Medidas de segurança
Na MTech, levamos a segurança das informações muito a sério. A proteção de seus dados é uma de nossas responsabilidades mais importantes. Acreditamos firmemente na transparência de como trabalhamos, e isso também se aplica às nossas práticas de segurança para que você, como cliente, entenda nossa abordagem e nosso compromisso.
1. Governança e organização
Nosso programa de segurança da informação é liderado por nosso diretor de informações, que é responsável pela estratégia de segurança, gerenciamento de riscos, conformidade com as leis aplicáveis de segurança da informação e proteção de dados e supervisão da segurança operacional (incluindo análise de alertas, registros e métricas). O diretor de informações também atua como nosso diretor interno de proteção de dados.
2. Estruturas e certificações
O programa de segurança da informação da MTech incorpora as práticas recomendadas das estruturas padrão do setor, como a ISO 27001 e a NIST Cybersecurity Framework (CSF). A MTech é certificada como SOC2 Tipo 2 por um auditor terceirizado independente.
Você pode Conheça mais sobre nossas certificações em https://mtechsystems.io/trust-center.
Nosso relatório SOC2 Tipo 2 está disponível mediante solicitação, sujeito a um acordo habitual de não divulgação.
3. categorias de dados processadas
A plataforma e os serviços da MTech processam principalmente dados relacionados às operações de produção de gado e ao gerenciamento da cadeia de suprimentos. A maioria dos dados inclui métricas como contagem de animais, uso de ração, rendimentos de produção, condições ambientais e rastreamento de custos, provenientes de sistemas e dispositivos que os assinantes optam por conectar.
Os dados pessoais não são o principal tipo de dados tratados pela MTech. Nosso foco está nos dados operacionais, de produção e da cadeia de suprimentos para apoiar a gestão de rebanhos e a tomada de decisões comerciais.
4. direitos do titular dos dados e solicitações de privacidade
A MTech apóia os direitos do titular dos dados de acordo com as leis de privacidade aplicáveis. Você pode ler mais sobre como lidamos com solicitações de acesso, retificação, exclusão ou restrição de processamento de dados pessoais em nossa Política de Privacidade, disponível em https://mtechsystems.io/legal/privacy-policy/.
5. princípios básicos de segurança
A base de nosso programa de segurança de informações é evitar o acesso não autorizado aos dados dos assinantes.
- Manuseio de informações. Todos os ativos de informações são classificados usando uma matriz de classificação formal, com funções designadas e propriedade atribuída em toda a organização para garantir a responsabilidade e a administração adequada.
- Dados em trânsito. Todos os dados transferidos entre os sistemas do assinante e os serviços da MTech são protegidos com o uso de protocolos de criptografia fortes, especificamente o Transport Layer Security (TLS 1.2 ou superior).
- Dados em repouso. Todos os dados armazenados na plataforma da MTech são criptografados em repouso usando o Advanced Encryption Standard (AES-256).
- Segmentação de dados. A plataforma da MTech opera em um ambiente de nuvem seguro, e os dados de cada assinante são separados logicamente para garantir a privacidade e o isolamento.
- Chaves de criptografia. As chaves de criptografia são gerenciadas com segurança no Microsoft Azure, com rotação regular e controles de acesso de acordo com as práticas recomendadas do setor.
6. estrutura Zero-Trust
A MTech emprega uma estratégia de confiança zero em todos os ambientes, sejam eles internos ou baseados no cliente. A estrutura de confiança zero é baseada em três princípios fundamentais.
- Verificar explicitamente. Toda solicitação de acesso é autenticada e autorizada com base em todos os dados disponíveis.
- Use o acesso com o mínimo de privilégios. Limite o acesso do usuário apenas ao que for necessário.
- Suponha uma violação. Projete sistemas com a expectativa de que ocorrerão violações.
7. hospedagem
A plataforma e os serviços da MTech são hospedados no Microsoft Azure. Os assinantes podem selecionar o local de hospedagem de sua preferência para atender aos requisitos comerciais, regulamentares ou de residência de dados.
8. segurança operacional e monitoramento
Nossa plataforma e nossos serviços são constantemente monitorados quanto a desvios, anomalias e padrões suspeitos. Monitoramos contas de assinantes e atividades de usuários, inclusive contas privilegiadas. Diferentes tipos de tráfego e comportamento são analisados para identificar desvios e permitir uma resposta rápida por meio de alertas automatizados. A disponibilidade e o desempenho dos produtos são monitorados continuamente por meio de serviços de monitoramento dedicados. Os controles de monitoramento e alerta são revisados e atualizados regularmente para refletir a evolução das ameaças e dos requisitos operacionais.
