Troque logo

Compliance e Segurança

Segurança e Conformidade na Troquecommerce

A Troquecommerce está sob revisão de auditoria para obter o Relatório SOC 2. Nosso monitoramento de controles em tempo real está disponível em nosso Relatório de Confiança.

Políticas de Compliance

Garantindo Conformidade Legal e Ética nas Operações

Trust Center

Nós, como organização, compreendemos a importância crítica da segurança e da confiança em todas as nossas operações e interações. Por isso, estabelecemos o Trust Center, uma iniciativa dedicada a assegurar que nossos clientes, parceiros e colaboradores tenham total confiança em nossa capacidade de proteger dados sensíveis, cumprir com regulamentações rigorosas e manter práticas de segurança de alto nível.

Nossas políticas são baseadas nos seguintes princípios fundamentais

  • 01.

    • O acesso deve ser limitado apenas àqueles com uma necessidade legítima de negócios e concedido com base no princípio do menor privilégio.

  • 02.

    • Controles de segurança devem ser implementados e segregados de acordo com o princípio da defesa em profundidade.

  • 03.

    • Controles de segurança devem ser aplicados de forma consistente em todas as áreas da empresa.

  • 04.

    • A implementação de controles deve ser iterativa, amadurecendo continuamente nas dimensões de eficácia aprimorada, auditabilidade aumentada e atrito reduzido.

  • 05.

    • Avaliações de risco devem ser realizadas regularmente para identificar vulnerabilidades e atualizar as medidas de segurança conforme necessário, garantindo que a proteção esteja alinhada com as ameaças emergentes e as mudanças no ambiente de negócios.

  • 06.

    • Treinamento e conscientização em segurança da informação devem ser proporcionados a todos os funcionários e partes interessadas, assegurando que compreendam suas responsabilidades na proteção de dados e recursos da empresa, além de estarem preparados para reconhecer e responder a incidentes de segurança de forma eficaz.

Proteção de Dados

  • Dados em repouso

    Todos os repositórios com dados de clientes, além dos buckets S3, são criptografados em repouso. Os bancos de dados também usam criptografia, restrições de rede e filtragem de tráfego indesejado.

    Isso significa que os dados são criptografados antes mesmo de chegarem ao banco de dados, de modo que nem o acesso físico, nem o acesso lógico ao banco de dados, são suficientes para ler as informações mais sensíveis.

  • Dados em trânsito

    Os dados são criptografados em repouso (AES-256) e em trânsito (HTTPS / TLS), incluindo informações sensíveis como tokens de acesso e segredos. Também usamos recursos como HSTS (HTTP Strict Transport Security) para maximizar a segurança de nossos dados em trânsito.

  • Mitigação de DDoS

    A Troquecommerce mitiga ataques DDoS de L3, L4 e L7. O Firewall usa centenas de sinais e fatores de detecção para identificar padrões de solicitação, determinando se parecem ser um ataque, e desafiando ou bloqueando solicitações se parecerem ilegítimas. Também temos uma camada extra para monitorar o IP rate limits.

  • Varredura de Vulnerabilidades

    Além de nossa varredura de vulnerabilidades, realizamos avaliações direcionadas de forma consistente e contínua. Também implementamos revisões diárias de código, regras de proteção de branches, verificações de análise estática e varredura de dependências maliciosas para prevenir a introdução de malware em nossa cadeia de suprimentos de software no nível do código.

Canal de Denúncias

Garantimos total confidencialidade e segurança na denúncia.

Segurança Empresarial

  • Proteção de Pontos Finais

    Todos os dispositivos corporativos são gerenciados centralmente e estão equipados com software de gerenciamento de dispositivos móveis (MDM) e proteção antimalware. Os alertas de segurança dos pontos finais são monitorados com cobertura 24/7/365. Utilizamos software MDM para impor a configuração segura dos pontos finais, como criptografia de disco, configuração de bloqueio de tela e atualizações de software.

  • Gerenciamento de acesso

    Aos funcionários da Troquecommerce é concedido acesso às aplicações baseado em seu papel, e automaticamente desprovisionado após o término de seu emprego. Acessos adicionais devem ser aprovados de acordo com as políticas estabelecidas para cada aplicação.

  • Educação em Segurança

    A Troquecommerce oferece treinamento de segurança abrangente para todos os funcionários no momento da integração e anualmente através de módulos educacionais usando uma plataforma online.

    Além disso, todos os novos funcionários participam de uma sessão de integração ao vivo obrigatória centrada em princípios de segurança chave.

    Todos os novos engenheiros também participam de uma sessão de integração ao vivo obrigatória focada em princípios e práticas de codificação segura.

    A equipe de segurança da Troquecommerce compartilha regularmente briefings de ameaças com os funcionários para informá-los sobre atualizações importantes relacionadas à segurança e segurança que requerem atenção ou ação especial.

  • Segurança de Fornecedores

    A Troquecommerce utiliza uma abordagem baseada em risco para a segurança dos fornecedores. Os fatores que influenciam a classificação de risco inerente de um fornecedor incluem:

    - Acesso a dados de clientes e corporativos

    - Integração com ambientes de produção

    - Potencial dano à marca Troquecommerce

    Uma vez que a classificação de risco inerente tenha sido determinada, a segurança do fornecedor é avaliada a fim de determinar uma classificação de risco residual e uma decisão de aprovação para o fornecedor.