SEGURANÇA DA PLATAFORMA
Protegemos seus dados com elevados padrões internacionais
Na Webdox, seguimos um conjunto de melhores práticas e políticas para garantir a proteção e segurança dos seus dados.
Mais de 700 empresas em 13 países já administram seus contratos digitalmente com o Webdox CLM. Falta só você!
Conformidade relacionada à segurança da informação
A ISO 27001 fornece controles para um sistema de gestão abrangente de Segurança da Informação (SGSI).
A A-LIGN Compliance and Security, Inc. certifica que a organização opera um Sistema de Gestão de Segurança da Informação em conformidade com os requisitos da ISO/IEC 27001:2022.
Essa certificação comprova que aplicamos controles de segurança rigorosos, processos auditados e uma cultura de proteção contínua em todas as camadas da nossa operação.
Na Webdox, a segurança não é um complemento — é parte do DNA do produto. Essa certificação garante aos nossos clientes que seus dados e contratos estão protegidos com os mais altos padrões do mercado global.
Conformidade relacionada à privacidade da informação
A Webdox foi certificada pela A-LIGN Compliance and Security, Inc. na norma ISO/IEC 27701:2019, o primeiro padrão internacional que define como gerenciar de forma estruturada e responsável a privacidade das informações pessoais.
Essa certificação estende nosso sistema de gestão de segurança (ISO 27001) e incorpora controles específicos para proteger dados pessoais em conformidade com marcos regulatórios globais como o GDPR (Europa) e a LGPD (Brasil).
Além disso, nossa declaração de aplicabilidade inclui controles da norma ISO/IEC 27018:2019, o que reforça ainda mais a proteção de dados pessoais em ambientes de nuvem.
Com essa certificação, a Webdox oferece aos seus clientes uma plataforma CLM confiável e alinhada com os mais altos padrões internacionais de privacidade — ideal para organizações que exigem conformidade rigorosa e proteção proativa de seus dados.
Comformidade relacionada à gestão de sistemas de inteligência artificial
A ISO/IEC 42001:2023 é a primeira norma internacional que estabelece os requisitos para um sistema de gestão responsável e governado de inteligência artificial (SGIA). A Webdox foi certificada pela A-LIGN Compliance and Security, Inc., validando que operamos um sistema em conformidade com essa norma, o que reforça nosso compromisso com o uso ético, seguro e transparente da IA.
O escopo dessa certificação se aplica aos processos e funcionalidades de inteligência artificial desenvolvidos pela Webdox como fornecedora, incluindo módulos automatizados, mecanismos de recomendação e fluxos baseados em aprendizado de máquina dentro da nossa plataforma Webdox CLM. Tudo isso é implementado com base em princípios como equidade, explicabilidade, rastreabilidade e proteção de dados pessoais.
Este sistema de gestión se complementa con controles de ISO/IEC 27001:2022 y ISO/IEC 27701:2019, lo que asegura una cobertura integral en seguridad de la información y privacidad en contextos de IA empresarial.
Comformidade relacionada à segurança e confidencialidade da informação
O SOC 2 Tipo II é um padrão internacionalmente reconhecido que avalia a eficácia operacional dos controles relacionados à segurança, confidencialidade, disponibilidade e privacidade dos sistemas. A Webdox foi auditada pela A-LIGN Compliance and Security, Inc., obtendo o relatório SOC 2 Tipo II, o que demonstra que nossos processos atendem aos critérios de confiança (Trust Services Criteria) definidos pela AICPA.
Essa certificação valida que a Webdox implementou e mantém controles rigorosos para proteger as informações sensíveis de seus clientes ao longo do tempo, garantindo um ambiente seguro e confiável. O framework SOC 2 reforça nossa conformidade com normas globais como o GDPR e o CCPA, e reflete nosso compromisso com a transparência e a proteção contínua dos dados.
