Segurança

Segurança

A segurança dos seus dados pessoais é a nossa principal prioridade na Flo. Entendemos que o perfil da sua aplicação pode conter dados pessoais altamente confidenciais. Portanto, todos os dias fazemos o possível para implementar as melhores práticas e padrões do setor.

Conformidade legal

A Flo compromete-se a garantir a segurança e a proteção dos dados pessoais, seguindo os requisitos do Regulamento Geral de Proteção de Dados da UE, da Lei de Privacidade do Consumidor da Califórnia e outros regulamentos.

Auditorias de terceiros

Realizamos auditorias regularmente com a assistência de agências externas reconhecidas para avaliar e aprimorar os nossos processos e políticas de segurança interna.

Segurança física e ambiental

A Flo cumpre os mais altos padrões do setor para controlos físicos, ambientais e de alojamento. Os centros de dados da Flo geridos pela Amazon Web Services tiram partido das novas abordagens da arquitetura e da engenharia.

Segurança do produto

Servidores e rede

Usamos a Amazon Web Services para alojar todos os ambientes de produção. A AWS foi projetada para nos ajudar a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para a nossa aplicação. A conceção dos centros de dados da AWS torna-os seguros e têm certificação SOC 1, SOC 2 e SOC 3. Todos os nossos servidores de produção são sistemas de base Docker imutáveis e com correções contínuas. Também utilizamos serviços adicionais da AWS, como VPC (Virtual Private Cloud), infraestrutura de várias contas da AWS, EKS (Elastic Kubernetes Service). Para proteger a comunicação pela rede, usamos o protocolo HTTPS encriptado usando TLS (Transport Layer Security).

Encriptação

Utilizamos o AWS KMS (Key Management Service) para criar e gerir chaves e controlar o uso da encriptação numa ampla variedade de serviços da AWS e na nossa aplicação.

Armazenamento

A Flo armazena todos os dados, tais como metadados, atividade, ficheiros originais e dados do cliente, em locais diferentes. Todos os dados são encriptados pelo KMS em cada local.

Os dados confidenciais do utilizador final são removidos dos registos e os engenheiros da Flo não têm acesso a esses dados.

A Flo armazena todos os dados, tais como metadados, atividade, ficheiros originais e dados do cliente, em locais diferentes. Todos os dados são encriptados pelo KMS em cada local.

Os dados confidenciais do utilizador final são removidos dos registos e os engenheiros da Flo não têm acesso a esses dados.

Ambientes isolados

A rede de produção é isolada de outros ambientes de validação, desenvolvimento e infraestrutura. Todos os ambientes estão localizados na conta separada da AWS em redes VPC separadas.

Dados de pagamento do cliente

Todos os pagamentos são processados pela App Store, Google Play ou Stripe, que assumem total responsabilidade pela segurança dos pagamentos. A Flo não armazena nenhuma informação referente a cartões de crédito.

Seguro por conceção

Os engenheiros da Flo utilizam as melhores técnicas de desenvolvimento de produtos, seguindo os padrões da indústria, tais como ter processos documentados de desenvolvimento e garantia de qualidade. Guiados pelos princípios de segurança da confidencialidade, integridade e disponibilidade, projetámos a nossa aplicação de forma a reduzir os riscos de erro de abertura de vulnerabilidade.

Níveis de serviço e cópias de segurança

A infraestrutura Flo utiliza muitas técnicas em camadas para um tempo de atividade cada vez mais fiável, incluindo o uso de dimensionamento automático, equilíbrio de carga, filas de tarefas e implantações contínuas. Fazemos cópias de segurança automáticas diárias e completas das nossas bases de dados. Todas as cópias de segurança são encriptadas.

Monitorização e alertas do sistema

Na Flo, a aplicação de produção e os componentes de infraestrutura subjacentes são monitorizados 24 horas por dia, 7 dias por semana, 365 dias por ano, por sistemas de monitorização dedicados. Os alertas críticos gerados por esses sistemas são enviados aos proprietários de serviço à chamada 24 horas por dia, 7 dias por semana, 365 dias por ano e escalados adequadamente para a gestão de operações.

Testes de vulnerabilidade (penetração)

A Flo realiza testes regulares de penetração, conduzidos por empresas de Red Team de cibersegurança líderes do setor, para configuração de rede, infraestrutura e camadas de aplicações. Esse teste de vulnerabilidade inclui o uso de kits de ferramentas e scanners de segurança de aplicações da Web conhecidos para identificar vulnerabilidades de aplicações antes de serem lançadas em produção.

Gestão do tráfego

O pacote de segurança Cloudflare permite que a aplicação Flo bloqueie automaticamente o tráfego malicioso e garanta a fiabilidade da aplicação. Não importa onde os nossos utilizadores estão localizados - a Flo funciona sem problemas nos seus smartphones, graças ao roteamento inteligente de tráfego e o conteúdo da aplicação é agora entregue ao utilizador a partir do servidor Cloudflare mais próximo.

Notificação de resposta a incidentes e violação de dados

A Flo estabeleceu um processo descrevendo as ações a serem tomadas quando a Flo Health tomar conhecimento de qualquer tipo de evento classificado como um Incidente, incluindo uma Violação de Dados Pessoais, de acordo com as diretrizes internacionais e os regulamentos.

Segurança como parte da cultura corporativa Flo

Os funcionários e os contratados da Flo Health recebem formação de consciencialização sobre segurança e são treinados para desempenhar as suas funções e responsabilidades relacionadas com a segurança da informação, de acordo com as políticas, procedimentos e acordos relacionados pelo menos uma vez por ano. A equipa de segurança Flo analisa, atualiza, testa, mantém e melhora continuamente os programas corporativos de segurança e privacidade.