Medidas de segurança do Jitterbit

Efetivo em 8º de dezembro de 2022

Última atualização: 20 de fevereiro de 2026

As principais medidas de segurança implementadas pela Jitterbit para proteger os dados do cliente são descritas neste Anexo de medidas de segurança da Jitterbit:

Visão geral

Este documento de Medidas de Segurança da Jitterbit (as “Medidas de Segurança”) descreve as salvaguardas administrativas, técnicas e físicas implementadas pela Jitterbit para proteger os Dados do Cliente contra acesso, divulgação, alteração ou destruição não autorizados.

Essas medidas de segurança atendem às obrigações da Jitterbit perante os requisitos legais, regulamentares e contratuais aplicáveis, incluindo, entre outros, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA e NZISM.

Este documento faz parte da estrutura mais ampla de segurança e privacidade da Jitterbit e é referenciado nos contratos aplicáveis ​​com os clientes, incluindo Contratos de Processamento de Dados (DPAs) e Contratos de Parceiros Comerciais (BAAs). Em caso de conflito entre estas Medidas de Segurança e um contrato com o cliente, o contrato com o cliente prevalecerá em relação ao seu objeto.

Os termos em maiúsculas não definidos neste documento têm os significados estabelecidos no contrato ou documentação aplicável.

Privacidade por design e privacidade por padrão

Privacidade por Design
A Jitterbit incorpora considerações de privacidade e proteção de dados em todo o ciclo de vida de seus produtos e serviços, incluindo projetos internos, desenvolvimento de software, projeto de infraestrutura e operações de TI.

Privacidade por padrão
Os produtos e serviços da Jitterbit são configurados com definições de proteção de privacidade por padrão. Os dados pessoais são coletados, processados ​​e retidos apenas na medida necessária para fornecer o serviço, cumprir as obrigações contratuais e atender aos requisitos legais e regulamentares.

1. Acesso e gerenciamento de dados do cliente

1.1 Os clientes controlam o acesso às suas contas Jitterbit por meio de identidades de usuário, controles de acesso baseados em funções e autenticação multifator.

1.2 Os funcionários da Jitterbit não acessam os Dados do Cliente não criptografados, a menos que sejam explicitamente autorizados pelo Cliente para fins de suporte, solução de problemas ou operacionais.

1.3 A Jitterbit processa os Dados do Cliente exclusivamente de acordo com as instruções do cliente, conforme necessário para fornecer, manter e dar suporte ao Aplicativo Jitterbit, em conformidade com o contrato aplicável.

1.4 Os metadados de aplicativos e projetos do cliente gerados pelo aplicativo Jitterbit são hospedados apenas na região geográfica de origem (América do Norte, EMEA ou APAC), a menos que seja acordado contratualmente o contrário.

1.5 A Jitterbit mantém diagramas de fluxo de dados documentados que descrevem como os dados do cliente fluem pelo aplicativo Jitterbit e fornece esses diagramas mediante solicitação razoável.

2. Separação Lógica dos Dados do Cliente

A Jitterbit impõe a separação lógica dos dados do cliente por meio de controles técnicos em camadas, incluindo:

  • Arquiteturas de banco de dados segmentadas com esquemas separados
  • Conexões de serviço para serviço confiáveis ​​e autenticadas
  • Criptografia de dados confidenciais
  • Camadas de filtragem lógica entre inquilinos e recursos compartilhados.
  • Mecanismos de controle de acesso para restringir o acesso a dados com base na identidade e função.

 

3. Gerenciamento de acesso à infraestrutura de aplicativos

3.1 O acesso aos sistemas e à infraestrutura que suportam o Aplicativo Jitterbit é restrito a pessoal autorizado, com base nas responsabilidades do cargo e nos princípios do menor privilégio.

3.2 O acesso aos registros do sistema e do aplicativo é restrito a pessoal autorizado para fins de suporte operacional, solução de problemas e monitoramento de segurança.

3.3 O acesso administrativo requer credenciais de usuário exclusivas, autenticação forte e autenticação multifator em conexões seguras.

3.4 Os padrões de senha para servidores e infraestrutura atendem ou superam os requisitos reconhecidos pelo setor.

3.5 Os privilégios de acesso são prontamente revogados ou ajustados em caso de rescisão do contrato de trabalho ou mudança de função do funcionário.