Segurança aplicada à nossa infraestrutura no Google Cloud Platform
A Webdox opera sobre o Google Cloud Platform (GCP), uma infraestrutura de nível mundial que oferece altos padrões de segurança, disponibilidade e escalabilidade para todos os nossos serviços.
O GCP possui uma arquitetura projetada com base no princípio de defesa em profundidade, integrando controles avançados de criptografia, autenticação, segmentação de rede e monitoramento contínuo. Essa plataforma está em conformidade com normas internacionais como ISO/IEC 27001, SOC 2, PCI-DSS e FedRAMP, garantindo a proteção dos dados e resiliência contra ameaças.
Nossa infraestrutura no GCP nos permite gerenciar os ambientes de forma segura, isolada e eficiente, assegurando que os dados de nossos clientes estejam protegidos contra acessos não autorizados, vazamentos de informação e riscos operacionais.
Arquitetura Robusta
Toda grande solução conta com um parceiro estratégico de excelência.
O Google Cloud Platform, juntamente com outros parceiros reconhecidos, nos oferece todas as funcionalidades de segurança exigidas pelo mercado.
-
A Webdox é parceira do Google Cloud. Nossa infraestrutura e segurança são herdadas dos serviços do Google, com alta disponibilidade em todas as camadas.
-
Cloudflare, GitLab e New Relic são alguns dos serviços que utilizamos para a criação, operação e monitoramento da Webdox.
-
Nossos sistemas são projetados para um SLO (Service Level Objective) de 99,99%, e os SLA (Service Level Agreement) geralmente seguem o padrão de 99,5%.
-
Realizamos backups automáticos a cada 24 horas com retenção de 30 dias, além de réplicas de failover que reforçam a Alta Disponibilidade.
-
Plano de Recuperação de Desastres (DRP): RTO (Recovery Time Objective) de 2 horas por serviço y RPO (Recovery Point Objective) de até 24 horas.
-
Todos os metadados em repouso são criptografados utilizando AES-256.
-
Todos os metadados em trânsito são criptografados por meio de TLS 1.2 ou 1.3.
-
A Webdox conta com ferramentas de monitoramento e geração de alertas para detecção de eventos anômalos.
Desenvolvimento Seguro
No nível aplicativo, a Webdox possui uma série de funcionalidades de segurança que podem ser integradas à sua infraestrutura tecnológica. Se você precisar de suporte técnico, contamos com uma equipe de especialistas pronta para esclarecer todas as suas dúvidas.
Atualmente, seguimos as boas práticas recomendadas pela OWASP (Top Ten) para lidar com os riscos mais comuns, além de trabalharmos diretamente com hackers éticos para a melhoria contínua da aplicação.
- Configuração de parâmetros de sessão de usuários: tempo de inatividade, duração da sessão, formato de senhas.
- Gestão de acesso perimetral: definição de quais endereços IP podem ou não acessar a aplicação.
- Mecanismos de Single Sign-On (SSO) via SAML v2.
- Integração com LDAP ou SAML para a gestão de usuários.
- Integração com OAuth via API e aplicativos, proporcionando maior robustez às integrações.
- Autenticação em dois fatores (2FA).
- Controle de acessos e permissões por meio de papéis (roles) atribuídos aos usuários.
- Logs de auditoria com todas as ações realizadas pelos usuários.
- DevSecOps em todo o ciclo de desenvolvimento.
- Identificação de cada processo interno por UUID, garantindo melhor funcionamento e auditabilidade da plataforma.
Monitoramento e Deployment
Na Webdox, trabalhamos intensamente na identificação de novas vulnerabilidades e no seu tratamento. Por isso, contamos com serviços recorrentes e especializados de diversos fornecedores de segurança para a realização de testes de Pentesting e Ethical Hacking, atuando em conjunto na resolução dos achados identificados. Isso nos permite continuar fortalecendo nosso serviço para atender aos mais altos níveis de exigência do mercado.
