Última Atualização em: 8th March 2023.

Segurança

A Zoho fornece produtos de Software como Serviço (SaaS) para milhões de usuários em todo o mundo para resolver seus problemas de negócios. A segurança é um componente-chave nas nossas ofertas e é refletida no nosso pessoal, processo e produtos. Esta página abrange tópicos como segurança de dados, segurança operacional e segurança física para explicar como oferecemos segurança aos nossos clientes.

Segurança organizacional

Dispomos de um Sistema de Gestão de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados dos clientes.

Verificações de antecedentes dos funcionários

Cada funcionário passa por um processo de verificação de antecedentes. Contratamos agências externas renomadas para realizar essa verificação no nosso nome. Fazemos isso para verificar seus antecedentes criminais, registros de empregos anteriores, se houver, e formação acadêmica. Até que essa verificação seja realizada, o funcionário não recebe tarefas que possam oferecer riscos aos usuários.

Conscientização de Segurança

Cada funcionário, quando empossado, assina um contrato de confidencialidade e política de uso aceitável, após o qual passa por treinamento em segurança da informação, privacidade e compliance (conformidade). Além disso, avaliamos sua compreensão por meio de testes e questionários para determinar em quais tópicos ele precisa de treinamento adicional. Oferecemos treinamento sobre aspectos específicos de segurança, que possa ser necessário com base nas suas funções.

Instruímos nossos funcionários continuamente a respeito de segurança da informação, privacidade e compliance na nossa comunidade interna, onde nossos funcionários fazem check-in regularmente, para mantê-los atualizados sobre as práticas de segurança da organização. Também organizamos eventos internos para aumentar a conscientização e impulsionar a inovação em segurança e privacidade.

Equipes específicas de segurança e privacidade

Dispomos de equipes específicas de segurança e privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Elas projetam e mantêm nossos sistemas de defesa, desenvolvem processos de análise de segurança e monitoram constantemente nossas redes para detectar atividades suspeitas. Elas prestam serviços específicos de consultoria de domínio e orientação para nossas equipes de engenharia.

Segurança organizacional

Dispomos de um Sistema de Gestão de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança e os riscos e mitigações relativos a todas as partes interessadas. Empregamos políticas e procedimentos rigorosos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados dos clientes.

Auditoria interna e compliance

Dispomos de uma equipe específica de compliance para revisar procedimentos e políticas na Zoho para alinhá-los com as devidas normas e determinar quais controles, processos e sistemas são necessários para cumprir tais normas. Essa equipe também realiza auditorias internas periódicas e facilita auditorias independentes e avaliações de terceiros.

Para mais detalhes, consulte nosso portfólio de compliance

Segurança de endpoint

Todas as estações de trabalho fornecidas aos funcionários da Zoho executam a versão atualizada do Sistema Operacional (SO) e são configuradas com software antivírus. Elas são configuradas de forma que estejam em conformidade com nossas normas de segurança, que exigem que todas as estações de trabalho sejam devidamente configuradas, corrigidas, rastreadas e monitoradas pelas soluções de gerenciamento de endpoint da Zoho. Essas estações de trabalho são protegidas por padrão, uma vez que são configuradas para criptografar dados em repouso, dispõem de senhas fortes e são bloqueadas quando ociosas. Os dispositivos móveis usados para fins comerciais são registrados no sistema de gerenciamento de dispositivos móveis para garantir que atendam às nossas normas de segurança.

Segurança física

No local de trabalho

Controlamos o acesso aos nossos recursos (prédios, infraestruturas e instalações), onde o acesso inclui consumo, entrada e utilização, com a ajuda de cartões de acesso. Fornecemos aos funcionários, contratados, fornecedores e visitantes diferentes cartões de acesso que permitem apenas acesso estritamente específico para o propósito de sua entrada nas dependências. A equipe de Recursos Humanos (RH) estabelece e mantém os propósitos específicos das funções. Mantemos registros de acesso para identificar e solucionar anomalias.

