Segurança na Adyen
Temos o compromisso de proteger seus dados pessoais e implementamos medidas para fazê-lo de forma eficaz. Para evitar que pessoas ou partes não autorizadas possam acessar seus dados, implementamos uma série de medidas técnicas e organizacionais para preservar e proteger as informações que tratamos sobre você. Entre elas estão:
1. Programa de Segurança, Políticas e Equipe de Segurança:
Mantemos um Programa de Segurança da Informação para identificar riscos e implementar controles adequados. Esse programa é revisado regularmente para garantir a eficácia e a precisão contínuas. Temos uma equipe de segurança da informação em tempo integral responsável por monitorar, manter e melhorar continuamente nossa segurança. Temos políticas e procedimentos de segurança da informação adequados e eficazes que são essenciais para o cumprimento das regulamentações relevantes.
2. Auditorias e certificações:
Passamos por uma verificação independente de nossos controles de segurança e conformidade para ajudar a atender aos objetivos regulatórios e de políticas. As atuais auditorias independentes de segurança da informação da Adyen incluem:
a. Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS)
O PCI DSS é um conjunto de diretrizes de segurança de informações e práticas recomendadas de negócios para estabelecer um "padrão mínimo de segurança" para proteger as informações de cartões de pagamento dos clientes. A Adyen passa por, pelo menos, uma auditoria anual de terceiros para certificar nosso produto e plataforma de pagamento com o PCI-DSS.
b. Controles de Sistemas e Organização 2 (SOC 2) Tipo 2
O SOC 2 é um relatório baseado no Conselho de Padrões de Auditoria do Instituto Americano de Contadores Públicos Certificados (IACPC) e nos Critérios de Serviços de Confiança (CSC) existentes. O objetivo deste relatório é avaliar os sistemas de informação da Adyen relevantes para segurança, disponibilidade, confidencialidade e privacidade. A Adyen passa por, pelo menos, uma auditoria anual de terceiros para relatar a adequação do projeto e a eficácia operacional de nossos controles.
3. Controle de acesso e gerenciamento de privilégios:
Restringimos o acesso administrativo de nossos sistemas de produção ao pessoal aprovado. Quando contratados, nossos funcionários aprovados recebem IDs e credenciais exclusivas. Após a demissão do pessoal aprovado, ou quando houver suspeita de comprometimento dessas credenciais, o acesso administrativo será revogado. Os direitos e níveis de acesso baseiam-se na função e no cargo de nossos funcionários e nos conceitos de segurança de "menor privilégio" e "precisa saber", para garantir que os privilégios de acesso sejam compatíveis com as responsabilidades definidas.
4. Criptografia de Dados:
Criptografamos os dados e a transmissão com nossas interfaces de usuário ou APIs (usando TLS ou tecnologias semelhantes) pela Internet.
5. Monitoramento de Segurança e Resposta a Incidentes:
Temos um processo de gerenciamento de incidentes para eventos de segurança que possam afetar a confidencialidade, a integridade ou a disponibilidade de nossos sistemas ou dados. Esse processo inclui tempos de resposta definidos para que a Adyen notifique as devidas partes. Esse processo especifica planos de ação, procedimentos para notificação, escalonamento, atenuação e documentação. O programa de resposta a incidentes inclui sistemas de monitoramento centralizado 24 horas por dia, 7 dias por semana e equipe de plantão para responder a incidentes de segurança.
6. Segurança Física:
Em nossos locais físicos, como centros de dados, existem controles para impedir o acesso físico não autorizado. Entre eles estão: Pontos de controle de segurança, autenticação por crachá (ou biométrica), entrada obrigatória de visitantes e vigilância por vídeo.
7. Gerenciamento e Segurança de Rede:
Mantemos uma infraestrutura de rede segura e padrão do setor, apoiada por uma banda larga suficiente e uma infraestrutura de rede secundária para reduzir o impacto de qualquer falha de componente individual. Nossa equipe de segurança utiliza utilitários padrão do setor para se defender contra atividades de rede não autorizadas comuns e conhecidas, monitora as listas de avisos de segurança em busca de vulnerabilidades e realiza verificações e auditorias externas regulares de vulnerabilidades.
8. Segurança em nosso Processo de Desenvolvimento
Nossos produtos e nossa plataforma de pagamento são projetados e desenvolvidos tendo em mente as práticas de segurança e privacidade definidas pelo setor. Mantemos um ciclo de vida de desenvolvimento de produtos documentado, conhecido como SCVDSS (Sistema de Ciclo de Vida de Desenvolvimento de Software Seguro), com princípios formais de desenvolvimento.