Tens alguma empresa WISP que sigas?

A Yellowfin mantém um WISP da empresa atualizado (que define o funcionamento seguro da empresa) e outros documentos SOP para o pessoal seguir.

Que acreditações externas possui a empresa?

Yellowfin tem o seguinte

• UK Cyber Essentials 2018 (necessário para vender serviços digitais ao Governo do Reino Unido)
• UK Cyber Essentials 2019
• UK Cyber Essentials 2020
• Atingiu o SOC2 Tipo 2 em 2021

A tua empresa tem uma ou mais pessoas identificadas para implementar e gerir o programa de segurança da informação (por exemplo, diretor de segurança da informação, diretor/gestor, outro)?

A segurança da empresa está sob a responsabilidade do gabinete do COO. A equipa de operações gere todas as questões de segurança da organização.

A Yellowfin tem diretrizes de reforço da segurança para dispositivos de infra-estruturas informáticas e de rede?

O WISP da Yellowfin e outros documentos internos definem as abordagens para proteger o ecossistema contra influências externas ou acesso não autorizado. A Yellowfin tem um responsável ISO que funciona para testar regularmente os limites externos e efetuar testes de vulnerabilidade nos componentes da rede e em todos os pontos terminais. O responsável ISO utiliza ferramentas de análise padrão da indústria para descobrir problemas e fazer a triagem dos mesmos para resolução ou atenuação.

A Yellowfin tem firewalls para proteger os limites da empresa?

A Yellowfin protege todas as fronteiras da empresa com firewalls Cisco 5515-X ou 5545-X; a Yellowfin também utiliza firewalls Cisco 5515-X internas nas fronteiras internas para proteger os segredos e o IP da empresa.

O Yellowfin tem proteção de pontos finais?

A Yellowfin protege todos os endpoints e plataformas de serviço com a proteção Bitdefender Cloud. Esta tecnologia é instalada como um cliente no Windows, Linux e Apple; é controlada e monitorizada pelo portal da nuvem. A Bitdefender Cloud fornece a cada cliente uma firewall local, antivírus, antimalware, anti-criptografia, proteção web/email e proteção de ficheiros.

A Yellowfin tem uma política de palavras-passe?

A Yellowfin utiliza palavras-passe de elevada entropia em todos os servidores e plataformas de serviços externos. Alta entropia significa 20 caracteres ou mais. A nossa norma é 32 caracteres.
O PON interno do pessoal define a política de palavras-passe e a frequência de reciclagem a seguir pelo pessoal.

O Yellowfin tem políticas de acesso de utilizadores para criação e aprovação?

A Yellowfin utiliza a tecnologia OKTA SSO para fornecer um ponto de acesso único a todas as aplicações da empresa. O pessoal tem um único início de sessão e todas as aplicações atribuídas acessíveis na Web estão disponíveis através do portal OKTA. Quando o pessoal entra a bordo, são-lhes atribuídas plataformas de acesso e quando o pessoal sai, as suas plataformas são revogadas.
Para aplicações GUI e equipamento em que são necessárias credenciais, estas são emitidas e revogadas pela equipa de operações.

Quem é responsável pela concessão de acesso aos recursos do sistema informático?

A equipa de operações, que trabalha sob a alçada do gabinete do COO, é responsável pelo acesso ao sistema informático.

A Yellowfin está em conformidade com normas como HiPPA, PCI e protege todos os dados PII/KYC dos clientes?

• A Yellowfin é um fornecedor de software puro e não aloja os dados dos clientes. O pessoal ISO do cliente é responsável pelo alojamento e gestão seguros do software da Yellowfin.
• A Yellowfin não aloja nem tem acesso a quaisquer dados HiPPA.
• A Yellowfin não aloja nem tem acesso a quaisquer dados de cartões de crédito
• A Yellowfin não aloja quaisquer dados de clientes; por conseguinte, não detém dados de identificação pessoal ou dados KYC.
• Por política, a Yellowfin não acede aos dados dos clientes para actividades de apoio.

A Yellowfin está em conformidade com o RGPD?

A Yellowfin só armazena informações de clientes e potenciais clientes fornecidas à Yellowfin por essas partes interessadas. A Yellowfin não armazena informações que sejam sensíveis a PII, como a data de nascimento. Todas as informações elegíveis para o RGPD são fornecidas pelos contactos principais ou pelos contactos da conta e são informações de nível público. A Yellowfin removerá as informações detidas por uma pessoa, mediante pedido, de todos os sistemas activos em conformidade com as regras do RGPD e manterá apenas as informações mínimas para manter a integridade dos nossos sistemas de contabilidade e faturação.
A Yellowfin é também membro aderente do Escudo de Proteção da Privacidade dos EUA.

Descreve os teus processos e planos de recuperação de desastres e/ou de continuidade das actividades. Inclui também detalhes sobre há quanto tempo estão em vigor na tua empresa e fornece uma cópia do teu exercício de teste mais recente.

A Yellowfin tem um plano documentado de RRC, pandemia e continuidade; os documentos são redigidos de forma a serem flexíveis para qualquer cenário possível que afecte as operações comerciais normais.
O teste mais recente do plano foi a crise da COVID-19, que exigiu que os cidadãos se abrigassem no local ou em casa. A Yellowfin executou o plano e estabeleceu práticas de WFH para permitir uma mudança transparente de WIO para WFH sem perda de produtividade. A infraestrutura e a segurança estabelecidas pela Yellowfin permitiram esta transferência sem problemas.

