N5 Trust Center

Segurança e compliance na N5

A N5 constrói uma plataforma para o setor financeiro usada por bancos e instituições financeiras em todas as Américas. Segurança é um requisito central de tudo o que entregamos. Este portal descreve nosso programa de segurança, os controles que operamos e os documentos disponíveis para clientes e prospects sob NDA.

Compliance

Solicitação de documentos

Os resumos dos documentos são públicos. Os documentos completos são compartilhados sob NDA: acesse a seção Documentos, solicite acesso e o time de segurança da N5 revisará sua solicitação. NDA · Documentos

Divulgação responsável

Se você acredita ter encontrado uma vulnerabilidade de segurança em um produto ou serviço da N5, reporte para security@n5now.com. Confirmamos o recebimento em até 2 dias úteis. Por favor, não teste contra tenants de produção nem acesse dados que não sejam seus.

Reportar vulnerabilidade

Controles

Segurança de infraestrutura

  • Segregação por conta AWS. Mais de 30 contas AWS separando ambientes, cargas de trabalho e clientes, sob uma AWS Organization governada centralmente
  • Kubernetes privado. Clusters EKS sem exposição pública do control plane nem dos nós
  • Backups centralizados. AWS Backup com vault centralizado e uma política formal de backup
  • Infraestrutura como código. Toda mudança de infraestrutura passa por pipelines de IaC com revisão de pares, sob uma política formal de gestão de mudanças

Segurança de dados

  • Criptografia em repouso. Criptografia com AWS KMS em todos os armazenamentos de dados
  • Criptografia em trânsito. TLS 1.2+ em todo o tráfego
  • Anonimização de dados. Procedimento formal de anonimização de dados pessoais
  • Tratamento da informação. Política de classificação e tratamento de dados

Segurança de aplicações

  • Ciclo de desenvolvimento seguro. Política de desenvolvimento seguro com SAST e varredura de dependências no CI
  • Gestão de vulnerabilidades. Procedimento formal apoiado por varredura contínua, AWS GuardDuty e Security Hub
  • Pentest anual. Ethical hacking anual por terceiros, obrigatório por política

Segurança de endpoints

  • Gestão de dispositivos. Política de gestão de dispositivos corporativos
  • Programa BYOD. Política gerenciada de bring-your-own-device

Segurança de rede

  • Auditoria em toda a organização. CloudTrail em toda a AWS Organization
  • Inteligência de ameaças. SIEM e programa de threat intelligence operacionais
  • Segmentação de rede. VPCs por ambiente com endereçamento alocado centralmente e sem sobreposição

Segurança corporativa

  • SSO e MFA. Single sign-on com Microsoft Entra ID e autenticação multifator obrigatória
  • Trabalho remoto seguro. Política de trabalho remoto
  • Gestão de fornecedores. Política de classificação e due diligence de fornecedores; fornecedores críticos devem possuir ISO 27001 ou SOC 2
  • Recuperação de desastres. DRP documentado com testes periódicos

Documentos

Os resumos são públicos. Os documentos completos são compartilhados sob NDA. NDA

Pacotes de documentos 2

DocumentoVersãoAcesso
Pacote completo de documentação (ZIP)
Todos os documentos deste portal, em um único download.
Solicitar acesso
Pacote de evidências ISO 27001 (ZIP)
As 10 políticas do SGSI, Declaração de Aplicabilidade, escopo do SGSI e metodologia de riscos.
Solicitar acesso

Políticas e procedimentos 12

DocumentoVersãoAcesso
Política de Segurança da Informação
Política guarda-chuva do SGSI, alinhada à ISO/IEC 27001:2022.
1.2 Solicitar acesso
Política BYOD
Regras para dispositivos pessoais que acessam recursos corporativos.
1.1 Solicitar acesso
Política de Gestão de Dispositivos
Configuração, proteção e ciclo de vida dos endpoints corporativos.
1.1 Solicitar acesso
Política de Trabalho Remoto
Requisitos de segurança para trabalho remoto e híbrido.
2 Solicitar acesso
Política de Gestão de Fornecedores
Classificação de fornecedores, due diligence e requisitos de segurança para fornecedores críticos.
1.1 Solicitar acesso
Política de Backup
Escopo, frequência, retenção e testes de restauração de backups.
1 Solicitar acesso
Política de Desenvolvimento Seguro
SDLC seguro: revisão de código, SAST/SCA, segregação de ambientes.
1.1 Solicitar acesso
Política de Tratamento da Informação
Regras de classificação, rotulagem e transferência de dados.
1 Solicitar acesso
Política de Gestão de Infraestrutura
Governança da infraestrutura em nuvem, hardening e capacidade.
1 Solicitar acesso
Política de Gestão de Mudanças em Infraestrutura
Processo controlado de mudanças para infraestrutura de produção.
1 Solicitar acesso
Procedimento de Gestão de Vulnerabilidades
SLAs de detecção, triagem e remediação de vulnerabilidades.
1.1 Solicitar acesso
Procedimento de Anonimização de Dados
Anonimização de dados pessoais em ambientes não produtivos.
1 Solicitar acesso

Compliance 3

DocumentoVersãoAcesso
Declaração de Aplicabilidade (ISO 27001)
Aplicabilidade dos controles do Anexo A da ISO 27001:2022.
ext Solicitar acesso
Definição de Escopo do SGSI
Escopo do sistema de gestão de segurança da informação.
2 Solicitar acesso
Metodologia de Gestão de Riscos
Como a N5 identifica, avalia e trata os riscos de segurança.
1.1 Solicitar acesso

Resiliência 1

DocumentoVersãoAcesso
Plano de Recuperação de Desastres (com evidência de testes)
Estratégia de recuperação, metas de RTO/RPO e resultados de testes periódicos.
Solicitar acesso

Asseguramento 1

DocumentoVersãoAcesso
Relatório de Pentest Anual (mais recente)
Resumo executivo e achados do último pentest de terceiros.
Solicitar acesso

Arquitetura 1

DocumentoVersãoAcesso
Diagrama de Rede de Alto Nível
Visão de alto nível de ambientes, segmentação e fluxos de tráfego.
Solicitar acesso

Solicitar acesso a documentos

O time de segurança da N5 revisa cada solicitação. Os documentos aprovados chegam por email como links de download com expiração.

Documentos solicitados

Subprocessadores

Amazon Web Services

Hospedagem principal da plataforma

Estados Unidos (us-east-1) e outras regiões

  • SOC 2
  • ISO 27001
  • PCI DSS

Microsoft Azure

Serviços específicos e ambientes de demonstração

Estados Unidos / Europa

  • SOC 2
  • ISO 27001
  • PCI DSS

Confluent Cloud

Kafka gerenciado (streaming de eventos)

Estados Unidos

  • SOC 2
  • ISO 27001