Nos Centros de Processamento de Dados (DCs)

Nos nossos Centros de Processamento de Dados, um provedor de co-location (aluguel de espaço para hospedagem web) assume responsabilidade pelo prédio, pela refrigeração, energia e segurança física, enquanto nós fornecemos os servidores e o armazenamento. O acesso aos Centros de Processamento de Dados é restrito a um pequeno grupo de pessoal autorizado. Qualquer outro acesso será levantado como um chamado e permitido somente após a aprovação dos respectivos gerentes. Autenticação adicional de dois fatores e autenticação biométrica são necessárias para entrar nas dependências. Registros de acessos, registros de atividades e gravações de câmeras estarão disponíveis caso um incidente ocorra.

Monitoramento

Monitoramos todos os movimentos de entrada e saída em todas as nossas dependências em todos os nossos centros de negócios e centros de processamento de dados por meio de câmeras de CFTV instaladas de acordo com os regulamentos do local. Backup das gravações estará disponível até um determinado período, dependendo das exigências do referido local.

Segurança da infraestrutura

Segurança de rede

Nossas técnicas de monitoramento e segurança de rede são desenvolvidas para fornecer múltiplas camadas de proteção e defesa. Usamos firewalls para impedir acesso não autorizado à nossa rede e tráfego indesejado. Nossos sistemas são segmentados em redes independentes para proteger dados confidenciais. Os sistemas que oferecem atividades de desenvolvimento e testes são hospedados em uma rede separada dos sistemas que oferecem a infraestrutura de produção da Zoho.

Monitoramos o acesso ao firewall com um cronograma estrito e regular. Um engenheiro de rede analisa todas as mudanças feitas no firewall diariamente. Além disso, essas mudanças são analisadas a cada 6 meses para atualizar e revisar as regras. Nossa equipe específica do Centro de Operações de Rede monitora a infraestrutura e os aplicativos em busca de quaisquer discrepâncias ou atividades suspeitas. Todos os parâmetros cruciais são monitorados continuamente usando nossa ferramenta exclusiva e notificações são acionadas em qualquer instância de atividades anormais ou suspeitas no nosso ambiente de produção.

Redundância de rede

Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura de rede distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas no servidor. Se houver uma falha no servidor, os usuários poderão continuar normalmente uma vez que seus dados e os serviços da Zoho ainda estarão disponíveis para eles.

Adicionalmente, usamos múltiplos comutadores, roteadores e gateways de segurança para garantir redundância em nível de dispositivo. Isso impede falhas de ponto único na rede interna.

Prevenção DDoS

Usamos tecnologias de prestadores de serviços confiáveis e consolidados para impedir ataques DDoS (Negação Distribuída de Serviço) nos nossos servidores. Essas tecnologias oferecem múltiplas funcionalidades de mitigação de DDoS para impedir interrupções causadas por tráfego ilegítimo, enquanto permite tráfego legítimo. Isso mantém nossos sites, aplicativos e APIs altamente disponíveis e com bom desempenho.

Proteção de servidores

Todos os servidores provisionados para atividades de desenvolvimento e testes são protegidos (ao desativar portas e contas não utilizadas, remover senhas padrão etc.). A imagem base do Sistema Operacional (SO) tem proteção de servidor embutida e essa imagem do SO é provisionada nos servidores para garantir consistência entre eles.

Detecção e prevenção de invasões

Nosso mecanismo de detecção de invasões registra sinais baseados em hospedagem (host) em dispositivos individuais e sinais baseados em rede de pontos de monitoramento nos nossos servidores. Acesso administrativo, uso de comandos privilegiados e chamadas de sistema em todos os servidores na nossa rede de produção são registrados. Regras e inteligência artificial construídas sobre esses dados fornecem aos engenheiros de segurança alertas sobre possíveis incidentes. Na camada de aplicativos, temos nosso WAF exclusivo que opera tanto em regras da lista de permissões quanto da lista de proibições.

No nível dos Prestadores de Serviços de Internet (ISP), uma abordagem de segurança multicamada é implementada com depuração, roteamento de rede, limitação de taxas e filtragem para lidar com ataques da camada de rede à camada de aplicativos. Esse sistema fornece tráfego limpo, serviço confiável de proxy e um relatório imediato dos ataques, se houver.

Segurança de dados

Proteção por design

Cada mudança e novo recurso são regidos por uma política de gestão de mudanças para garantir que todas as mudanças nos aplicativos sejam autorizadas antes da implementação na produção. Nosso Ciclo de Vida de Desenvolvimento de Software (SDLC) exige adesão às diretrizes de codificação segura, bem como triagem de mudanças de códigos para possíveis problemas de segurança com nossas ferramentas de análise de códigos, varreduras de vulnerabilidades e processos de revisão manual.

