Visão Geral
Nossa estratégia de segurança envolve os componentes a seguir
Nossa estratégia de segurança envolve os componentes a seguir
Dispomos de um Sistema de Gestão de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados dos clientes.
Cada funcionário passa por um processo de verificação de antecedentes. Contratamos agências externas renomadas para realizar essa verificação no nosso nome. Fazemos isso para verificar seus antecedentes criminais, registros de empregos anteriores, se houver, e formação acadêmica. Até que essa verificação seja realizada, o funcionário não recebe tarefas que possam oferecer riscos aos usuários.
Cada funcionário, quando empossado, assina um contrato de confidencialidade e política de uso aceitável, após o qual passa por treinamento em segurança da informação, privacidade e compliance (conformidade). Além disso, avaliamos sua compreensão por meio de testes e questionários para determinar em quais tópicos ele precisa de treinamento adicional. Oferecemos treinamento sobre aspectos específicos de segurança, que possa ser necessário com base nas suas funções.
Instruímos nossos funcionários continuamente a respeito de segurança da informação, privacidade e compliance na nossa comunidade interna, onde nossos funcionários fazem check-in regularmente, para mantê-los atualizados sobre as práticas de segurança da organização. Também organizamos eventos internos para aumentar a conscientização e impulsionar a inovação em segurança e privacidade.
Dispomos de equipes específicas de segurança e privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Elas projetam e mantêm nossos sistemas de defesa, desenvolvem processos de análise de segurança e monitoram constantemente nossas redes para detectar atividades suspeitas. Elas prestam serviços específicos de consultoria de domínio e orientação para nossas equipes de engenharia.
Dispomos de um Sistema de Gestão de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados dos clientes.
Dispomos de uma equipe específica de compliance para revisar procedimentos e políticas na Zoho para alinhá-los com as devidas normas e determinar quais controles, processos e sistemas são necessários para cumprir tais normas. Essa equipe também realiza auditorias internas periódicas e facilita auditorias independentes e avaliações de terceiros.
Para mais detalhes, consulte nosso portfólio de compliance
Todas as estações de trabalho fornecidas aos funcionários da Zoho executam a versão atualizada do Sistema Operacional (SO) e são configuradas com software antivírus. Elas são configuradas de forma que estejam em conformidade com nossas normas de segurança, que exigem que todas as estações de trabalho sejam devidamente configuradas, corrigidas, rastreadas e monitoradas pelas soluções de gerenciamento de endpoint da Zoho. Essas estações de trabalho são protegidas por padrão, uma vez que são configuradas para criptografar dados em repouso, dispõem de senhas fortes e são bloqueadas quando ociosas. Os dispositivos móveis usados para fins comerciais são registrados no sistema de gerenciamento de dispositivos móveis para garantir que atendam às nossas normas de segurança.
Nossas técnicas de monitoramento e segurança de rede são desenvolvidas para fornecer múltiplas camadas de proteção e defesa. Usamos firewalls para impedir acesso não autorizado à nossa rede e tráfego indesejado. Nossos sistemas são segmentados em redes independentes para proteger dados confidenciais. Os sistemas que oferecem atividades de desenvolvimento e testes são hospedados em uma rede separada dos sistemas que oferecem a infraestrutura de produção da Zoho.
Monitoramos o acesso ao firewall com um cronograma estrito e regular. Um engenheiro de rede analisa todas as mudanças feitas no firewall diariamente. Além disso, essas mudanças são analisadas a cada 6 meses para atualizar e revisar as regras. Nossa equipe específica do Centro de Operações de Rede monitora a infraestrutura e os aplicativos em busca de quaisquer discrepâncias ou atividades suspeitas. Todos os parâmetros cruciais são monitorados continuamente usando nossa ferramenta exclusiva e notificações são acionadas em qualquer instância de atividades anormais ou suspeitas no nosso ambiente de produção.
Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura de rede distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas no servidor. Se houver uma falha no servidor, os usuários poderão continuar normalmente uma vez que seus dados e os serviços da Zoho ainda estarão disponíveis para eles.
Adicionalmente, usamos múltiplos comutadores, roteadores e gateways de segurança para garantir redundância em nível de dispositivo. Isso impede falhas de ponto único na rede interna.
Usamos tecnologias de prestadores de serviços confiáveis e consolidados para impedir ataques DDoS (Negação Distribuída de Serviço) nos nossos servidores. Essas tecnologias oferecem múltiplas funcionalidades de mitigação de DDoS para impedir interrupções causadas por tráfego ilegítimo, enquanto permite tráfego legítimo. Isso mantém nossos sites, aplicativos e APIs altamente disponíveis e com bom desempenho.
Todos os servidores provisionados para atividades de desenvolvimento e testes são protegidos (ao desativar portas e contas não utilizadas, remover senhas padrão etc.). A imagem base do Sistema Operacional (SO) tem proteção de servidor embutida e essa imagem do SO é provisionada nos servidores para garantir consistência entre eles.