9. inteligência sobre ameaças e análise de riscos
A análise de ameaças de ataques cibernéticos por meio do Microsoft Defender, Microsoft Sentinel e Blue Voyant ajuda a equipe de segurança da MTech a identificar riscos de hackers externos, sabotagem interna e ameaças geopolíticas. O foco está na detecção e prevenção de ransomware, ataques orientados por ativismo e ataques a dados confidenciais, como nosso código-fonte e dados de assinantes.
- Microsoft Defender. A MTech usa o Microsoft Defender para endpoint, identidade, Office 365 e aplicativos em nuvem. O Defender for Endpoint oferece bloqueio em tempo real e proteção contra ameaças. O Defender for Identity protege o Active Directory contra movimentos laterais e roubo de credenciais. O Defender for Office 365 aprimora a higiene de e-mail e a proteção contra phishing. O Defender for Cloud Apps monitora a TI invisível e as anomalias de aplicativos.
- Microsoft Sentinel. O Sentinel funciona como a plataforma SIEM da MTech, agregando registros do Defender e de outras fontes. Ele oferece suporte a análises, alertas e automação e é integrado ao SOC da BlueVoyant para detecção e resposta gerenciadas 24 horas por dia, 7 dias por semana, 365 dias por ano. Os incidentes de segurança são triados pela BlueVoyant e escalados para a equipe interna da MTech, quando aplicável.
- BlueVoyant. O BlueVoyant oferece cobertura de SOC 24 horas por dia, 7 dias por semana, 365 dias por ano, inteligência contra ameaças e relatórios mensais por meio do portal Wavelength. Ele oferece suporte à quarentena de endpoints, à exclusão de arquivos e à lista de permissões de acordo com protocolos pré-aprovados. A integração SSO com o Entra ID garante o acesso seguro ao portal.
10. controles de gerenciamento de acesso
A MTech implementa controles robustos de gerenciamento de acesso para garantir que somente indivíduos autorizados possam acessar nossos sistemas e dados. Os direitos de acesso são concedidos com base nos princípios de necessidade de conhecimento e privilégio mínimo, garantindo que os usuários tenham apenas as permissões necessárias para suas funções e responsabilidades.
- Autenticação. Protegemos as contas com medidas de autenticação fortes, incluindo autenticação multifator (MFA), tokens de hardware e logon único (SSO).
- Acesso privilegiado. O acesso privilegiado é estritamente limitado ao pessoal autorizado. Todas as atividades realizadas com direitos elevados são monitoradas de perto e registradas para manter a responsabilidade e a supervisão.
- Revisões de acesso. As revisões de acesso são realizadas regularmente de acordo com um processo estabelecido para garantir que as permissões permaneçam adequadas.
- Opções de autenticação do assinante. A MTech oferece opções flexíveis de autenticação para os assinantes, incluindo integrações com provedores de identidade, como Okta, Google, CyberArk e Entra ID.
11. práticas de desenvolvimento seguro
A segurança é incorporada em todo o ciclo de vida do desenvolvimento de software.
- Implementação de código. Todas as alterações na base de código são revisadas por pares e validadas antes de serem implantadas no ambiente de produção.
- Monitoramento automatizado. Ferramentas automatizadas verificam continuamente possíveis vulnerabilidades, garantindo que os problemas sejam identificados e corrigidos imediatamente para manter a segurança e a integridade de nossa plataforma e de nossos serviços.
12. teste de penetração
A MTech contrata terceiros independentes para realizar testes regulares de penetração em nossa plataforma e em nossos serviços.
13. gerenciamento de incidentes
14. recuperação de desastres e continuidade dos negócios
Os assinantes têm a opção de implantar serviços de forma redundante em várias Zonas de Disponibilidade do Azure, garantindo a resiliência contra riscos ambientais.
Os serviços aproveitam os data centers distribuídos geograficamente e a infraestrutura de nuvem para alta disponibilidade, continuidade operacional e recuperação de desastres, dependendo do nível de serviço selecionado pelo assinante.
O backup dos dados do assinante é feito usando armazenamento com redundância geográfica em uma região alternativa. No caso de uma interrupção na região primária, os dados podem ser restaurados e o ambiente reprovisionado de acordo com nossos procedimentos de recuperação de desastres.