Nossa robusta estrutura de segurança baseada nas normas do OWASP (Projeto Aberto de Segurança em Aplicações Web), implementada na camada de aplicativos, fornece funcionalidades para mitigar ameaças, tais como injeção SQL, Cross site scripting e ataques DOS na camada de aplicativos.

Isolamento de dados

Nossa estrutura distribui e mantém o espaço na nuvem para nossos clientes. Os dados de serviço de cada cliente são logicamente separados dos dados de outros clientes usando um conjunto de protocolos seguros na estrutura. Isso garante que nenhum dado de serviço de um cliente se torne acessível a outro cliente.

Os dados de serviço são armazenados nos nossos servidores quando você usa nossos serviços. Seus dados são de sua propriedade e não da Zoho. Não compartilharemos esses dados com quaisquer terceiros sem o seu consentimento.

Criptografia

Em trânsito: Todos os dados de clientes transmitidos para nossos servidores por redes públicas são protegidos por protocolos de criptografia fortes. Exigimos que todas as conexões com nossos servidores usem criptografia de Segurança da Camada de Transporte (TLS 1.2/1.3) com cifras fortes, para todas as conexões, incluindo acesso à Internet, acesso à API, nossos aplicativos móveis e acesso pelo cliente aos e-mails IMAP/POP/SMTP. Isso garante uma conexão segura, permitindo autenticação de ambas as partes envolvidas na conexão e criptografando os dados a serem transferidos. Adicionalmente, a respeito de e-mails, nossos serviços aproveitam TLS oportunista por padrão. TLS criptografa e entrega e-mails com segurança, mitigando a espionagem entre servidores de e-mail, caso em que os serviços de pares oferecem esse protocolo.

Temos suporte total para Perfect Forward Secrecy (PFS) com nossas conexões criptografadas, o que garante que, mesmo se formos comprometidos de alguma forma no futuro, nenhuma comunicação anterior poderá ser “descriptografada”. Habilitamos o cabeçalho HTTP Strict Transport Security (HSTS) para todas as nossas conexões de Internet. Isso diz a todos os navegadores modernos para se conectarem a nós apenas por meio de uma conexão criptografada, mesmo se você digitar um URL (Localizador Uniforme de Recursos) para uma página não segura no nosso site. Além disso, sinalizamos, na Internet, todos os nossos cookies de autenticação como seguros.

Em repouso: Dados confidenciais dos clientes em repouso são criptografados usando o Padrão de Criptografia Avançada (AES) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você escolher. Possuímos e mantemos as chaves usando nosso Serviço de Gestão de Chaves interno (KMS). Fornecemos camadas adicionais de segurança ao criptografar as chaves de criptografia de dados usando chaves-mestras. As chaves-mestras e as chaves de criptografia de dados são fisicamente separadas e armazenadas em diferentes servidores com acesso limitado.

Clique aqui para obter informações detalhadas sobre criptografia na Zoho e clique aqui para entender quais dados criptografamos nos nossos serviços.

Retenção e descarte de dados

Mantemos os dados na sua conta enquanto você optar por usar os Serviços da Zoho. Assim que você encerrar sua conta de usuário da Zoho, seus dados serão excluídos do banco de dados ativo durante a próxima limpeza que ocorre uma vez a cada 6 meses. Os dados excluídos do banco de dados ativo serão excluídos dos backups após 3 meses. No caso da sua conta não paga ficar inativa por um período contínuo de 120 dias, reservamo-nos o direito de encerrá-la após enviarmos para você aviso prévio e a opção de realizar backup dos seus dados.

Um fornecedor verificado e autorizado realiza o descarte de dispositivos inutilizáveis. Até tal momento, nós os categorizamos e os armazenamos em um local seguro. Quaisquer informações contidas nos dispositivos são formatadas antes do descarte. Nós desmagnetizamos os discos rígidos com falhas e os destruímos fisicamente usando um triturador. Apagamos a chave de criptografia de mídia e destruímos os Dispositivos de Estado Sólido com falhas (SSDs).

