| NOME | DETALHES |
|---|---|
| Instalações | A infraestrutura física dos provedores de serviços do Pipefy é hospedada e gerenciada em data centers seguros da Oracle e utiliza a tecnologia Oracle Cloud Infrastructure (OCI). A Oracle gerencia riscos e passa por avaliações recorrentes para garantir a conformidade de acordo com os padrões do setor. As operações de data center da Oracle foram credenciadas em: ● ISO 27001 ● ISO 27701 ● ISO 27018 ● SOC 1 e SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 Tipo II) ● PCI Nível 1 ● FISMA Moderado ● Lei Sarbanes-Oxley (SOX) Caso o cliente necessite utilizar uma solução multicloud, o Pipefy analisará o caso e disponibilizará outros provedores de nuvem, com a mesma qualidade da AWS. |
| Segurança local | Pipefy utiliza datacenters certificados ISO 27001 e FISMA gerenciados pela Oracle. Os data centers da OCI estão alojados em instalações indefinidas, e as instalações críticas têm amplos recuos e bermas de controle de perímetro de nível militar, bem como outras proteções de limites naturais. O acesso físico é estritamente controlado tanto no perímetro como nos pontos de entrada do edifício por pessoal de segurança profissional, utilizando vigilância por vídeo, sistemas de detecção de intrusão de última geração e outros meios eletrônicos. A equipe autorizada deve passar pela autenticação de dois fatores pelo menos três vezes para acessar os andares do data center. Todos os visitantes e contratados são obrigados a apresentar identificação e são registrados e continuamente acompanhados por pessoal autorizado. |
| Localização | Os datacenters dos provedores de serviços do Pipefy estão localizados nos Estados Unidos. Se o cliente quiser solicitar um único locatário, vários locais em todo o mundo estarão disponíveis usando diferentes soluções em nuvem. |
Ultima atualização: 09 de janeiro de 2026
PrivSecOps Security Overview
Este documento é de propriedade da Pipefy e contém informações que são proprietárias, confidenciais ou restritas à divulgação. Se você não estiver autorizado a recebê-las, favor devolver este documento ao proprietário acima mencionado. A divulgação, distribuição, reprodução ou uso total ou parcial deste documento por qualquer terceiro que não seja a pessoa a quem se destina, sem o consentimento prévio por escrito da Pipefy, é estritamente proibida.
Security Overview
Sumário
DATACENTER E SEGURANÇA DE REDE DO PIPEFY 3
Segurança física 3
Criptografia e autenticação 5
Disponibilidade e Continuidade 6
SEGURANÇA DA APLICAÇÃO 7
Desenvolvimento Seguro (SDLC) 7
Vulnerabilidades de aplicativos 7
RECURSOS DE SEGURANÇA DO PRODUTO 8
Desenvolvimento Seguro (SDLC) 8
Recursos adicionais de segurança do produto 8
METODOLOGIAS DE SEGURANÇA 9
Sistema de gerenciamento de segurança da informação 9
Conscientização sobre Segurança da Informação 9
Verificação de funcionários 10
CERTIFICAÇÕES E DOCUMENTAÇÕES ADICIONAIS 11
HISTÓRICO DE REVISÃO 12
ENGLISH VERSION OF THE DOCUMENT 13
DATACENTER E SEGURANÇA DE REDE DO PIPEFY
Segurança física
Segurança de rede
| NOME | DETALHES |
|---|---|
| Equipe de resposta de segurança | Nossa equipe de resposta de segurança está de plantão para responder a alertas e eventos de segurança e pode ser contatada em seguranç[email protected]. |
| Proteção | A infraestrutura e o gerenciamento de todos os firewalls são fornecidos pelo nosso provedor de serviços Oracle OCI. Firewalls são utilizados para restringir o acesso a sistemas de redes externas e entre sistemas internos. Por padrão, todo o acesso é negado e apenas portas e protocolos explicitamente permitidos são permitidos com base nas necessidades do negócio. Cada sistema é atribuído a um grupo de segurança de firewall com base na função do sistema. Os grupos de segurança restringem o acesso às portas e protocolos necessários para a função específica de um sistema, a fim de mitigar riscos. Os firewalls baseados em host também oferecem a capacidade de limitar ainda mais as conexões de entrada e saída conforme necessário. |
