  • Teste de software e processo de GQ em várias fases (teste de unidade, seguido de teste de sistema, seguido de teste de aceitação pelo usuário). O desenvolvimento e o teste de unidade são realizados pelos programadores de software, em sistemas de desenvolvimento separados, antes de serem liberados para teste de aceitação pelo sistema e pelo usuário em sistemas de GQ separados.

Segurança na Infraestrutura

Instalações de hospedagem segura

A DDI aloja aplicações orientadas para o cliente em centros de dados certificados redundantes SSAE18, SOC 2 Type II, ISO/CEI 27001:2013, HIPAA/HITECH, PCI DSS 3.1.

A infraestrutura de servidor da DDI está alojada numa área compartimentada e vedada de 8' x 16'.  O acesso a essa área é limitado ao pessoal da DDI responsável por gerir os servidores de aplicações e os componentes de rede. A instalação do centro de dados implementou amplos sistemas a fim de proporcionar segurança e proteção ao recinto físico. 

Uma vez que os servidores podem ser alvo de ataques, a DDI certifica-se de que os seus servidores sejam adequadamente protegidos.  O processo de melhoramento da segurança dos servidores da DDI inclui as medidas que se seguem.  [Por motivos de segurança, não podemos fornecer todos os detalhes dos nossos controles de segurança dos servidores.]

  • Desativação ou remoção de serviços, aplicações e protocolos de rede desnecessários.
  • Desativação de contas de usuário desnecessárias e alteração do nome de contas predefinidas.
  • Requisitos de senhas configuradas de modo a cumprir a Política de senhas da DDI.
  • Ativação de registos de servidor e trilhas de auditoria.
  • Instalação de software antivírus/antimalware com arquivos de definição atuais.
  • Configuração com correções de segurança atuais, que são primeiro testadas numa plataforma de teste.

Continuidade

Os sistemas Hot Sync redundantes/paralelos das instalações do centro de dados proporcionam uma fonte de alimentação redundante mediante Sistemas de alimentação ininterrupta (UPS) e geradores de reserva.  Existem ligações a redes de várias empresas de telecomunicações para acesso redundante à Internet e a conectividade tem equilíbrio de carga e é fornecida por mais do que um fornecedor de serviços de Internet.

Recuperação de catástrofes

A DDI mantém um plano detalhado de Recuperação de catástrofes para restaurar os serviços comerciais em caso de falha no sistema em grande escala. Esse plano é atualizado à medida que são efetuadas alterações à infraestrutura do sistema ou à configuração da torre de servidores Web de produção.

Segurança de Rede

A nossa infraestrutura de rede é constituída por um par de dispositivos de elevada disponibilidade duplos que fornece equilíbrio de carga e capacidades de aceleração, que escuta as solicitações provenientes das portas TCP 80 ou 443 (com base no nível SSL) para o endereço IP externo de um website.  A DDI aplica sistemas de deteção, host-based e network-based, com monitorização e resposta permanente.

Proteção contra vírus/malware

O nosso ambiente de monitorização foi configurado para enviar automaticamente alertas ao pessoal apropriado, que presta serviço permanente.  Todos os sistemas adequados – PC, servidores, sistemas de portal, etc. – são protegidos pelo antivírus da Microsoft para terminais e por software de "proteção de dia zero" que é gerido e atualizado centralmente. 

Retenção e Eliminação de Dados

A DDI aplica uma abrangente política de conservação para gerir e proteger dados pessoais.  Enquanto norma de boas práticas, a DDI não conserva dados pessoais por tempo superior ao necessário para cumprir as suas obrigações contratuais e/ou legais.  A nossa política (1) requer que os dados pessoais sejam eliminados/destruídos ou anonimizados após o período de conservação expirar e nunca excedendo 5 anos; e (2) permite que os dados em formato despersonalizado sejam conservados por tempo indeterminado para fins de negócios e pesquisas.

Até 25 de maio de 2018, todas as noites, os dados são armazenados em cópias de segurança de forma incremental, para garantir que todas as aplicações e dados de clientes sejam preservados e disponíveis para serem restaurados em caso de perda de dados ou catástrofe.  Após essa data, as cópias de segurança efetuadas todas as noites serão conservadas apenas por um período de 30 (trinta) dias.

Agendamentos de cópias de segurança e conservação de dados

  • Servidores de arquivos físicos e cópias de segurança de bases de dados: (conservação durante 35 dias em disco)
  • VM de produção: (conservação durante 35 dias em disco)
  • Websites de cliente do SharePoint: (conservação durante 35 dias em disco)
  • Cópia mensal para fita: (conservação durante 1 ano em fita)
  • Cópia anual para fita: (conservação durante 5 anos em fita)

Resposta a Incidentes de Segurança

A DDI executa um abrangente plano de detecção e resposta a incidentes de segurança que inclui detecção de intrusão, varreduras e outros métodos considerados eficazes e adequados. Embora os incidentes relacionados com computadores sejam os mais comuns, os incidentes não relacionados com computadores podem ser comunicados através da Linha direta para incidentes ou contactando o EPD ou o Consultor empresarial da DDI.  A DDI irá comunicar qualquer suspeita ou incidente de segurança propriamente dito aos clientes afetados ou potencialmente afetados, bem como às autoridades competentes, no prazo de 72 horas a partir da descoberta da falha de segurança.  Assim que o incidente tiver sido corrigido e as respetivas notificações efetuadas, a DDI continuará a tomar medidas para melhorar os controles de privacidade, a fim de evitar a recorrência.

