Ir para o conteúdo
CENTRAL DE CONFIANÇA DA HOOTSUITE

Conformità


Programa de Gestão de Riscos

A estrutura de gerenciamento de riscos de segurança da Hootsuite define o mandato e o compromisso gerais, orientando princípios e estabelecendo funções e responsabilidades para gerenciar, monitorar e melhorar a prática de gerenciamento de riscos dentro da organização. Esse programa é adaptativo para refletir o ambiente organizacional interno e externo, os avanços tecnológicos e as mudanças nos negócios. A estrutura inclui a avaliação e o tratamento de riscos à segurança da informação para todos os processos de segurança, incluindo análise de fornecedor/fornecedor, aplicação/patch de servidor, gerenciamento de incidentes de segurança e correção de vulnerabilidades.

A Hootsuite tem uma equipe dedicada cuja missão é oferecer garantia objetiva e atividades de consultoria projetadas para agregar valor e fortalecer as operações da Hootsuite. O escopo do seu mandato é determinar se o arranjo de processos de gerenciamento de risco, controle e governança da Hootsuite, conforme projetado e representado pela gerência, é adequado e funciona como o esperado para todas as unidades de negócios, o que inclui as operações da Hootsuite.

Isso envolve:

  1. Garantir que a gerência tenha implementado controles internos confiáveis.

  2. Assessorar unidades de negócios em relação a riscos e ajudar a gerência a identificar controles para mitigar riscos.

  3. Avaliar os controles e as operações dentro das unidades de negócios e relatar os resultados da avaliação para o gerenciamento.

Há um processo estruturado de avaliação de risco para identificar e gerenciar riscos que podem afetar a capacidade da Hootsuite de prestar serviços para seus clientes. A avaliação é realizada anualmente ou quando há uma mudança significativa no ambiente ou no processo de negócios. A avaliação envolve as seguintes etapas: identificar, analisar, avaliar e tratar os riscos de forma eficaz.


Políticas de segurança da informação

A Hootsuite estabeleceu um sistema de gerenciamento de segurança da informação (SGSI) para orientar suas operações. Há políticas e processos em vigor para proporcionar ao gerenciamento direção e suporte para a segurança da informação de acordo com os requisitos de negócios e estruturas, leis e regulamentos relevantes. A Hootsuite tem um conjunto abrangente de políticas de segurança da informação baseadas nos padrões de segurança da informação ISO/IEC 27001/27002, Critérios de Serviço de Confiança (SOC 2), NIST 800-53 e GDPR. Elas incluem políticas relacionadas a: 

  • Uso aceitável

  • Controle de acesso 

  • Gerenciamento de ativos 

  • Mudar a gestão 

  • Gerenciamento de configuração 

  • Criptografia 

  • Recuperação após desastres 

  • Segurança de endpoints 

  • Classificação de informações 

  • Segurança de recursos humanos 

  • Registro e monitoramento 

  • Backup de operações 

  • Senha

  • Segurança física e ambiental 

  • Gerenciamento de incidentes de segurança

  • Gerenciamento de riscos à segurança 

  • Gerenciamento de vulnerabilidade de segurança

  • Gerenciamento de riscos de terceiros 

  • Segurança sem fio

As políticas de segurança baseiam-se nos princípios fundamentais de privilégio mínimo, necessidade de conhecimento e segregação de funções. As políticas são revisadas anualmente ou quando ocorre uma mudança significativa no ambiente ou no processo de negócios.


Verificação

A Hootsuite realiza testes internos dos principais controles de segurança e privacidade para validar a adesão às estruturas estabelecidas. Isso inclui testes anuais de penetração de segurança de terceiros. Os resultados são comunicados à gerência executiva; os esforços de correção são monitorados e os controles são testados novamente, conforme o necessário, para garantir a conformidade.

Os controles de segurança e privacidade são auditados anualmente por terceiros independentes para verificar se a tecnologia, os processos e os procedimentos estão em vigor e se estão sendo seguidos. Solicite um resumo do nosso relatório SOC 2 Tipo II através do seu gestor de conta.
Nosso relatório SOC 3 descreve informações relacionadas aos controles internos da Hootsuite sobre segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade e está disponível para baixar aqui.

A Estratégia Nacional de Segurança Cibernética do governo do Reino Unido exige que todos os fornecedores estejam em conformidade com os controles do Cyber Essential para concorrer a contratos governamentais que envolvam o manuseio de informações confidenciais e pessoais. O Cyber Essentials foi desenvolvido pelo governo do Reino Unido, em consulta com o setor, e fornece uma base de medidas básicas de higiene cibernética. A Hootsuite alcançou a conformidade com o programa Cyber Essentials.


FedRAMP

O Federal Risk and Authorization Management Program (Programa Federal de Gerenciamento de Risco e Autorização), ou FedRAMP, é um programa governamental que padroniza a avaliação de segurança para serviços de nuvem usados pelas agências federais dos EUA. A FedRAMP garante que as empresas cumpram rigorosos padrões que são regidos por um corpo externo. As agências federais dos EUA são incentivadas a hospedar dados com provedores de serviços de nuvem externos que tenham autorização FedRAMP.


A autorização FedRAMP segue um processo de certificação auditado de acordo com o padrão NIST SP 800-53. Há diversos níveis de autorização dependendo do tipo de dados federais tratados pelo fornecedor. A Hootsuite está autorizada de acordo com o padrão Li-SaaS personalizado do FedRAMP.


Se tiver dúvidas sobre o programa de gerenciamento de riscos da Hootsuite, as políticas de segurança da informação ou o processo de verificação independente, peça ao seu representante de sucesso do cliente ou entre em contato conosco para saber mais.