| Gerenciamento de vulnerabilidades | Nossos firewalls gerenciados pelo provedor de serviços evitam a falsificação de IP, MAC e ARP na rede e entre hosts virtuais para garantir que a falsificação não seja possível. A detecção de pacotes é evitada pela infraestrutura, incluindo o hipervisor, que não entregará tráfego a uma interface à qual não está endereçado. Nosso provedor de serviços utiliza isolamento de aplicativos, restrições de sistema operacional e conexões criptografadas para garantir ainda mais a mitigação de riscos em todos os níveis. A varredura de portas é proibida e cada instância relatada é investigada pelo nosso fornecedor de infraestrutura. Quando as varreduras de portas são detectadas, elas são interrompidas e o acesso é bloqueado. |
| Testes de penetração e monitoramento de vulnerabilidade | O Pipefy possui uma equipe especializada responsável por pentests internos e avaliações de vulnerabilidades. Esses testes são realizados pelo menos uma vez trimestralmente. Os testes de segurança de nossos serviços por terceiros podem ser realizados por empresas de consultoria de segurança independentes e respeitáveis, contratadas pelo cliente. As possíveis descobertas de cada avaliação seriam revisadas com os avaliadores, classificadas em termos de risco e atribuídas à equipe responsável para resolvê-las sob um SLA. Esses testes serão feitos pelo cliente e todos os encargos envolvidos são de responsabilidade do cliente. |
| Evento e resposta a incidentes de segurança | No caso de um incidente de segurança, nossos engenheiros são chamados para coletar registros extensos de sistemas host críticos e analisá-los para responder ao incidente da maneira mais adequada possível. Coletar e analisar informações de log é fundamental para solucionar problemas e investigar problemas. Nosso provedor de serviços nos permite analisar três tipos principais de logs: logs sistêmicas, de aplicativo e de API. Podem existir responsabilidades compartilhadas entre o Pipefy e nossos provedores de nuvem, e essas responsabilidades serão de responsabilidade da equipe de segurança do Pipefy. |
| Mitigação de DDoS | A infraestrutura do nosso provedor de serviços fornece técnicas de mitigação de DDoS, incluindo cookies TCP Syn e limitação de taxa de conexão, além de manter múltiplas conexões de backbone e capacidade de largura de banda interna que excede a largura de banda fornecida pela operadora de Internet. Trabalhamos em estreita colaboração com nossos fornecedores para responder rapidamente a eventos e ativar controles avançados de mitigação de DDoS quando necessário. |
| Acesso Lógico | O acesso à Rede de Produção Pipefy é restrito por uma necessidade explícita de conhecimento. Ele utiliza privilégios mínimos, é frequentemente auditado e controlado de perto por nossa equipe de engenharia. Os funcionários que acessam a Rede de Produção do Pipefy são obrigados a usar múltiplos fatores de autenticação. |
Criptografia e autenticação
| POLÍTICA | DETALHES |
|---|---|
| Criptografia na transferência | Toda a comunicação interna e externa é feita através de uma conexão segura com TLS 1.2 ou superior. |
| Criptografia na transferência – E-mails | Todos os emails são enviados pelo Sendgrid através de uma conexão TLS segura. |
| Criptografia em repouso e em backup | Os dados em repouso são criptografados por meio do algoritmo AES-256. O backup é feito através de snapshot, também com criptografia AES-256. |
Disponibilidade e Continuidade
| POLÍTICA | DETALHES |
|---|---|
| Tempo de atividade | O Pipefy foi construído pensando na alta disponibilidade e nossa equipe de engenharia monitora continuamente para garantir sua disponibilidade. A disponibilidade nos últimos 2 anos é de 99,9% ou superior, podendo ser consultada no nosso site em: status.pipefy.com. |
| Redundância | O clustering do provedor de serviços Pipefy e as redundâncias de rede eliminam pontos únicos de falha. |