Além disso, nossa equipe de Tecnologia e Segurança realiza anualmente testes de recuperação de backups, com o objetivo de garantir os tempos de continuidade operacional. Isso é complementado pelos planos de Disaster Recovery Planning (DRP) para cada um dos sistemas críticos. Esses planos, somados às auditorias internas e externas programadas ao longo do ano, alimentam nosso processo de melhoria contínua, tanto no nível de processos quanto no próprio produto Webdox.
Perguntas Frequentes Infraestrutura e Arquitetura
-
Quais são os serviços de nuvem utilizados?
A Webdox é uma solução SaaS cuja infraestrutura está hospedada no Google Cloud, utilizando serviços como CloudSQL e GKE, dos quais herda todas as características de segurança. A Webdox é uma plataforma desenvolvida para resolver os desafios relacionados à gestão eficiente de contratos em grandes empresas. Não há necessidade de recursos em nuvem por parte do cliente, pois toda a infraestrutura é fornecida como parte da solução.
-
Como são os backups de dados na nuvem?
Os backups na nuvem são realizados pelo suboperador Google Cloud, conforme nossas diretrizes de frequência e escopo. Todos os processos de backup contemplam os diferentes cenários previstos no nosso plano de recuperação de desastres (DRP). Estabelecemos um RPO (Recovery Point Objective) de 24 horas e um RTO (Recovery Time Objective) de 2 horas por serviço. As informações são totalmente respaldadas (backups completos, não incrementais), o que elimina dependências entre versões e garante uma recuperação segura e sem riscos.
-
O sistema permite escalonamento automático?
Sim. O serviço foi projetado para um nível de serviço (SLA) de 99,9%, incluindo a capacidade de escalonar automaticamente sem comprometer a qualidade. O escalonamento é realizado tanto de forma vertical quanto horizontal, conforme os limites definidos.
-
O sistema é escalável de acordo com o crescimento no número de transações?
Sim. A infraestrutura monitora o consumo e o volume de transações realizadas, detectando se algum deles ultrapassa os limites estabelecidos, e realiza o escalonamento automático.
-
O sistema permite operar em um modelo de alta disponibilidade?
Sim. Além de ter sido projetado para um nível de serviço de 99,9%, a Webdox conta com planos de continuidade operacional e recuperação de desastres (DRP), garantindo alta disponibilidade.
-
O sistema permite identificar se as transações são normais ou anômalas, com base em regras e parâmetros?
Sim. Nosso sistema de monitoramento utiliza inteligência artificial para detectar comportamentos anômalos e gerar alertas para as equipes responsáveis.
-
O sistema permite rastrear as atividades realizadas por um usuário?
A Webdox mantém um sistema de auditoria a nível de software, que pode ser monitorado por administradores ou acessado via API para integrações com sistemas SIEM. As ações registradas incluem autor, data, nome da ação, entre outros dados relevantes.
-
O sistema permite retornar ao estado anterior de funcionamento em caso de falha no deployment?
Sim. O serviço é projetado com controle de versionamento, permitindo a reversão para uma versão anterior sempre que necessário.
-
O sistema possui um modelo de suporte com escalonamentos definidos para resolução?
Sim. O procedimento de suporte contempla escalonamento desde o Atendimento ao Usuário (Nível 1), passando por Soluções Operacionais (Nível 2), até o Time de Engenharia (Nível 3).
-
Como é assegurada a integridade dos dados?
A Webdox aplica mecanismos de fingerprinting para validar que as informações não tenham sido alteradas durante o trânsito entre emissor e receptor. Os dados em repouso são protegidos por criptografia e camadas de segurança que impedem acessos não autorizados e validam a assinatura correta.
-
A solução suporta integração contínua, testes e automação no processo de desenvolvimento?
Sim. O processo de desenvolvimento inclui avaliação de código, detecção de falhas técnicas ou de segurança, testes funcionais e automação, garantindo que o software implantado atenda a altos padrões de qualidade.
-
Como funciona o procedimento de controle de mudanças?
Adotamos uma política de desenvolvimento seguro, que inclui controle de mudanças dentro do ciclo de integração contínua, com solicitação de revisão de código, análise de segurança e implantação posterior.
