Segurança de Dados na Factorial

A Factorial HR pode ser um Controlador e um Processador de dados pessoais para fins da GDPR. Por exemplo, a Factorial será a Controladora de dados pessoais quando um Cliente celebrar um contrato diretamente conosco, para o processamento dos dados do referido Cliente.

No entanto, na maioria dos casos, devido à natureza de nossos negócios, a Factorial não tem relação direta com os titulares dos dados e processa exclusivamente os dados pessoais do Usuário Final em nome dos Clientes e de acordo com suas instruções. Assim, se você é um colaborador que usa nossa plataforma, agimos apenas como um processador de dados com relação ao processamento de seus dados. Nossos Clientes decidem os propósitos para os quais eles usam nossa Plataforma, bem como os meios para coletar dados da magnitude de recursos de nossa plataforma.

No caso de usuários que navegam em nosso site, a Factorial será um Processor dos dados coletados aqui, como cookies, ou quaisquer dados que sejam interessantes para desfrutar de nosso conteúdo.

Você pode encontrar a DPA da Factorial aqui, que pode ser preenchida e assinada online.

A Factorial HR nomeou um Data Protection Officer. Os detalhes de contato são:

Pridatect, S.L. Carrer de Tarragona 161, 3rd Floor, 08014, Barcelona, Espanha. legal@pridatect.com

Caso a Factorial detecte uma violação de segurança, ela ativará um procedimento de análise de violação de segurança que permitirá saber:

- A natureza da violação de segurança - As categorias de dados pessoais afetados - Número aproximado de partes interessadas afetadas - Número aproximado de registros de dados pessoais afetados; e - Consequências da violação

Paralelamente à investigação, a Factorial tomará as ações de contenção e correção imediatas que forem apropriadas e procederá ao registro do incidente, para que haja rastreabilidade dos incidentes ocorridos na organização.

Uma vez realizada a análise, a Factorial determinará se ela deve ser notificada à Autoridade de Proteção de Dados, avaliando se a violação de dados pessoais pode representar um risco para os direitos e liberdades dos titulares de dados afetados pela violação. 

Da mesma forma, a Factorial determinará se é necessário notificar o incidente aos titulares dos dados.

Em qualquer caso, a Factorial notificará o cliente sobre a violação de segurança em um período inferior a 48 horas. A referida comunicação incluirá:

- Medidas de mitigação de riscos adotadas - Melhorias técnicas - Mudanças no gerenciamento de incidentes - Atualização de procedimentos

Envie um email para security@factorial.co

Informações sugeridas para fornecer (onde aplicável):

- Descrição do incidente:

- Nome da empresa e nome de usuário afetados:

- Tipo de dados afetados:

- Escopo do incidente detectado:

- Grau de afetação aos direitos dos titulares dos dados:

A Factorial é certificada pela ISO/IEC 27001:2013 e renovou sua certificação em março de 2023. Este é o mais alto nível de padrão global de segurança da informação disponível hoje, o que fornece aos clientes a garantia de que atendemos aos rigorosos padrões internacionais de segurança.

Você pode fazer o download do nosso certificado ISO 27001 aqui.

A Factorial possui um relatório SOC2 Tipo I desde agosto de 2022 e um relatório SOC2 Tipo II desde fevereiro de 2024.

Os detalhes e relatórios relacionados à certificação podem ser compartilhados mediante solicitação formal e após a assinatura de um NDA pelo solicitante.

Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.

Todos os dados de nossos clientes são armazenados em servidores da Amazon Web Services (AWS) em Frankfurt, Alemanha, um conjunto de serviços web na nuvem que garantem a máxima segurança. Empresas como Netflix ou Airbnb confiam na AWS para gerenciar os dados de milhões de usuários.

O data center da Amazon Web Services é protegido por três camadas físicas de segurança. Da mesma forma, as instalações são protegidas contra impactos e só são acessíveis por meio de cartão pessoal e pin intransferível.

Você pode ler mais sobre suas práticas de segurança aqui: AWS

Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Monitoramos e protegemos nossa rede, para garantir que nenhum acesso não autorizado seja realizado usando:

- Nuvem Privada Virtual (VPC)

- Um firewall que monitora e controla o tráfego de rede de entrada e de saída

- Criptografia em trânsito: todos os dados enviados de ou para nossa infraestrutura são criptografados em trânsito por meio das melhores práticas do setor usando a Segurança da Camada de Transporte (TLS). Você pode ver nosso relatório em Criptografia em trânsito no LABS SSL.