As equipes de suporte e engenharia estão distribuídas em todas as regiões para uma resposta rápida.
Os planos de continuidade dos negócios, resposta a incidentes e recuperação de desastres são testados e atualizados regularmente.
15. gerenciamento de riscos
O gerenciamento de riscos é uma atividade central na MTech e é fundamental para nossa estabilidade e resiliência operacional a longo prazo. Promovemos uma forte cultura de conscientização de riscos e mantemos processos eficazes para identificar, avaliar, gerenciar e relatar riscos em toda a nossa organização.
A MTech monitora e avalia continuamente os riscos usando um modelo estruturado que considera tanto a probabilidade quanto o impacto. Os riscos são identificados, avaliados e priorizados, com estratégias de mitigação desenvolvidas e acompanhadas até o encerramento. Relatórios regulares garantem que os proprietários de riscos e a liderança permaneçam informados e envolvidos no gerenciamento proativo de riscos.
16. segurança das pessoas
A MTech aplica controles abrangentes de segurança de pessoal para garantir que funcionários, contratados e consultores entendam suas responsabilidades, sejam adequados para suas funções e sejam continuamente treinados.
- Verificação de antecedentes. A triagem pré-emprego é realizada para todos os novos contratados e prestadores de serviços. Prestadores de serviços externos são usados para realizar essas verificações de forma segura, quando permitido pelas leis aplicáveis.
- Integração. Todo o pessoal segue um processo estruturado de integração que inclui a participação em treinamentos de conscientização de segurança e específicos para a função, bem como a atribuição de credenciais de acesso.
- Desligamento. O desligamento é regido por um processo formal orientado por uma lista de verificação, que inclui a revogação imediata do acesso físico e ao sistema, a devolução ou destruição de materiais e informações da empresa e lembretes das obrigações contínuas de acordo com os NDAs e contratos de trabalho.
- Conscientização e treinamento em segurança. A MTech executa um programa contínuo de conscientização de segurança que inclui treinamento geral de segurança para toda a equipe, módulos direcionados que abordam vetores de ameaças atuais (por exemplo, phishing, engenharia social), simulações de phishing e treinamento de acompanhamento para lacunas identificadas.
- Processo disciplinar. A MTech mantém um processo disciplinar para lidar com violações de segurança. O processo garante um tratamento justo e consistente dos incidentes, com protocolos de escalonamento e ações corretivas, dependendo da gravidade e da intenção.
17. segurança física
A MTech tem parceria com o Microsoft Azure para hospedar nossa plataforma e nossos serviços. O Microsoft Azure mantém certificações de segurança padrão do setor, incluindo ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e PCI DSS Nível 1. Mais informações sobre a segurança dos data centers do Microsoft Azure podem ser encontradas em https://learn.microsoft.com/en-us/azure/security/.
A MTech implementou medidas para garantir que somente pessoas autorizadas possam acessar os locais físicos de nossos escritórios. Isso inclui controles de acesso abrangentes, como o emprego de leitores de crachás, vigilância por câmeras e restrições de acesso por tempo específico.
18. gerenciamento de fornecedores e subprocessadores
A MTech depende de uma série de serviços de suporte de fornecedores terceirizados para operar de forma eficiente e eficaz. Quando esses fornecedores estão integrados aos serviços da MTech ou podem afetar nossa segurança e tolerância a riscos, realizamos avaliações de risco completas antes de integrar qualquer novo fornecedor (incluindo períodos de teste) e, conforme necessário, para os fornecedores existentes. Essas avaliações de risco incluem a verificação da conformidade com os padrões SOC 2 e ISO 27001.
Todos os subprocessadores (fornecedores que processam dados pessoais) estão sujeitos a contratos por escrito que exigem que eles atendam aos padrões de segurança, privacidade e conformidade da MTech. Mantemos uma lista pública dos subprocessadores atuais e informamos sobre quaisquer alterações.
Nossa lista de subprocessadores está disponível em https://mtechsystems.io/legal/sub-processor-list/.
19. entre em contato conosco
Se tiver dúvidas sobre nossas práticas de segurança de informações ou privacidade de dados, entre em contato conosco usando os detalhes abaixo.
E-mail: support@mtech-systems.com
Correio eletrônico: 115 Perimeter Center Place NE, Suite 845, Atlanta, GA 30346, EUA