-
Qual é a política de atualizações de manutenção (correção de bugs, service packs, etc.)?
A equipe de tecnologia gerencia as mudanças de acordo com critérios de endurecimento (hardening) e criticidade. Quanto maior a criticidade, maior a prioridade na aplicação da atualização.
Perguntas frequentes de Segurança
-
Como é feita a autenticação da API?
A Webdox implementa autenticação por token via OAuth2, com tempo de expiração. As políticas internas definem limites e geram alertas em caso de atividades anômalas.
-
Como são os tokens de autenticação?
Os tokens são de alta complexidade, gerenciados com expiração e fingerprints associados aos usuários. Eles não armazenam informações sensíveis.
-
Como são limitadas as requisições (Throttling) para prevenir ataques DDoS e de força bruta?
A Webdox dispõe de mecanismos em nuvem que avaliam tentativas de acesso anômalas e as tratam conforme sua classificação. Excesso de requisições é bloqueado por um WAF via Cloudflare, e uma auditoria dos pontos de conexão é gerada para eventual comunicação com as autoridades competentes.
-
O design e a implementação são auditados com testes unitários/integrados, cobertura de testes e testes funcionais?
Sí. El código se revisa entre pares y con analizadores estáticos. Se evalúa el cumplimiento de prácticas seguras y se identifican vulnerabilidades. El proceso de integración continua (CI) incluye pruebas automáticas y escaneos de seguridad. Finalizado el CI, se solicita la promoción del release. El sistema CI/CD permite realizar rollback a un estado anterior si es necesario.
-
Como é gerenciado o uso de controles criptográficos?
A Política de Controles Criptográficos da Webdox cobre a proteção das informações, incluindo criptografia, gestão de chaves e controle de acesso.
-
Como é gerenciado o uso de controles criptográficos no KMS?
A seção de KMS (Key Management System) da política estabelece que o gerenciamento de chaves de criptografia deve utilizar software de gestão automatizada, com armazenamento seguro, backup e rotação periódica de chaves.
-
Quais são os tipos de criptografia utilizados para conexões externas?
Como solução SaaS, todas as conexões internas e externas da Webdox são criptografadas com SSL via TLS 1.2 ou superior. A segurança é uma prioridade: investimos em infraestrutura moderna para garantir HTTPS padrão em todos os sites, serviços e produtos.
-
Criptografia da Informação
- Os dados dos clientes são criptografados em repouso com AES-256.
- É possível usar chaves personalizadas para documentos hospedados no Google Cloud Storage.
- Todos os dados em trânsito utilizam TLS 1.2 ou superior, conforme compatibilidade do cliente.
- E-mails utilizam TLS (quando ativado).
- DKIM, SPF e DMARC estão ativados por padrão.
- A assinatura eletrônica utiliza criptografia de envelope e HSM FIPS 140 Nível 3, com rotação de chaves a cada 30 a 90 dias.
-
Privacidade da Informação
- Os dados dos clientes seguem a política de criptografia de dados e são classificados como RESTRITOS, o nível mais alto da política de segurança da Webdox.
- Os servidores de aplicação só acessam os dados do cliente se houver tickets autorizados válidos.
- Funcionários da Webdox não têm acesso aos dados do cliente.
- O acesso limitado por agentes de suporte só ocorre com autorização explícita do cliente.
-
Disponibilidade da Informação
- Os dados dos clientes são distribuídos entre sistemas independentes: documentos e metadados.
- O sistema é projetado para um SLO (Service Level Objective) de 99,99%.
- Os SLA (Acordos de Nível de Serviço) geralmente são de 99,5%.
- Backups completos são executados a cada 24 horas, com réplicas de failover prontas para uso.
- RTO (Recovery Time Objective): 2 horas por serviço.
- RPO (Recovery Point Objective): 24 horas.
- Exercícios de DRP e Recuperação de Dados são realizados duas vezes por ano.