- Criptografia em repouso: contamos com o AWS Key Management Service (AWS KMS) para gerenciar nossas chaves criptográficas. Por padrão, o algoritmo de criptografia "SYMMETRIC_DEFAULT" é selecionado, que atualmente significa AES-256-GCM, um algoritmo simétrico baseado no Advanced Encryption Standard (AES). Essas chaves são usadas para criptografar/descriptografar nossos buckets do S3, bancos de dados, gerenciador de segredos, lambda, redshift e lightsail.

Nós retemos seus dados por um período de 1 ano após você fechar sua conta. Após esse período, todos os dados são completamente removidos dos servidores. Uma vez excluídos, os dados só poderão ser recuperados 30 dias depois.

- Usamos tecnologias para monitorar exceções, registros e detectar anomalias em nossos aplicativos.

- Coletamos e armazenamos registros para fornecer uma trilha de auditoria de nossa aplicação e atividade. Dependendo do plano escolhido por nossos clientes, os administradores podem acompanhar todas as ações e usos dos cadastros dos funcionários na plataforma e ganhar maior visibilidade. Mais informações sobre os logs de auditoria podem ser encontradas aqui.

Desenvolvemos as seguintes melhores práticas e estruturas de segurança (OWASP Top 10, SANS Top 25) para garantir o mais alto nível de segurança em nosso software:

- Revisamos periodicamente nosso código em busca de vulnerabilidades de segurança

- Atualizamos regularmente nossas dependências e garantimos que nenhuma delas tenha vulnerabilidades conhecidas

- Usamos o Static Application Security Testing (SAST) para detectar vulnerabilidades de segurança em nossa base de código e aplicar padrões de código.

- Verificamos regularmente os incidentes de segurança - relatados por caçadores de recompensas de bugs ou provedores de pentest - e os corrigimos avidamente. Nosso último pentest foi feito por Cobalthttps://cobalt.io/ O teste de vulnerabilidade interna é realizado continuamente, bem como o teste de penetração contínuo via HackerOne. (https://hackerone.com/factorial).

- Mantemos segredos longe do código

- Mantemos as imagens do sistema operacional e do Docker atualizadas e executamos os serviços com uma função sem privilégios

- Garantimos separação de ambientes e segregação de funções durante o processo de desenvolvimento. Os desenvolvedores não têm a capacidade de migrar alterações para ambientes de produção.

- Protegemos nossos usuários contra violações de dados monitorando e bloqueando ataques de força bruta.

- Fornecemos Login único (SSO) usando o Google, a Microsoft e o Linkedin.

- Oferecemos controle de acesso baseado em funções em todas as nossas contas e permitimos que nossos usuários definam permissões.

- Usamos o AWS Cognito que é compatível com a Autenticação Multifator (MFA).

- Usamos as ferramentas de segurança do GitHUb para receber alertas em caso de vulnerabilidade. A equipe de segurança aplica patches de segurança rotineiramente.

- Realizamos revisões trimestrais de direitos de acesso sobre nossos aplicativos críticos, incluindo etapas como revisão de autorizações, contas genéricas e garantia de remoção do acesso de funcionários demitidos.

Todo o processamento de instrumentos de pagamento é terceirizado com segurança para o Stripe, que é certificado como um provedor de serviços PCI nível 1. Não coletamos nenhuma informação de pagamento e, portanto, não estamos sujeitos às obrigações de PCI.

- Usamos um gerenciamento de contas centralizado - Contamos com um sistema de gerenciamento de senhas - Usamos contas nominais com 2FA aplicado - Trocamos senhas a cada 90 dias - Integramos / desvinculamos novos funcionários usando uma lista de verificação que leva em consideração as melhores práticas de segurança.

- Garantimos que os privilégios de acesso cumpram o princípio do menor privilégio.

- Garantimos o controle de acesso aos escritórios para garantir que apenas os funcionários tenham acesso a ele - Lembramos rotineiramente os funcionários de bloquear seus computadores

- Estabelecemos procedimentos em termos de uso de dispositivos móveis e mídias removíveis

Garantimos que todos os nossos funcionários recebam treinamentos específicos em proteção de dados e segurança da informação. Além disso, são realizados treinamentos e workshops de segurança voltados para práticas seguras de desenvolvimento de software.