| Recuperação de desastres | A plataforma do nosso provedor de serviços restaura automaticamente os aplicativos e bancos de dados dos clientes em caso de interrupção. A plataforma do provedor foi projetada para implantar aplicativos dinamicamente em sua nuvem, monitorar falhas e recuperar componentes da plataforma com falha, incluindo aplicativos e bancos de dados de clientes. |
SEGURANÇA DA APLICAÇÃO
Desenvolvimento Seguro (SDLC)
| POLÍTICA | DETALHES |
|---|---|
| Controles de segurança da estrutura Ruby on Rails | Utilizamos controles de segurança da estrutura Ruby on Rails para limitar a exposição às 10 principais falhas de segurança do OWASP. Isso inclui controles inerentes que reduzem nossa exposição a Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), entre outros. |
| Controle de qualidade | Nosso departamento de controle de qualidade analisa e testa nossa base de código. Engenheiros de aplicação dedicados na equipe identificam, testam e fazem a triagem de vulnerabilidades de segurança no código. |
| Ambientes Separados | Os ambientes de teste e preparação são separados do ambiente de produção. Nenhum dado real do cliente é usado nos ambientes de desenvolvimento ou teste. |
Vulnerabilidades de aplicativos
| POLÍTICA | DETALHES |
|---|---|
| Análise de código estático | Nossos repositórios de código-fonte são continuamente verificados em busca de problemas de segurança por meio de nossas ferramentas integradas de análise estática. |
RECURSOS DE SEGURANÇA DO PRODUTO
Desenvolvimento Seguro (SDLC)
| RECURSO | DETALHES |
|---|---|
| Opções de autenticação | Pipefy suporta login, SSO e autenticação Google. |
| Logon único (SSO) | O login único (SSO) permite autenticar usuários em seus próprios sistemas sem exigir que eles insiram credenciais de login adicionais para acesso ao Pipefy. |
| Armazenamento seguro de credenciais | O Pipefy segue as melhores práticas de armazenamento seguro de credenciais, nunca armazenando senhas em formato legível por humanos. |
| Segurança e autenticação de API | A API do Pipefy é somente SSL e você deve ser um usuário verificado para fazer solicitações de API. Você pode autorizar na API usando o token da API. |
Recursos adicionais de segurança do produto
| POLÍTICA | DETALHES |
|---|---|
| Privilégios e funções de acesso | O acesso aos dados da sua conta Pipefy é regido por direitos de acesso e pode ser configurado para definir privilégios de acesso. O Pipefy possui vários níveis de permissão para usuários da organização (membro e administrador) e do pipe (somente formulário inicial, membro e administrador). Mais detalhes podem ser vistos aqui. |
| Segurança de Transmissão | Todas as comunicações com os servidores dos provedores de serviços do Pipefy são criptografadas usando HTTPS padrão do setor. Isso garante que todo o tráfego entre você e o Pipefy esteja seguro durante o trânsito. |
METODOLOGIAS DE SEGURANÇA
Sistema de gerenciamento de segurança da informação
| DESTAQUE | DETALHES |
|---|---|
| Objetivos | Os objetivos estratégicos de segurança da informação (objetivos estratégicos do SGSI) são aqueles que o Pipefy pretende atingir de acordo com uma visão corporativa de segurança da informação e que estão alinhados com os objetivos mencionados em seu Plano Estratégico Corporativo, entre os quais estão: ● Promover o cumprimento das leis, normas e regulamentos relativos ao negócio nos seus aspectos relacionados à Segurança da Informação; ● Melhorar continuamente os controles de segurança e maturidade da Plataforma Pipefy para mitigar riscos; ● Aumentar o conhecimento e a consciência interna sobre a necessidade de Segurança da Informação para o negócio. |
Conscientização sobre Segurança da Informação
| METODOLOGIA | DETALHES |
|---|---|
| Políticas | O Pipefy desenvolveu um conjunto abrangente de políticas de segurança que abrangem diversos tópicos. Essas políticas são compartilhadas e disponibilizadas a todos os funcionários e prestadores de serviços com acesso aos ativos de informação do Pipefy. Os Relatórios de Auditoria não são compartilhados externamente, apenas os resultados e o nível de maturidade do ambiente Pipefy. |