Controle de identificação e acesso

Login Único (SSO)

A Zoho oferece login único (SSO) que permite aos usuários acessar múltiplos serviços usando a mesma página de login e credenciais de autenticação. Quando você assina qualquer serviço da Zoho, ele acontece apenas por meio do nosso serviço integrado de Gestão de Identificação e Acesso (IAM). Oferecemos também SAML para login único que possibilita aos clientes integrar o provedor de identificação das suas empresas, como LDAP, ADFS, ao fazerem login nos serviços da Zoho.

SSO simplifica o processo de login, garante a conformidade, fornece controle de acesso e apresentação de relatórios eficazes, e reduz o risco de fadiga de senha, portanto, senhas fracas.

Autenticação Multifator

Oferece uma camada extra de segurança ao exigir uma verificação adicional que o usuário deve possuir, além da senha. Isso pode reduzir muito o risco de acesso não autorizado se a senha de um usuário estiver comprometida. Você poderá configurar a autenticação multifator usando Zoho One-Auth. Atualmente, diferentes modos como Touch ID biométrico ou Face ID, Notificação Push, código QR e Senha de Uso Único (OTP) Baseada em Tempo são oferecidos.

Oferecemos também Chave de Segurança de Hardware Yubikey para autenticação multifator.

Acesso administrativo

Empregamos controles técnicos de acesso e políticas internas para proibir que os funcionários acessem arbitrariamente os dados dos usuários. Aderimos aos princípios de privilégio mínimo e permissões baseadas em funções para minimizar o risco de exposição de dados.

O acesso aos ambientes de produção é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por frase-senha. Ademais, facilitamos tal acesso por meio de uma rede independente com normas mais rígidas e dispositivos protegidos. Adicionalmente, registramos todas as operações e as auditamos periodicamente.

Segurança operacional

Registro e Monitoramento

Cada mudança e novo recurso são regidos por uma política de gestão de mudanças para garantir que todas as mudanças nos aplicativos sejam autorizadas antes da implementação na produção. Nosso Ciclo de Vida de Desenvolvimento de Software (SDLC) exige adesão às diretrizes de codificação segura, bem como triagem de mudanças de códigos para possíveis problemas de segurança com nossas ferramentas de análise de códigos, varreduras de vulnerabilidades e processos de revisão manual.

Nossa robusta estrutura de segurança baseada nas normas do OWASP (Projeto Aberto de Segurança em Aplicações Web), implementada na camada de aplicativos, fornece funcionalidades para mitigar ameaças, tais como injeção SQL, Cross site scripting e ataques DOS na camada de aplicativos.

Gestão de vulnerabilidades

Dispomos de um processo específico de gestão de vulnerabilidades que ativamente busca por ameaças de segurança usando uma combinação de ferramentas de varredura de terceiros certificadas e ferramentas internas, e com esforços de testes de invasão automatizados e manuais. Além disso, nossa equipe de segurança analisa ativamente os relatórios de segurança de entradas e monitora listas de endereços públicas, publicações em blogs e wikis para identificar incidentes de segurança que possam afetar a infraestrutura da empresa.

Assim que identificamos uma vulnerabilidade que requer correção, ela é registrada, priorizada de acordo com a gravidade e atribuída a um responsável. Além disso, identificamos os riscos associados e rastreamos a vulnerabilidade até que ela seja encerrada, tanto corrigindo os sistemas vulneráveis quanto aplicando controles relevantes.

Proteção contra malware e spamn

Verificamos todos os arquivos dos usuários usando nosso sistema de varredura automatizado, o qual foi desenvolvido para impedir que o malware se espalhe pelo ecossistema da Zoho. Nosso mecanismo antimalware personalizado recebe atualizações regulares de fontes externas de inteligência contra ameaças e busca por arquivos contra assinaturas em listas de proibições e padrões maliciosos. Ademais, nosso mecanismo exclusivo de detecção, combinado com técnicas de aprendizagem automática, garante que os dados dos clientes sejam protegidos contra malware.