Realizamos verificações de antecedentes em potenciais novas contratações.

A Factorial envidará todos os esforços para estar disponível com uma Percentual de Uptime Mensal de pelo menos 99,95%. Sujeito às Exclusões de SLA, se não cumprirmos o Compromisso de Serviço, o cliente será elegível para receber um Crédito de Serviço. Isso significa que garantimos que você não terá mais de 21,56 min/mês de Indisponibilidade.

Mantemos uma fonte publicamente disponível para nosso tempo de atividade em https://status.factorialhr.comhttps://status.factorialhr.com. Por favor, sinta-se à vontade para se inscrever para receber atualizações de incidentes.

A Factorial faz backup dos dados diariamente e retém os backups por 30 dias. A alta disponibilidade é garantida com o RDS Multi-AZ. Como para haver perda de dados, ambas as zonas de disponibilidade precisariam ter um incidente ao mesmo tempo, isso diminui a possibilidade de perda de dados. Nosso objetivo de tempo de recuperação (RTO) é 1 hora e nosso objetivo de ponto de recuperação (RPO) é de 1 dia.

Os planos relacionados de continuidade de negócios e recuperação de desastres são formalmente documentados com base nos requisitos de estrutura ISO27001 e SOC2.

Os Créditos de Serviço são calculados como uma porcentagem do total de encargos devidos em sua fatura Fatorial para o ciclo de cobrança mensal em que ocorreu a Indisponibilidade.

Para Percentual de Tempo de Atividade Mensal inferior a 99,95%, você terá direito a um Crédito de Serviço de 5% das cobranças do período atual.

Aplicaremos quaisquer Créditos de Serviço apenas contra pagamentos futuros pelos Serviços devidos a você.

Para receber um Crédito de Serviço, você deve enviar uma reclamação enviando um e-mail para support@factorial.co com as datas e horários de cada incidente de Indisponibilidade que você está reclamando.

Se a Porcentagem de Tempo de Atividade Mensal de tal solicitação for confirmada por nós e for menor que o Compromisso de Serviço, emitiremos o Crédito de Serviço para você dentro de um ciclo de cobrança após o mês em que sua solicitação for confirmada por nós. Sua falha em fornecer a solicitação e outras informações conforme exigido acima o desqualificará para receber um Crédito de Serviço.

O Compromisso de Serviço não se aplica a qualquer Indisponibilidade: - Causados ​​por fatores fora do nosso controle razoável, incluindo qualquer evento de força maior, acesso à internet ou problemas além do ponto de demarcação da Factorial. - Isso resulta de quaisquer ações ou omissões de você ou de terceiros. - Isso resulta do equipamento, software ou outra tecnologia sua ou de terceiros (exceto equipamentos de terceiros sob nosso controle direto). - Que resulta de qualquer Manutenção. Se a disponibilidade for afetada por outros fatores além daqueles usados ​​em nosso cálculo de Percentual de Tempo de Atividade Mensal, poderemos emitir um Crédito de Serviço considerando tais fatores a nosso critério.

Aqui pode encontrar a nossa política de privacidade atualizada.

Aqui você pode encontrar os termos e condições da Factorial.

Ao enunciar, mas não se limitando, serão entendidas como Informações Confidenciais as informações referentes aos dados do cliente, sua existência, sua estrutura, planos de promoção e vendas, códigos-fonte e objeto de programas de computador, sistemas, técnicas, invenções, processos, patentes, marcas registradas, desenhos registrados, direitos autorais, know-how, nomes comerciais, dados técnicos e não técnicos, desenhos, esboços, dados financeiros, planos relativos a novos produtos, dados relativos a clientes ou possíveis clientes, bem como qualquer outra informação utilizada no âmbito comercial da Factorial e do Cliente.

A obrigação de confidencialidade persistirá mesmo após a resolução, por qualquer motivo, da relação contratual entre as partes sem gerar qualquer tipo de compensação.

O descumprimento da obrigação de confidencialidade assumida neste contrato ou a devolução das Informações Confidenciais acima estabelecidas, dará direito a qualquer das Partes de pleitear o valor integral dos danos que tal descumprimento teria gerado.