| Treinamento | Todos os novos funcionários participam de um Treinamento de Conscientização sobre Segurança, assim como todos os funcionários realizam o mesmo treinamento uma vez por ano. Além disso, todos os colaboradores participam de treinamentos sobre Privacidade de Dados, GDPR e LGPD. Todos os membros da equipe de Engenharia também participam uma vez por ano (exceto o Treinamento de Conscientização em Segurança) de um Treinamento de Desenvolvimento Seguro baseado no OWASP TOP 10 e SANS 25. A Conscientização em Segurança também faz parte da rotina do Pipefy, pois as atualizações são compartilhadas entre todas as equipes via e-mail, postagens em blogs e em apresentações durante eventos internos. |
| Medidas de privacidade | No Pipefy estamos cientes da sua privacidade e dos seus direitos e trabalhamos para entregar a você as melhores práticas e medidas para manter seus dados seguros. Estamos de acordo com os requisitos da LGPD e GDPR. E estamos trabalhando incansavelmente, todos os dias, para manter um alto nível de maturidade em nossas medidas de segurança. Você pode ver mais informações sobre Privacidade, no Pipefy em: ● Página de privacidade mundial: https://www.pipefy.com/privacy-policy/ ● Página de privacidade brasileira: https://www.pipefy.com/pt-br/politica-de-privacidade/ Para qualquer dúvida e solicitação, entre em contato pelo nosso e-mail: [email protected]. E-mail do nosso DPO: [email protected]. |
Verificação de funcionários
| METODOLOGIA | DETALHES |
|---|---|
| Verificação em segundo plano | O Pipefy realiza verificações de antecedentes de todos os novos funcionários de acordo com as leis locais. A verificação de antecedentes inclui verificação criminal, educacional e de emprego. |
| Acordos de Confidencialidade | Todas as novas contratações são avaliadas durante o processo de contratação e obrigadas a assinar acordos de não divulgação e confidencialidade de acordo com as leis locais. |
CERTIFICAÇÕES E DOCUMENTAÇÕES ADICIONAIS
| CERTIFICAÇÃO | DETALHES |
|---|---|
| ISO 27001 | O padrão ISO 27001 é a estrutura de melhores práticas reconhecida internacionalmente para um Sistema de Gestão de Segurança da Informação (SGSI). |
| ISO 27701 | ISO 27701 é o padrão internacional de privacidade que fornece uma estrutura para gerenciamento de privacidade de dados. É uma extensão de privacidade de dados da ISO 27001. |
| ISO 27018 | ISO 27018 é o código de prática para proteger informações de identificação pessoal (PII) em serviços de computação em nuvem. |
| SOC 1 e 2 tipo 2 | SOC 1 e 2 são relatórios atualizados regularmente que se concentram em controles relacionados a controles financeiros, segurança, disponibilidade e confidencialidade de um serviço em nuvem. O Pipefy pode compartilhar relatórios SOC 1 e 2, através de um acordo de não divulgação (NDA) assinado. |
| Software qualificado AWS | Nosso fornecedor AWS analisa nossa infraestrutura e segurança de aplicativos por meio da Revisão Técnica Fundamental (FTR). Esse processo garante que nossa implementação e uso da nuvem foram validados pela AWS por sua proficiência técnica e referências de clientes associadas. |
| Questionário da Iniciativa de Avaliações de Consenso (CAIQ) | O questionário CAIQ fornece uma maneira aceita pelo setor de documentar quais controles de segurança existem nos serviços em nuvem. Isto aumenta a transparência do controle de segurança para clientes atuais e potenciais, que podem então determinar se nossos serviços são seguros o suficiente para seus propósitos. O questionário preenchido pode ser obtido por meio de um acordo de não divulgação (NDA) assinado. |
HISTÓRICO DE REVISÃO
Versão Data Time responsável Descrição
| Versão | Data | Time responsável | Descrição |
|---|---|---|---|
| 1.0 | 22/05/2022 | PrivSecOps | Criação do Documento |
| 2.0 | 20/05/2023 | PrivSecOps | Revisão anual; Adição de certificações do escopo. |
| 3.0 | 17/06/2024 | PrivSecOps | Revisão Anual; Ajuste de Template. |
| 4.0 | 28/03/2025 | PrivSecOps | Revisão Anual. |
