Olá. Esse é um documento público que visa expor de forma transparente e respeitando todos os protocolos de segurança as políticas de SLA da PrivacyTools. Caso você seja cliente e queira mais informações detalhadas entre em contato.
Em virtude do COVID-19 os horários e formatos foram adaptados para a modalidade “suporte online”. As mudanças nos horários de atendimento ao telefone serão comunicadas tão logo as atividades de atendimento e suporte técnico estejam em operação tradicional ou com eventuais adaptações e melhorias.
SLA de disponibilidade
A plataforma da PrivacyTools é dividida em componentes de API e componentes de frontend e acompanhamos a taxa de disponibilidade em tempo real. Oferecemos um compromisso atual de disponibilidade anual de 99,3% . Atualmente nossos servidores estão operando com a seguinte média de disponibilidade anual:
Ambiente de Homologação/Demo | Ambiente de Produção |
|---|---|
API - 100% | API - 100% |
Frontend - 100% | Frontend - 99,93% |
Nossas métricas:
100% ATÉ 99,3% - Bom, garante a margem de atualização e correções emergenciais
99,3% ATÉ 99% - Gerenciado, melhorias a serem realizadas para correção
ABAIXO DE 99% - Ruim, ambiente com inconsistência, melhoria de infraestrutura obrigatória
O ambiente de produção possui janela de atualizações semanais em horário fixo que não será divulgado para evitar tentativas de ataque de DDOS na janela de manutenção. Caso você seja cliente e gostaria de saber a janela de indisponibilidade para instalações e troca de versões entre em contato.
Monitoramento de disponibilidade
Códigos maliciosos. A PrivacyTools observa os princípios estabelecidos em OWASP_SCP_V1.3 e Nist Privacy Framework 1.0 no que diz respeito ao monitoramento, interceptação, bloqueio e tratamento de códigos maliciosos. A aplicação possui três camadas de proteção, sendo a primeira delas um WAF que intercepta 99% dos ataques direcionados. Um segundo nível na camada do servidor de aplicação controla quais requisições merecem e são aptas a alcançar a aplicação e uma terceira camada baseada em SpringSecurity realiza o tratamento final da requisição minimizando a superfície de ataque.
Redes. A camada de rede da aplicação possui firewall com bloqueios de acesso que evitam qualquer tentativa de acesso público via técnicas de força-bruta em portas sensíveis como portas de bancos de dados e portas de servidores de aplicação, sendo apenas a porta 443 (HTTPS) exposta através de WAF ao mundo exterior.
Rastreamento. As ações dos usuários criados pelo cliente na plataforma são registradas e disponíveis para consulta pelo usuário principal do cliente, permitindo assim um rastreamento de eventos que possam elucidar alguma questão de segurança da informação do cliente. Caso seja solicitado e autorizado pelo cliente a PrivacyTools poderá consultar os logs para apoiar em alguma eventual investigação.
Certificados eletrônicos. A PrivacyTools entrega oferece certificado público para canal SSL através do seu WAF Cloudflare. Caso o cliente queira utilizar seu próprio certificado essa configuração poderá ser solicitada durante o período de implantação da plataforma. PrivacyTools compromete-se a utilizar as chaves criptográficas e certificados digitais com a única finalidade de expor serviços em HTTPS/TLS assinados pelo certificado do cliente.
Procedimentos de recuperação de serviços
A continuidade dos negócios é importante para qualquer organização e na PrivacyTools sabemos da importância que é a contínua proteção da privacidade e dados pessoais.
O processo de gestão de continuidade de negócios preestabelecido por um conjunto de políticas, normas e práticas operacionais que seguem os princípios da NBR ISO 22301 e NIST PRIVACY FRAMEWORK. O objetivo do processo de gestão de continuidade de negócios é garantir que os processos críticos tenham continuidade, atendendo aos requisitos mínimos operacionais e evitando impactos nos negócios do provedor de serviço e seus clientes.
Todos os riscos são identificados, avaliados e mitigados sempre que possível durante o planejamento da implantação. Nos casos onde um ou mais aprovadores julguem necessário, deve ser utilizado o aceite do risco por meio de carta formal a ser assinada pelo representante da alta direção ou cliente envolvido.
RPO – O backup do banco de dados é realizado uma vez ao dia sendo o valor máximo de 23:59 horas caso ocorra o desastre pouco antes do próximo backup. Contudo, o backup dos servidores de aplicação ocorre no intervalo de 12 horas entre cada backup de banco de dados o que permite a recuperação de dados de cache e disco reduzindo o impacto do banco de dados.
RTO – A camada de cache da aplicação é trabalhada de modo a operar sozinha, sustentando requisições, enquanto a aplicação encontra-se fora do ar. Medidas adicionais de segurança no processo de RTO somam-se ao produto durante seu roadmap de desenvolvimento para aproximar a taxa do tempo de recuperação o mais próximo de zero possível. A aplicação persiste e expõe em cache por até 8 horas alguns módulos, mas com recursos limitados.
Atendimento e suporte técnico
Classificação de atendimento
O SLA de atendimento é correspondente à criticidade do módulo e do negócio. Atualmente os atendimentos possuem a seguinte classificação:
Urgência | Alta | Média | Baixa |
Serviço Indisponível | Problemas em integrações | Bug não crítico em funcionalidades | Novas solicitações, atualizações ou procedimentos |
Problemas de acessos | Inconsistência de dados | Solicitações de ajuda | Dúvidas de funcionalidades já documentadas |
Questões de segurança e privacidade | Dúvidas de funcionalidades não documentadas | Outros |
Canais de atendimento
SLA de atendimento
O SLA de atendimento pode variar conforme o andamento da solicitação. Algumas solicitações podem exigir atuação de desenvolvimento de software ou mesmo reuniões de entendimento de escopo por isso oferecemos uma média estimada de TTR (Time-to-Respond) e TTRP (Time-to-resolution-plan) para a maioria dos casos.
A classificação de urgência também pode sofrer alteração interna. Um problema específico de um módulo que não afeta o usuário final em larga escala pode vir a ter a sua prioridade rebaixada após análise inicial.
A tabela abaixo é correspondente ao serviço oferecido na modalidade SAAS e não se aplica aos módulos que possuem instalação on-premise.
SLA para notificação de incidentes
1 hora para incidentes de caracterizados como ALTO;
2 horas para incidentes de caracterizados como MÉDIO;
4 horas horas para incidentes de caracterizados como BAIXO.
Observações gerais
Para que possamos trabalhar com situações que fogem da nossa alçada em relação a tempo de resolução e ou até mesmo chamados que ultrapassem a previsão listada anteriormente, precisamos esclarecer alguns pontos:
Para demandas com necessidade de uma maior carga horária e ou envolvimento de terceiros, será necessária uma nova avaliação juntamente com o cliente para um novo prazo de resolução.
Os prazos mencionados são baseados em demandas que estejam 100% vinculadas a tarefas internas da empresa, ou seja sem a necessidade da intervenção de informações do cliente e ou terceiros.
Para situações de dependência de informações do cliente, o prazo estipulado pela empresa é pausado e só será continuado quando tivermos as informações solicitadas.
Para casos de interrupções de serviços causados por terceiros de clientes vinculados aos serviços da Privacy Tools, o cliente não terá direito a ressarcimento proporcional.
Para demandas finalizadas pela equipe da Privacy Tools dentro do prazo e que retornem para análise da equipe, entraram em análise novamente. Ou seja, voltarão para o ciclo inicial.