Suporte ao cliente
fill 7
fill 7
OTRS - Home

Central de confiança

Sua segurança é nossa principal prioridade. É por isso que nós da OTRS levamos muito a sério os requisitos de proteção de dados, segurança de dados e conformidade. Nesta página você encontrará todas as informações importantes que o ajudarão como cliente OTRS e cliente em potencial a entender melhor nossos produtos. Além disso, você aprenderá como seus dados são/serão protegidos e quais precauções e medidas são tomadas para garantir isso.
Segurança da Informação
Segurança de dados

Segurança da Informação

Os data centers são protegidos de acordo com os requisitos atuais, por exemplo, ISO27001, proteção básica BSI e catálogo BSI C5. Isso inclui medidas físicas e organizacionais.

Mais informações podem ser encontradas aqui:

  • Criptografia: 
    Todas as transmissões de dados são criptografadas via SSL, tanto durante a transmissão entre o usuário e o serviço SaaS quanto nas interfaces técnicas.
  • Controle de acesso: 
    A implementação de controles e métodos de acesso rígidos, como ssh somente chave, garante que apenas usuários autorizados possam acessar os sistemas e dados. Um princípio de “necessidade de saber” foi estabelecido.
  • Atualizações regulares de segurança: 
    Todos os sistemas, estruturas e componentes de software são atualizados como parte da manutenção e conforme necessário para fechar as lacunas de segurança e minimizar possíveis pontos de ataque.
  • Firewalls: 
    As regras de firewall não permitem tráfego de dados não intencional.
  • Monitoramento e documentação: 
    O tráfego de rede é monitorado continuamente e as atividades são registradas para detectar e reagir a atividades suspeitas ou incomuns.
  • A separação e o isolamento dos dados entre diferentes clientes são separados para garantir que outros dados não possam ser acessados comprometendo um sistema.

Os protocolos baseados em SSL são usados para proteger conexões de dados, como conexões SMTP ou IMAP protegidas por https ou TLS. O acesso ao sistema é concedido via ssh. Os e-mails podem ser criptografados de ponta a ponta via PGP ou S/Mime. A criptografia do disco rígido pode ser configurada facilmente, se necessário.

Os componentes principais são projetados de forma redundante ou configurados como um cluster. Um backup diário é criado para todas as instâncias SaaS e armazenado com redundância geográfica em servidores seguros que não podem ser acessados pela Internet. As instâncias podem ser restauradas dentro do período definido contratualmente. A recuperação de desastres é testada regularmente automaticamente.

  • Consideração de possíveis riscos e ameaças de segurança desde a fase de planejamento e design durante todo o processo de desenvolvimento.
  • A conscientização sobre segurança é mantida atualizada na equipe de desenvolvimento por meio de cursos de treinamento e sessões regulares de treinamento.
  • Diretrizes de código seguro, como as Práticas de Codificação Segura OWASP, são usadas.
  • Verificações regulares, por exemplo, das bibliotecas usadas e revisões de código, ajudam a identificar e eliminar possíveis lacunas de segurança em um estágio inicial.
  • Uma separação estrita dos sistemas de desenvolvimento, preparação, teste e produção evita a divulgação acidental de dados confidenciais.
  • Para verificar vulnerabilidades dinâmicas, o OTRS usa ferramentas externas para monitoramento contínuo e dinâmico dos principais aplicativos em relação aos riscos de segurança comuns para aplicativos da web.
  • Aqui estão os detalhes da nossa “Política de Divulgação de Vulnerabilidades”, resumidamente: VDP.

O OTRS oferece, entre outras coisas:

  • Políticas de senha
  • SSO via SAML
  • Autenticação de dois fatores configurável
  • Armazenamento seguro de senhas com algoritmos seguros, como SHA2 ou Blowfish
  • Controle de direitos de acesso por meio de um conceito de autorização baseado em função
  • Gerenciamento de certificados para https e e-mail
  • Filtragem de IP
  • SPF, DKIM e DMARC
  • PGP e S/Mime para e-mail

Algumas opções estão disponíveis apenas para OTRS SaaS.

Os funcionários do Grupo OTRS são informados sobre questões de segurança e os regulamentos de conformidade para o processamento de dados pessoais. Isso é feito por meio de treinamento sobre os tópicos mencionados e serviços técnicos. Todos os colaboradores são obrigados a manter a confidencialidade e o sigilo de acordo com as diretrizes e leis aplicáveis e são formados nas áreas de proteção e segurança de dados através de testes internos.

Segurança de dados

Lei Geral de Proteção de Dados Pessoais („LGPD“) – Brasil

A Lei Geral de Proteção de Dados Pessoais (“LGPD”), entrou em vigor em 18 de setembro de 2020. A LGPD é uma lei abrangente de proteção de dados que regula as atividades de controladores e operadores, bem como os direitos dos titulares dos dados. Os clientes do OTRS que coletam e armazenam dados pessoais no OTRS podem ser classificados como “controladores” de acordo com a Lei Geral de Proteção de Dados (LGPD). Os controladores têm a responsabilidade primária de garantir que o processamento de dados pessoais esteja em conformidade com as leis de proteção de dados relevantes, incluindo a LGPD. O OTRS atua como “processador” em relação ao tratamento de dados pessoais por meio dos Serviços prestados, conforme esse termo é definido na LGPD.