Conformidade

Certificações

SSAE-18: a DDI armazena dados apenas em centros de dados que tenham recebido auditorias anuais SAS 70 Type II imparciais e favoráveis. Observe que a norma SAS 70 foi substituída pela Declaração acerca das normas para a certificação de compromisso (SSAE, Statement on Standards for Attestation Engagements) n.º 18 e os nossos centros de dados são certificados à essa norma.

ISO 27001:a DDI cumpre esta norma de segurança global amplamente adotada, que foi desenvolvida pela Organização Internacional de Normalização, e utiliza apenas centros de dados que tenham demonstrado o mesmo cumprimento mediante avaliações periódicas e certificação anual.

SOC1/SOC 2 – A DDI não dispõe de certificação SOC 1 nem SOC 2.  No entanto, o fornecedor de hospedagem de dados da DDI dispõe de certificações SOC 2 atuais. 

Informações confidenciais

Após a contratação, todos os colaboradores da DDI têm de assinar um acordo de confidencialidade que aborda especificamente os problemas e riscos de lidar com informações confidenciais.  Qualquer colaborador que infrinja esta política é alvo de rescisão imediata ou qualquer ação legal aplicável.

Verificação de referências

Geralmente, a DDI recorre a uma agência de terceiros para verificar as referências dos candidatos a emprego na fase da oferta do processo de seleção. O tipo de informações que podem ser recolhidas por essa agência inclui, entre outras, informações referentes a empregos anteriores do indivíduo, formação, caráter, finanças, reputação, etc. Todas as verificações de referências são efetuadas em conformidade com a lei federal e estadual aplicável.

Verificação do número de segurança social

Todos os colaboradores estabelecidos nos EUA são trabalhadores legalizados e os seus números da segurança social ou vistos de trabalho são verificados.

Regulamentos de proteção de dados da UE

A DDI tem sede nos Estados Unidos da América, atende clientes em todo o mundo e aplicou mecanismos para assegurar que as transferências de dados da UE para os Estados Unidos ofereçam as proteções legais exigidas pelos Regulamentos de proteção de dados da UE, incluindo o Escudo de Proteção (que veio substituir o sistema "porto seguro"), as cláusulas contratuais-tipo da UE e o consentimento do usuário final.  A certificação da DDI nos termos do Escudo de Proteção pode ser consultada no website do Escudo de Proteção em: https://www.privacyshield.gov/

Cláusulas Modelo da UE

A cláusula modelo da UE é um adendo contratual normalizado entre fornecedores de serviços, como a DDI, e os seus clientes, concebida para garantir que quaisquer dados pessoais que saiam do EEE serão transferidos em conformidade com as leis de proteção de dados da UE e cumprem os requisitos da Diretiva de proteção de dados da UE 95/46/CE.

Regulamento geral de proteção de dados

Em 25 de maio de 2018, a nova legislação acerca da privacidade, denominada Regulamento geral de proteção de dados (RGPD), entra em vigor.  O RGPD expande os direitos de privacidade dos indivíduos da UE e impõe novas obrigações aos prestadores de serviços, como a DDI, que armazenam e processam dados pessoais da UE.  A DDI vê o RGPD como uma oportunidade para aprofundar o seu comprometimento para com as boas práticas em matéria de privacidade e proteção de dados, tanto internamente como perante os clientes.

Tal como acontece com outras exigências legais, a conformidade com o RGPD requer uma parceria entre a DDI, os seus subcontratantes ulteriores e os clientes. A DDI irá cumprir o RGPD na prestação de serviços aos seus clientes e está também empenhada em ajudar os seus clientes a fazê-lo. Analisamos atentamente as exigências do RGPD e estamos trabalhando para fazer melhorias em nossos produtos, contratos e documentação, de modo a apoiar a conformidade da DDI e dos seus clientes com o RGPD.   

Fornecedores terceiros

A DDI utiliza fornecedores terceiros para proporcionar Serviços conforme descrito nos seus acordos.  Utilizamos um rigoroso processo de candidatura, averiguação e auditoria para assegurar a consonância contínua com os nossos parâmetros e requisitos de processamento de dados.  Todos os fornecedores terceiros estão obrigados a cumprir as normas de processamento, proteção e segurança dos dados da DDI.

Para obter uma lista dos nossos subcontratantes ulteriores, consulte https://www.ddiworld.com/thirdpartyproviders

Fale com um Especialista: GISP
* Indica Campo Requerido
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Estou de acordo com a DDI coletar e processar meus dados pessoais durante a prestação de serviços a mim, para fins de marketing e pesquisa. Estou ciente de meus direitos e das formas como meus dados serão utilizados, conforme mencionado na Política de Privacidade dos Dados da DDI. Estou ciente de que tenho o direito de revogar esta autorização a qualquer momento.

Enter security code:
 Security code