Politique de sécurité de l'information

Version mise à jour le décembre 2021

INTRODUCTION

La politique de cybersécurité de Hotmart comprend des directives, des objectifs et des contrôles concernant la sécurité de l'information dans l'environnement informatique de l'entreprise, afin de protéger ses opérations, ses utilisateurs et les tiers. Tous les employés et fournisseurs doivent être au courant de ses directives et agir en stricte conformité avec elles.

RÔLES ET RESPONSABILITÉS

Les responsabilités en matière de cybersécurité sont réparties entre les niveaux organisationnels suivants:

  • Vice-président et Directeur de Technologie
  • Gestion de la Cybersécurité
  • Gestion de Privacy et Règlements
  • Gestion de Contrôles internes
  • Tous les employés (Troopers)
  • Tierces parties, vendeurs et les fournisseurs de services de TI

DIRECTIVES

La Société adopte un ensemble d'actions, de directives et de procédures afin de réduire les vulnérabilités et les expositions aux risques en matière de cybersécurité, en convergence avec les piliers qui soutiennent tous les traitements de données de la Société:

  • Confidentialité: les informations ne doivent pas être divulguées à des personnes non autorisées.
  • Intégrité: les informations ne doivent pas être modifiées sans autorisation appropriée.
  • Disponibilité: les informations peuvent être stockées, consultées et protégées à tout moment.

Les directives et les règles relatives aux informations de sécurité adoptées par la Société visent les objectifs suivants:

  • Surveillance efficace des processus adoptés et efficacité des contrôles afin d'atténuer les risques de cybersécurité.
  • Détection opportune des risques émergent en matière de cybersécurité.
  • Optimisation continue de la capacité à prévenir, détecter, contenir, éradiquer et récupérer des incidents de cybersécurité.
  • Diffusion pérenne d'une culture d'attention à la sécurité de l'information et d'assimilation de la protection des données traitées par Hotmart comme prémisse de toute conception de processus ou de solution et comme norme essentielle de toute procédure opérationnelle.

PROGRAMME DE SÉCURITÉ DE L'INFORMATION

Le programme permanent de cybersécurité de Hotmart consiste en un vaste processus qui, dans le contexte des principes et des objectifs décrits, promeut la mise en œuvre de contrôles ou d'instruments de gestion de l'information, parmi lesquels se distinguent les suivants:

  • Classification des données et des informations

Pour protéger et traiter correctement les informations, il est nécessaire de classer les types d'informations existant dans la Société. La classification est déterminée en fonction de la valeur de l'information, de la sensibilité, de la criticité, des obligations légales et contractuelles, et la Société définit des étiquettes pour la classification de l'information, qui doivent être respectées et appliquées dans l'environnement interne.

  • Développement concentré sur la confidentialité et la sécurité des données

Hotmart dispose d'équipes dédiées à la création et à l'optimisation d'instruments pour améliorer la sécurité de ses applications, avec une attention particulière aux données personnelles, en respectant les exigences légales et les meilleures techniques.

  • Droits de propriété

La Société veille au respect de tous les aspects de la propriété intellectuelle présents dans son environnement et ses opérations. Il est du devoir de chacun de ne pas utiliser les informations ou la propriété intellectuelle de Hotmart à des fins privées.

  • Définitions et gestion de l'utilisation des actifs informationnels

Les actifs informationnels sont toute ressource impliquée dans le cycle de vie des données dans une organisation. Chez Hotmart, ces ressources sont protégées contre les accès non autorisés, et les employés doivent observer les précautions inhérentes à chaque activité, agissant avec intégrité et discernement lors de l'utilisation des équipements de l'entreprise et se conformer aux règles spécifiques pour les appareils mobiles et les appareils connectés à leur réseau.

  • Gestion des accès

La Société adopte des procédures formelles pour gérer l'accès à tout son environnement informatique, y compris les processus de concession, de révocation, de transfert, de révision et d'authentification.

  • Gestion du changement

Hotmart adopte divers contrôles sur les modifications apportées aux systèmes et bases de données internes de la Société, y compris les procédures de revue de code, l'intégrité et la continuité des systèmes développés, le contrôle de version, les tests et la gestion du cycle d'intégration continue.

  • Gestion de réseau et cryptographie

Par la gestion de réseau, Hotmart protège le flux de données entre ses systèmes, en maintenant une segmentation de réseau sûre, d' utilisation de normes de configuration sécurisées et une cryptographie solide.

  • Gestion des vulnérabilités

Hotmart effectue des analyses et des tests récurrents dans son environnement informatique, par une équipe spécialisée dans les tests de sécurité, pour mesurer les failles et les vulnérabilités de ses systèmes, qui sont traités par ses équipes de cybersécurité et de développement sécurisé.

  • Protection contre malware

Des mécanismes de protection contre les codes malveillants sont mis en œuvre aux points d'entrée et de sortie des systèmes de Hotmart. Ces points incluent les firewalls, les serveurs d'accès à distance, workstations, les serveurs de messagerie, les serveurs Web, les serveurs proxy et les appareils mobiles.

  • Gestion des fournisseurs

Sur la base des informations reçues et des contrôles internes, Hotmart évalue les risques liés au choix de chaque fournisseur, afin de s'assurer du respect des règles de cybersécurité et d'information de l'entreprise, conformément aux services fournis.

  • Génération et analyse des logs d'audit

Des pistes d'audit automatisées sont générées pour les composants des systèmes Hotmart, permettant le suivi des événements de sécurité, authentification et actions des utilisateurs.

  • Prévention des fuites d'informations

Hotmart exerce un contrôle sur la transmission des informations dans son environnement informatique, au travers de solutions automatisées, qui détectent, restreignent et alertent la circulation inappropriée de données. Des contrôles sont associés à la classification de ces informations.

  • Plan de Contingence

Hotmart a un plan pour la récupération sécurisée des données traitées par l'entreprise et les fonctionnalités de ses systèmes, en cas d'indisponibilité des services technologiques critiques qui soutiennent ses opérations. L'entreprise maintient une sauvegarde des données dans plusieurs datacenters.

  • Formation et sensibilisation à la sécurité de l'information

Pour diffuser les connaissances et l'amélioration continue, l'entreprise organise des formations et sensibilise périodiquement tous les employés à la cybersécurité.

  • Gestion des incidents

Le processus de gestion des incidents de Hotmart vise à prévenir, détecter, répondre et récupérer d'un événement inattendu qui génère un certain type d'instabilité, une violation de la politique ou de la réglementation interne, ou qui peut causer des dommages à l'entreprise.

Tous les incidents signalés dans l'environnement technologique de Hotmart sont soumis à des procédures d'identification, d'analyse, de classification et de communication, en fonction de leurs effets et de l'intérêt des parties impliquées et éventuellement affectées.

En cas d'identification, par le public externe, d'inconsistance ou de défaillance dans l'environnement Hotmart, la Société offre un canal pour recevoir la communication respective, par e-mail security@hotmart.com.

VIOLATION DE POLITIQUE

Le non-respect des directives du Programme de sécurité de l'information, définies dans la présente Politique, constitue une infraction grave et entraîne l'application de sanctions conformément à la réglementation en vigueur.

L'employé ou le fournisseur de services qui omet délibérément de signaler les violations de cette politique sera également passible de sanctions.