 

Lei de Privacidade do Consumidor da Califórnia (CCPA) e Lei de Direitos de Privacidade da Califórnia (CPRA)

O Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code §§ 1798.100 et seq. (“CCPA”), é uma lei dos EUA aprovada pelo estado da Califórnia que está em vigor desde 1º de janeiro de 2020. Ele rege os direitos de privacidade disponíveis para certos consumidores da Califórnia e exige que certas empresas cumpram vários requisitos de privacidade. Por favor, leia também o Regulamentos da CCPA  e o Lei de Direitos de Privacidade da Califórnia (CPRA). Certas disposições da CPRA entraram em vigor em 16 de dezembro de 2020 e as demais disposições da CPRA entraram em vigor em 1º de janeiro de 2023.

A OTRS não “vende” nenhuma informação de identificação pessoal de seus próprios clientes ou agentes, conforme definido na CCPA. Podemos compartilhar informações agregadas e/ou anônimas sobre o uso dos Serviços, que não são consideradas Informações Pessoais sob a CCPA, com terceiros para nos ajudar a desenvolver e melhorar os Serviços e fornecer conteúdo e ofertas de serviços mais relevantes aos nossos clientes, conforme estabelecido em nossos contratos.

 

Regulamento Geral de Proteção de Dados da UE (GDPR)

Essa abordagem inclui apoiar nossos clientes no que diz respeito à conformidade com os requisitos de proteção de dados da UE, como os estabelecidos no RGPD (“DSGVO”). Se um assinante coletar, transferir, hospedar ou analisar dados pessoais de cidadãos da UE, o GDPR exigirá que o assinante use processadores externos que possam garantir sua capacidade de implementar os requisitos técnicos e organizacionais fornecidos pelo GDPR. Como uma medida adicional de construção de confiança em relação ao GDPR, nosso Contrato de Processamento de Dados (“DPA”) foi atualizado para fornecer aos nossos clientes garantias contratuais sobre a lei de proteção de dados da UE aplicável e a implementação de disposições contratuais adicionais exigidas pelo GDPR.

 

Solicitações das pessoas afetadas:

Um indivíduo que deseje exercer seus direitos de proteção de dados em relação aos dados pessoais armazenados ou processados por nós em nome de um de nossos assinantes como parte dos dados de serviço do assinante (incluindo solicitação de acesso, correção, alteração, exclusão, transferência ou restrição de processamento de tais dados pessoais) deve direcionar tal solicitação aos nossos clientes (os controladores de dados). Após o recebimento de uma solicitação de um de nossos clientes para excluir dados pessoais do OTRS, responderemos a tal solicitação dentro de trinta (30) dias. Retemos dados pessoais que processamos e armazenamos em nome de nossos clientes pelo tempo necessário para fornecer os serviços aos nossos clientes

Encarregado de Proteção de Dados:

O Encarregado de Proteção de Dados (DPO) do OTRS pode ser contatado em aumiller@iitr.de ou dataprivacy@otrs.com.

 

Lei de Proteção de Dados Pessoais de Cingapura (PDPA)

A Lei de Proteção de Dados Pessoais de Cingapura estabelece disposições legais que regem a coleta, o uso e a divulgação de dados pessoais a partir de 2 de julho de 2014. O OTRS é um intermediário de dados reconhecido pela Autoridade de Desenvolvimento da Infocomm de Cingapura (IDA) em sua capacidade de provedor de “Software como Serviço” (“SaaS”).

 

GDPR e Brexit

O Reino Unido deixou a União Europeia em 31 de janeiro de 2021. Em 28 de junho de 2021, a Comissão Europeia adotou decisões de adequação para a transferência de dados pessoais para o Reino Unido sob o GDPR.

Você pode concluir e/ou visualizar o contrato OTRS DPA em https://portal.otrs.com/external/c/data-processing-documents. O OTRS DPA abrange os procedimentos específicos de processamento de dados e medidas de segurança que se aplicam aos nossos serviços e inclui as novas Cláusulas Contratuais Padrão da UE (“EU SCCs”).

Se você precisar atualizar seu DPA OTRS existente para incluir as novas SCCs da UE e o Anexo do Reino Unido, mas não quiser entrar em um novo DPA, você pode visualizar e/ou assinar o Anexo de Transferência de Dados OTRS em https://portal.otrs.com/external/c/data-processing-documents.

Aqui você encontra nossa Política de Privacidade detalhada.

Nossos clientes podem visualizar todos os detalhes e documentos contendo informações sobre o processamento de seus dados no portal do cliente OTRS.

Todos os prestadores de serviços externos são regularmente auditados pelo OTRS de acordo com as normas legais aplicáveis. Todos os provedores que trabalham conosco, especialmente aqueles que podem acessar nossos dados ou sistemas, cumprem as diretrizes vigentes.

Se você tiver alguma dúvida ou comentário, entre em contato conosco pelo 
security@otrs.com ou datenschutz@otrs.com