A Yellowfin tem uma política ou diretrizes de acesso remoto de terceiros?

Não permitimos que terceiros acedam aos sistemas de produção; o pessoal interno gere todas as questões de produção e desenvolvimento

Os funcionários da Yellowfin são obrigados a assinar acordos de confidencialidade?

Todos os funcionários, no início do contrato de trabalho, são obrigados a assinar um NDA que é ilimitado e protege a propriedade intelectual. No que diz respeito aos clientes, impede que o membro do pessoal divulgue quaisquer informações confidenciais que possa obter no decurso das suas funções como representante da Yellowfin a trabalhar com os clientes.

Os Funcionários da Yellowfin estão sujeitos a verificações criminais e de referências?

A Yellowfin não efectua controlos criminais dos funcionários; a Yellowfin não efectua verificações de segurança dos funcionários. Os funcionários são sujeitos a verificações de referências na avaliação do emprego e assinam NDA e outros acordos da empresa para a proteção dos segredos da empresa, IP e informações dos clientes.

A Yellowfin tem um código de ética?

A Yellowfin tem uma política de código de ética para toda a empresa, disponível para todo o pessoal. Esta política abrange todas as normas de honestidade e lealdade no trabalho com os clientes.
O documento pode ser fornecido para análise aquando da assinatura de um NDA.

O software Yellowfin está em conformidade com todos os requisitos e regulamentos federais e estaduais aplicáveis dos EUA?

A aplicação Yellowfin tem controlos de segurança robustos e um esquema de permissões granular para se adaptar a quaisquer requisitos ou regulamentos. Como empresa, cumprimos todos os regulamentos relevantes.

A Yellowfin utiliza métodos de cópia de segurança padrão da indústria?

A Yellowfin efectua cópias de segurança 3.2.1 dos principais sistemas, dados e informações. A Yellowfin efectua diariamente cópias de segurança externas para a nuvem AZURE e AWS, reduzindo as perdas de PIT.
As cópias de segurança são encriptadas para segurança através de fios públicos.

Dispões de controlos para evitar perturbações cibernéticas nas tuas redes e, em última análise, na tua capacidade de fornecer produtos ou serviços contratados (continuidade da atividade)?

A Yellowfin tem um conjunto diversificado de capacidades de TI em AWS, Involta DC, sede e escritórios regionais. Isto proporciona um elevado nível de flexibilidade e redundância incorporada. A Yellowfin protege todos os pontos terminais com a proteção de pontos terminais na nuvem da Bitdefender. A Yellowfin protege todos os limites externos com as Firewalls Cisco 55X5-X. A Yellowfin protege os activos IP internos com as Firewalls Cisco 55X5-X. A Yellowfin pratica a 3.2.1 cópia de segurança dos activos principais. A Yellowfin emprega um responsável de segurança dedicado para analisar regularmente as interfaces internas e externas em busca de vulnerabilidades e gerir a sua resolução.

A Yellowfin utiliza software OpenSource de forma oculta e que medidas são tomadas para garantir que o software OpenSource não está a criar falhas de segurança?

A Yellowfin usa algumas bibliotecas de código aberto dentro da base de código da Yellowfin. A Yellowfin utiliza apenas bibliotecas de código aberto sem licenças CopyLeft ou Proprietárias. A Yellowfin utiliza ferramentas industriais como o SonarCube e o SonaType para analisar a base de código da Yellowfin em busca de vulnerabilidades de segurança, erros e problemas, vulnerabilidades de código aberto, erros de código aberto. A Yellowfin emprega um consultor de SI dedicado que trabalha a tempo inteiro na deteção e correção da segurança do código da Yellowfin. Isto também inclui a gestão do licenciamento de fonte aberta para garantir a conformidade.

Qual é o tamanho da chave que o Yellowfin utiliza para os processos de criptografia?

O Yellowfin escolherá um algoritmo disponível, dependendo do suporte da JVM. Tenta estes por ordem: AES, 3DES, BlowFish, DES. Yellowfin usará o tamanho de chave padrão para o algoritmo escolhido.

Como é que a Yellowfin guarda as palavras-passe dos produtos?

A Yellowfin utiliza o algoritmo bCrypt para fazer o hash da palavra-passe em texto simples e armazenar o hash na base de dados de controlo; a Yellowfin também utiliza o CRC e outros mecanismos anti-violação para garantir que o hash da palavra-passe não pode ser alterado ou substituído.

O TLS está a ser utilizado por defeito para a comunicação entre a origem e o destino?

Sim. A instância interna do Tomcat do Yellowfin suporta TLS 1.2

O Yellowfin tem uma avaliação SOC2?

Os relatórios do American Institute of Certified Public Accountants (AICPA) Service Organization Controls (SOC) dão garantias sobre os ambientes de controlo relacionados com a obtenção, armazenamento, processamento e transferência de dados. Os relatórios abrangem os controlos gerais de TI e os controlos relativos à disponibilidade, confidencialidade e segurança dos dados dos clientes.

A Yellowfin concluiu com êxito uma avaliação SOC2 tipo 2. O relatório está disponível a pedido da equipa de vendas da Yellowfin, mediante a apresentação de um NDA assinado.