3.6 O acesso dos usuários à infraestrutura de produção é revisto periodicamente.

3.7 As tentativas de acesso e as ações administrativas são registradas e monitoradas.

3.8 O acesso à rede é restringido usando configurações de grupo de segurança com negação por padrão.

3.9 Firewalls e controles de segmentação de rede são usados ​​para restringir o tráfego de entrada e saída.

3.10 Ferramentas de detecção e monitoramento de intrusões são usadas para detectar atividades suspeitas ou anômalas.

4 Gerenciamento de riscos

4.1 A Jitterbit mantém um programa formal de gestão de riscos alinhado com estruturas reconhecidas, como o NIST.

4.2 Avaliações de risco técnicas e não técnicas são realizadas ao longo do ano, incluindo varreduras automatizadas, revisões internas e avaliações e testes de penetração de terceiros.

4.3 Os resultados da avaliação são analisados ​​pela liderança de segurança e privacidade e acompanhados por meio de processos de remediação definidos.

4.4 Os riscos identificados são priorizados e abordados utilizando estratégias de remediação baseadas em risco.

4.5 As fontes de inteligência sobre ameaças são monitoradas para identificar ameaças e vulnerabilidades emergentes.

5. Varredura de Vulnerabilidade e Teste de Penetração

5.1 Varreduras automatizadas de vulnerabilidades são realizadas regularmente em sistemas que suportam o aplicativo Jitterbit.

5.2 As vulnerabilidades detectadas são avaliadas com base na gravidade, na explorabilidade e no impacto nos negócios.

5.3 As vulnerabilidades que atendem aos limites de risco definidos têm prioridade na correção.

5.4 Testes de penetração independentes realizados por terceiros são conduzidos pelo menos anualmente.

5.5 Testes internos de segurança e atividades de revisão de código são realizados regularmente.

5.6 As práticas de desenvolvimento seguro incluem gerenciamento de dependências, testes estáticos e dinâmicos e rastreamento de correções.

6. Acesso Remoto e Segurança de Pontos de Extremidade

6.1 O acesso administrativo a ambientes de nuvem requer conexões seguras e autenticação forte.

6.2 Os dados do cliente não são armazenados em dispositivos locais dos funcionários, a menos que seja explicitamente necessário e protegidos por controles apropriados.

6.3 A proteção de endpoints, o reforço da segurança dos dispositivos e os controles de monitoramento são aplicados em dispositivos gerenciados pela Jitterbit.

7. Localização da aplicação e residência de dados

7.1 Os dados do cliente são armazenados em regiões designadas do aplicativo Jitterbit (EUA, UE, APAC).

7.2 Os ambientes de produção são projetados para impedir a replicação não autorizada entre regiões.

7.3 As configurações de recuperação de desastres respeitam os requisitos de residência de dados, a menos que seja acordado contratualmente o contrário.

8. Registro e monitoramento de eventos do sistema

8.1 As ferramentas de monitoramento coletam eventos de infraestrutura, aplicativos e segurança.

8.2 Os registros são centralizados, protegidos contra adulteração e têm acesso controlado.

8.3 Os períodos de retenção de logs são definidos com base na criticidade do sistema, nos requisitos regulamentares e nas necessidades operacionais.

9. Administração de Sistemas, Prevenção de Malware e Gerenciamento de Correções

9.1 Os sistemas são reforçados de acordo com as melhores práticas da indústria.

9.2 Os sistemas operacionais e aplicativos são atualizados regularmente.

9.3 Os controles de detecção e prevenção de malware são implementados e mantidos.

9.4 As vulnerabilidades de alto risco são priorizadas para correção de acordo com cronogramas definidos.

10. Treinamento de Segurança e Controle de Pessoal

10.1 Todos os funcionários recebem treinamento em segurança e privacidade no momento da contratação e pelo menos anualmente.

10.2 Os funcionários reconhecem a responsabilidade de relatar incidentes de segurança suspeitos.

10.3 São realizadas atividades periódicas de conscientização, incluindo simulações de phishing.

10.4 A verificação de antecedentes é realizada onde for legalmente permitida.

10.5 Terceiros com acesso aos Dados do Cliente são contratualmente obrigados a cumprir os padrões de segurança da Jitterbit.

11. Segurança Física

11.1 O aplicativo Jitterbit é hospedado por provedores de serviços em nuvem que mantêm controles de segurança física e certificações independentes.

11.2 A Jitterbit analisa anualmente os relatórios de garantia de terceiros relevantes.

12. Notificação de violação de segurança

12.1 Uma violação de segurança inclui o acesso não autorizado ou a divulgação de Dados do Cliente, ou o acesso não autorizado a sistemas que processam Dados do Cliente.