Nosso mecanismo de detecção de invasões registra sinais baseados em hospedagem (host) em dispositivos individuais e sinais baseados em rede de pontos de monitoramento nos nossos servidores. Acesso administrativo, uso de comandos privilegiados e chamadas de sistema em todos os servidores na nossa rede de produção são registrados. Regras e inteligência artificial construídas sobre esses dados fornecem aos engenheiros de segurança alertas sobre possíveis incidentes. Na camada de aplicativos, temos nosso WAF exclusivo que opera tanto em regras da lista de permissões quanto da lista de proibições.
No nível dos Prestadores de Serviços de Internet (ISP), uma abordagem de segurança multicamada é implementada com depuração, roteamento de rede, limitação de taxas e filtragem para lidar com ataques da camada de rede à camada de aplicativos. Esse sistema fornece tráfego limpo, serviço confiável de proxy e um relatório imediato dos ataques, se houver.
A Zoho oferece login único (SSO) que permite aos usuários acessar múltiplos serviços usando a mesma página de login e credenciais de autenticação. Quando você assina qualquer serviço da Zoho, ele acontece apenas por meio do nosso serviço integrado de Gestão de Identificação e Acesso (IAM). Oferecemos também SAML para login único que possibilita aos clientes integrar o provedor de identificação das suas empresas, como LDAP, ADFS, ao fazerem login nos serviços da Zoho.
SSO simplifica o processo de login, garante a conformidade, fornece controle de acesso e apresentação de relatórios eficazes, e reduz o risco de fadiga de senha, portanto, senhas fracas.
Oferece uma camada extra de segurança ao exigir uma verificação adicional que o usuário deve possuir, além da senha. Isso pode reduzir muito o risco de acesso não autorizado se a senha de um usuário estiver comprometida. Você poderá configurar a autenticação multifator usando Zoho One-Auth. Atualmente, diferentes modos como Touch ID biométrico ou Face ID, Notificação Push, código QR e Senha de Uso Único (OTP) Baseada em Tempo são oferecidos.
Oferecemos também Chave de Segurança de Hardware Yubikey para autenticação multifator.
Empregamos controles técnicos de acesso e políticas internas para proibir que os funcionários acessem arbitrariamente os dados dos usuários. Aderimos aos princípios de privilégio mínimo e permissões baseadas em funções para minimizar o risco de exposição de dados.
O acesso aos ambientes de produção é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por frase-senha. Ademais, facilitamos tal acesso por meio de uma rede independente com normas mais rígidas e dispositivos protegidos. Adicionalmente, registramos todas as operações e as auditamos periodicamente.
Temos uma equipe de gestão de incidentes específica. Nós o notificaremos sobre os incidentes no nosso ambiente que lhe sejam aplicáveis, juntamente com as devidas ações que talvez você precise tomar. Nós rastreamos e encerramos os incidentes com ações corretivas apropriadas. Sempre que aplicável, identificaremos, coletaremos, adquiriremos e lhe forneceremos as provas necessárias na forma de formulário e registros de auditoria sobre os incidentes que lhe sejam aplicáveis. Além disso, implementamos controles para impedir a recorrência de situações semelhantes.
Respondemos aos incidentes de segurança ou privacidade reportados por você pelo e-mail [email protected], com alta prioridade. Para incidentes gerais, notificaremos os usuários por meio dos nossos blogs, fóruns e mídias sociais. Para incidentes específicos de um usuário individual ou de uma organização, notificaremos a parte interessada por e-mail (usando o endereço de e-mail principal do administrador da Organização registrado conosco).
Como controladores de dados, notificaremos a Autoridade de Proteção de Dados competente a respeito de uma violação no prazo de 72 horas após tomarmos conhecimento dela, de acordo com o Regulamento Geral de Proteção de Dados (GDPR). Dependendo de exigências específicas, notificaremos também os clientes, quando necessário. Como processadores de dados, informaremos os controladores de dados relevantes sem demora injustificada.
Avaliamos e qualificamos nossos fornecedores com base na nossa política de gestão de fornecedores. Integramos novos fornecedores após entender seus processos de prestação de serviços e realizar avaliações de risco. Tomamos as medidas adequadas para garantir que nossa postura de segurança seja mantida, estabelecendo contratos que exigem que os fornecedores cumpram os compromissos de confidencialidade, disponibilidade e integridade que assumimos com nossos clientes. Monitoramos a operação eficaz dos processos e medidas de segurança da organização, realizando análises periódicas de seus controles.
Até agora, discutimos o que fazemos para oferecer segurança em diversas frentes para nossos clientes. Abaixo estão as ações que você, como cliente, pode tomar para garantir sua segurança:
Para saber mais sobre como você pode trabalhar com a Zoho para obter um ambiente de nuvem seguro, leia nossa fonte sobre Compreendendo a responsabilidade compartilhada com a Zoho. Fornecemos uma análise completa sobre o modelo de responsabilidade compartilhada e como nossos clientes e a Zoho podem colaborar, bem como assumir responsabilidade individual em relação à segurança e privacidade em nuvem.