Construindo confiança: O alto padrão de serviços de confiança da Veriff, segurança, privacidade e confidencialidade

A Veriff demonstrou, por meio da emissão do relatório SOC 2 Tipo 2 por um auditor externo da AICPA, que os controles gerais de TI foram implementados.

Isso garante que o serviço entregue aos nossos clientes esteja seguro para o Serviço de Verificação de Identidade, em conformidade com os Critérios de Serviço de Confiança de Segurança, Disponibilidade e Confidencialidade.

Isso se divide da seguinte forma:

Segurança

O sistema está protegido contra acessos não autorizados (tanto físicos quanto lógicos).

Nesse sentido, nossas melhores práticas são:

• A Veriff implementará medidas físicas, técnicas e organizacionais adequadas para garantir a segurança do serviço e proteger os dados dos clientes contra modificações, divulgação, aquisição, destruição, perda, roubo, uso indevido, alteração ou acesso autorizado não autorizado.
• A Veriff notificará os clientes em caso de um incidente de segurança, sem demora indevida, e investigará e tomará medidas para corrigir qualquer não conformidade no processamento de dados.

Estamos atendendo aos seguintes Requisitos Padrão do Sistema para:

• Acesso lógico
• Acesso físico
• Provisionamento e desprovisionamento de funcionários
• Revisões de acesso
• Criptografia
• Gestão de riscos e vulnerabilidades
• Padrões de tratamento de incidentes
• Gestão de mudanças
• Gestão de fornecedores

Disponibilidade

O sistema está disponível para operação e uso conforme comprometido ou acordado.

Políticas e procedimentos de recuperação de desastres e continuidade de negócios estão em vigor, juntamente com práticas operacionais para garantir a disponibilidade do serviço.

Estamos atendendo aos seguintes Requisitos Padrão do Sistema para:

• Monitoramento do sistema
• Padrão de backup e recuperação
• Proteções físicas e ambientais

Confidencialidade

Informações designadas como “confidenciais” são protegidas de acordo com a política ou acordo.

Nossas melhores práticas são:

• A Veriff manterá os dados dos clientes em confidencialidade conforme o Acordo de Serviço assinado com os clientes da Veriff.
• A Veriff tratará os dados dos clientes com o mesmo grau de cuidado que confere às suas próprias informações confidenciais de natureza semelhante.
• A Veriff implementou uma gestão determinística do ciclo de vida dos dados. A Veriff deverá, dentro de um número acordado de dias após a data de rescisão dos serviços, excluir e envidar todos os esforços razoáveis para garantir a exclusão de todas as outras cópias dos dados dos clientes processados pela Veriff ou quaisquer subprocessadores.

Estamos atendendo aos seguintes requisitos para:

• Classificação de dados
• Padrões de retenção e destruição
• Padrões de tratamento de dados
• Padrões internos de confidencialidade
• Padrões de compartilhamento de informações

Componentes do sistema para fornecer os serviços

Infraestrutura

A Veriff projetou e está oferecendo seus serviços usando uma arquitetura de sistema totalmente hospedada na nuvem. Por design, nenhum dado é armazenado nas instalações da Veriff. A Veriff utiliza a Amazon Web Services (AWS) para fornecer os recursos para hospedar o Serviço de Verificação de Identidade Online da Veriff.

A empresa aproveita a experiência e os recursos da AWS para escalar rapidamente e com segurança, conforme necessário, para atender à demanda atual e futura.

No entanto, a empresa é responsável por projetar e configurar a arquitetura do Serviço de Verificação de Identidade Online da Veriff dentro da AWS para garantir que os requisitos de disponibilidade, segurança e resiliência sejam atendidos.

A ISO/IEC 27017:2015 cobre nossos serviços em nuvem.

Software

Consiste nos programas e softwares que suportam os Serviços de Verificação de Identidade Online da Veriff (sistemas operacionais [SOs], middleware e utilitários).

A Veriff utiliza software e software auxiliar para construir, suportar, proteger, manter e monitorar os Serviços de Verificação de Identidade Online da Veriff, como os serviços de armazenamento simples da AWS (S3), Microsoft Sentinel, Snyk.

A lista de software e software auxiliar usados para construir, suportar, proteger, manter e monitorar a Veriff Verificação de Identidade Online.

Mais detalhes sobre nosso software podem ser encontrados aqui.

Pessoas

A empresa desenvolve, gerencia e protege os serviços de verificação de identidade online da Veriff por meio de departamentos separados com clara segregação de funções na Gestão Executiva, Engenharia, Segurança da Informação, Gestão de Produtos, Recursos Humanos, etc.

Procedimentos

Os procedimentos incluem os procedimentos automatizados e manuais envolvidos na operação dos Serviços de Verificação de Identidade Online da Veriff.

Os procedimentos são desenvolvidos e documentados pela equipe de Qualidade Empresarial juntamente com as respectivas equipes para uma variedade de processos, incluindo aqueles relacionados à gestão de produtos, engenharia, operações técnicas, segurança, tecnologia da informação (TI) e RH.

Esses procedimentos são redigidos em alinhamento com as políticas gerais de segurança da informação e são atualizados e aprovados conforme necessário para mudanças nos negócios, mas não menos que anualmente.

Os principais procedimentos em escopo são acesso lógico e físico, operações de sistemas, gestão de mudanças e mitigação de riscos.

Dados

Isso se refere a fluxos de transações, arquivos, armazenamentos de dados, tabelas e saídas usados ou processados pela Veriff.

O cliente define e controla os dados que os usuários finais são solicitados a enviar por meio dos serviços da Veriff. Os dados pessoais processados são armazenados em servidores da Amazon Web Services, localizados principalmente na região do EEE. Uma vez armazenados no ambiente seguro, os dados são acessados remotamente pelos clientes da Veriff. Nossos clientes podem ter acesso apenas aos seus próprios dados, o que significa que implementamos práticas de agrupamento de dados em todos os buckets da AWS. Como resultado, os clientes não conseguem visualizar os dados de outros clientes. Os dados pessoais são gerenciados, processados e armazenados de acordo com as regulamentações de proteção de dados relevantes e outras regulamentações, como o GDPR, e com os requisitos específicos formalmente estabelecidos nos contratos com os clientes.

A empresa implementou métodos e protocolos seguros para a transmissão de informações confidenciais ou sensíveis por meio de redes públicas. Os bancos de dados que armazenam dados sensíveis dos clientes são criptografados em repouso e em trânsito.

A Veriff processa dados de acordo com sua Política de Privacidade.