12.2 A Jitterbit notifica os Clientes afetados sem demora indevida, em conformidade com os requisitos contratuais e regulamentares.

12.3 As notificações incluem detalhes relevantes sobre o incidente e as ações de resposta.

12.4 A Jitterbit investiga, contém e mitiga incidentes de segurança utilizando procedimentos de resposta a incidentes estabelecidos.

13. Recuperação de Desastres e Continuidade de Negócios

13.1 A Jitterbit mantém planos documentados de recuperação de desastres e continuidade de negócios.

13.2 As capacidades de recuperação de desastres são testadas periodicamente.

13.3 Os clientes são responsáveis ​​por configurar suas próprias estratégias de backup e de abrangência regional, quando aplicável.

14. Conformidade e Garantia de Segurança

A Jitterbit mantém avaliações e certificações independentes, que podem incluir:

  • Relatórios SOC 1 e SOC 2
  • Certificação ISO 27001 (abrangendo também os anexos ISO 27017 e ISO 27018)
  • Certificação ISO 42001
  • Conformidade com a HIPAA para obrigações de parceiros comerciais
  • Programas de conformidade com GDPR, CCPA, LGPD e NZISM
  • Testes de penetração e avaliações de vulnerabilidade independentes

15. Implantação de Agentes Locais e na Nuvem

15.1 O Jitterbit Cloud foi projetado com fortes controles de segurança ativados por padrão.

15.2 As opções de implantação do Agente Local permitem que os clientes processem dados confidenciais em seus próprios ambientes.

16. Criptografia de dados

16.1 Os dados do cliente em repouso são criptografados usando algoritmos de criptografia AES padrão do setor.

16.2 Os dados do cliente em trânsito são protegidos por meio de protocolos de comunicação seguros, como o TLS.

17. Controles de segurança de inteligência artificial

17.1 A Jitterbit aplica salvaguardas adicionais a recursos e sistemas habilitados para IA.

17.2 Os modelos, configurações e conjuntos de dados de IA têm acesso controlado e são protegidos contra modificações ou extrações não autorizadas.

17.3 Os dados relacionados com IA são classificados e tratados de acordo com as normas de proteção de dados da Jitterbit.

17.4 Os sistemas de IA são monitorados quanto à segurança, integridade e anomalias operacionais.

17.5 As práticas de governança de IA estão alinhadas com os padrões emergentes, incluindo a ISO 42001, e enfatizam a supervisão humana, a responsabilidade e o uso responsável.

17.6 Os sistemas de IA não utilizam quaisquer dados do cliente para treinar os modelos LLM.

17.7 Agentes de IA e fluxos de trabalho autônomos
Os agentes de IA e os fluxos de trabalho autônomos da Jitterbit operam dentro de diretrizes definidas para garantir um comportamento seguro, auditável e responsável. Os clientes permanecem como controladores de dados e mantêm a flexibilidade para utilizar seus próprios Modelos de Linguagem de Grande Porte (LLMs) ou provedores de IA preferenciais por meio da estrutura de conectividade da Jitterbit. Os agentes de IA estão sujeitos a rigorosos controles de identidade, autenticação e autorização, com permissões limitadas às ações mínimas necessárias. Todas as atividades dos agentes são registradas, monitoradas e auditáveis. Os agentes de IA estão proibidos de acessar, processar ou exfiltrar Dados do Cliente além dos casos de uso explicitamente autorizados. As ações automatizadas executadas pelos agentes de IA são projetadas com supervisão humana, pontos de verificação de aprovação quando apropriado e mecanismos à prova de falhas para evitar resultados indesejados ou prejudiciais. Os agentes de IA são continuamente avaliados quanto à segurança, integridade dos dados e conformidade com os padrões de governança de IA, proteção de dados e gerenciamento de riscos da Jitterbit.

18. Modelo de Responsabilidade Compartilhada

A segurança é uma responsabilidade compartilhada entre a Jitterbit e seus clientes. Embora a Jitterbit implemente controles robustos de segurança na plataforma, os clientes são responsáveis ​​por:

  • Gerenciamento de acesso e credenciais de usuários
  • Configurar recursos de segurança em suas contas.
  • Gerenciar suas próprias estratégias de backup e recuperação de dados

Dúvidas? Estamos aqui para ajudar.

Contacte-nos