Confiança e segurança

Segurança e privacidade são o produto.

Confie-nos seus dados sabendo exatamente como são hospedados, isolados, criptografados e governados. Certificação ISO 27001:2022 e a confiança de bancos globais.

Isolados e criptografados, sob a jurisdição de Singapore.

Onde seus dados residem

Hospedados em Singapore, criptografados de ponta a ponta

A Canopy opera sobre infraestrutura de nuvem reforçada em Singapore. Seus dados são criptografados no momento em que saem de suas mãos e permanecem criptografados em repouso, dentro de uma rede concebida para expor o mínimo possível.

Criptografados em trânsito

Toda conexão e transferência de dados é criptografada por padrão via TLS, do envio de um extrato ou de um feed bancário até a plataforma.

Criptografados em repouso

Todos os dados armazenados são protegidos com criptografia avançada, permanecendo ilegíveis mesmo na camada de armazenamento.

Um perímetro mínimo e vigiado

O tráfego entra por um firewall gerenciado, com apenas as portas necessárias abertas e whitelisting de IP opcional. Todo o restante permanece dentro de uma rede interna privada.

Apenas ilustrativo
Isolamento e privacidade

Seus dados, isolados e privados

A confidencialidade não é uma opção que se ativa. É a forma como a plataforma é construída e como a empresa se comporta.

Isolamento de banco de dados por cliente

Os dados de cada cliente residem em seu próprio banco de dados isolado e criptografado, de modo que as informações de um cliente nunca se misturam com as de outro.

Acesso baseado em funções

Um modelo rigoroso de contas e acesso baseado em funções garante que cada pessoa veja apenas o que sua função permite, segundo o princípio do menor privilégio.

Nunca revelamos nossos clientes

Family offices e bancos são reservados por natureza. Nunca revelamos quem são nossos clientes, tampouco divulgamos carteiras ou posições.

Seus dados não são dados de treinamento

Nunca utilizamos seus dados para treinar modelos de AI compartilhados. A AI é opcional e opera exclusivamente sobre seus dados isolados.

Retenção em seus termos

A retenção, o backup e a exclusão de dados seguem políticas documentadas, de modo que as informações sejam mantidas apenas pelo tempo devido.

Jurisdição de Singapore

Seus dados são mantidos e governados sob a lei de Singapore, em alinhamento com as expectativas da MAS das instituições que atendemos.

O framework de segurança

Um programa documentado, não boas intenções

Nossas políticas e procedimentos de segurança estão organizados em oito áreas que abrangem pessoas, sistemas, dados e operações. Cada colaborador, prestador de serviço e fornecedor trabalha segundo os mesmos padrões.

Acesso e uso

Uso aceitável, controle de acesso, BYOD e proteção de senhas.

Proteção de dados

Retenção, backup e recuperação, criptografia e classificação de informações.

Incidentes e riscos

Gestão de incidentes, recuperação de desastres, metodologia de risco e ações corretivas.

Operações de segurança

Antivírus e gestão de patches, registro e monitoramento, e segurança de rede.

Conformidade e auditoria

Política de conformidade, auditoria interna e gestão do relacionamento com fornecedores.

Desenvolvimento e mudanças

Práticas de desenvolvimento seguro e gestão controlada de mudanças.

Físico e ambiental

Proteção das instalações contra ameaças físicas e ambientais.

Comunicação e capacitação

Conscientização em segurança, capacitação e segurança do capital humano.

Testes e garantia

Avaliados por terceiros, todos os anos

Não avaliamos nosso próprio trabalho. Especialistas independentes e nossos parceiros bancários nos testam em um ciclo regular.

Testes de intrusão anuais

Testes de intrusão independentes, realizados por terceiros todos os anos, identificam e corrigem vulnerabilidades antes que possam ser exploradas.

Avaliações independentes

Especialistas externos conduzem avaliações de segurança de API e de vulnerabilidades, além do nosso próprio programa de auditoria interna.

Certificação ISO 27001:2022

Certificados segundo o padrão internacional de gestão de segurança da informação, com auditorias de acompanhamento contínuas.

A confiança dos bancos

Auditados pelos próprios bancos

Bancos globais auditam a Canopy antes de se conectarem e nos reauditam a cada ano. Somos aprovados de forma consistente, razão pela qual feeds de dados bancários fluem para a Canopy a partir de instituições de todo o mundo. Nosso certificado ISO, os resumos dos testes de intrusão e o conjunto completo de políticas e procedimentos de segurança estão disponíveis a potenciais clientes qualificados, sob NDA, durante o processo de due diligence.

100+
Feeds bancários diretos no mundo
Annual
Auditorias bancárias aprovadas
250+
Custodiantes conectados
9 yrs
Em produção

Perguntas sobre segurança, respondidas

Onde nossos dados são hospedados?

A Canopy opera sobre infraestrutura de nuvem reforçada em Singapore. Seus dados são mantidos e governados sob a lei de Singapore, em alinhamento com as expectativas da MAS das instituições que atendemos.

Nossos dados ficam isolados dos demais clientes?

Sim. Os dados de cada cliente residem em seu próprio banco de dados isolado e criptografado. As informações de um cliente nunca se misturam com as de outro, e o acesso é governado por um modelo rigoroso de contas e funções.

Os dados são criptografados?

Sim. Todas as transferências de dados são criptografadas por padrão via TLS, e todos os dados armazenados são protegidos com criptografia avançada em repouso, permanecendo ilegíveis mesmo na camada de armazenamento.

Vocês possuem certificação, e por quem?

A Canopy possui certificação ISO 27001:2022, o padrão internacional de gestão de segurança da informação, com auditorias de acompanhamento contínuas. Também estamos alinhados às expectativas da MAS de Singapore.

Vocês realizam testes de intrusão?

Sim. Testes de intrusão independentes, conduzidos por terceiros, são realizados todos os anos, juntamente com avaliações externas de API e de vulnerabilidades e nosso próprio programa de auditoria interna, de modo que os problemas sejam identificados e corrigidos de forma proativa.

Vocês utilizam nossos dados para treinar AI?

Não. Nunca utilizamos seus dados para treinar modelos de AI compartilhados. A AI é opcional e opera exclusivamente sobre seus próprios dados isolados.

Podemos analisar seus relatórios de segurança antes de assinar?

Sim. Nosso certificado ISO, os resumos dos testes de intrusão e o conjunto completo de políticas e procedimentos de segurança estão disponíveis a potenciais clientes qualificados, sob NDA, durante o processo de due diligence.

O que acontece em caso de incidente de segurança ou indisponibilidade?

Mantemos procedimentos documentados de gestão de incidentes e de recuperação de desastres, com registro e monitoramento para detectar anomalias e planos de recuperação testados para restabelecer o serviço e proteger os dados.

Get started

Envie isto à sua equipe de segurança

Conduziremos suas equipes de TI, risco e compliance por hospedagem, isolamento e nossos controles, e compartilharemos a documentação sob NDA.