A Zoho oferece Autenticação de Mensagens Baseada em Domínio, Relatório e Conformidade (DMARC) como uma forma de impedir spams. DMARC usa SPF e DKIM para verificar se as mensagens são autênticas. Usamos também nosso mecanismo exclusivo de detecção para identificar abuso dos serviços da Zoho, como atividades de phishing (tipo de fraude na Internet que visa obter informações confidenciais de um usuário) e spam. Adicionalmente, temos uma equipe antispam específica para monitorar os sinais do software e lidar com reclamações de abuso.
Para mais informações, clique aqui

Backup

Executamos backups incrementais diários e backups completos semanais dos nossos bancos de dados usando Zoho Admin Console (ZAC) para os DCs da Zoho. Os dados de backup no DC são armazenados no mesmo local e criptografados usando o algoritmo AES de 256 bits. Nós os armazenamos no formato tar.gz. Todos os dados de backup são mantidos por um período de três meses. Se um cliente solicitar a recuperação dos dados dentro do período de retenção, restauraremos seus dados e forneceremos acesso seguro a eles. O cronograma para restauração de dados depende da quantidade de dados e da complexidade envolvida.

Para garantir a segurança dos dados de backup, usamos uma matriz redundante de discos independentes (RAID) nos servidores de backup. Todos os backups são agendados e monitorados regularmente. Em caso de falha, uma nova execução é iniciada e a falha é corrigida imediatamente. As verificações de integridade e validação dos backups completos são feitas automaticamente pela ferramenta ZAC.

Recomendamos enfaticamente que você agende backups regulares dos seus dados, exportando-os dos respectivos serviços da Zoho e armazenando-os localmente na sua infraestrutura.

Recuperação de desastres e continuidade dos negócios

Os dados dos aplicativos são armazenados em um armazenamento resiliente que é replicado em todos os centros de processamento de dados. Os dados no DC primário são replicados no secundário quase em tempo real. Em caso de falha do DC primário, o DC secundário assume o controle e as operações são realizadas normalmente com perda mínima ou nenhuma perda de tempo. Ambos os centros estão equipados com múltiplos ISPs.

Temos backup de energia, sistemas de controle de temperatura e sistemas de prevenção de incêndios como medidas físicas para garantir a continuidade dos negócios. Essas medidas nos ajudam a alcançar a resiliência. Além da redundância de dados, temos um plano de continuidade de negócios para nossas principais operações, tais como suporte e gerenciamento de infraestrutura.

Gestão de Incidentes

Apresentação de Relatórios

Temos uma equipe de gestão de incidentes específica. Nós o notificaremos sobre os incidentes no nosso ambiente que lhe sejam aplicáveis, juntamente com as devidas ações que talvez você precise tomar. Nós rastreamos e encerramos os incidentes com ações corretivas apropriadas. Sempre que aplicável, identificaremos, coletaremos, adquiriremos e lhe forneceremos as provas necessárias na forma de formulário e registros de auditoria sobre os incidentes que lhe sejam aplicáveis. Além disso, implementamos controles para impedir a recorrência de situações semelhantes.

Respondemos aos incidentes de segurança ou privacidade reportados por você pelo e-mail [email protected], com alta prioridade. Para incidentes gerais, notificaremos os usuários por meio dos nossos blogs, fóruns e mídias sociais. Para incidentes específicos de um usuário individual ou de uma organização, notificaremos a parte interessada por e-mail (usando o endereço de e-mail principal do administrador da Organização registrado conosco).

Notificação de violação

Como controladores de dados, notificaremos a Autoridade de Proteção de Dados competente a respeito de uma violação no prazo de 72 horas após tomarmos conhecimento dela, de acordo com o Regulamento Geral de Proteção de Dados (GDPR). Dependendo de exigências específicas, notificaremos também os clientes, quando necessário. Como processadores de dados, informaremos os controladores de dados relevantes sem demora injustificada.

Divulgações Responsáveis

Está em vigor um programa de reporte de vulnerabilidades em "Bug Bounty", para alcançar a comunidade de pesquisadores, que reconhece e recompensa o trabalho dos pesquisadores de segurança. Estamos empenhados em trabalhar com a comunidade para verificar, reproduzir, responder e implementar soluções adequadas para as vulnerabilidades reportadas.

Caso você encontre quaisquer vulnerabilidades, envie a questão por meio da página https://bugbounty.zohocorp.com/. Caso você queira reportar vulnerabilidades diretamente para nós, envie-nos um e-mail para [email protected].

Gestão de fornecedores e fornecedores terceirizados

Avaliamos e qualificamos nossos fornecedores com base na nossa política de gestão de fornecedores. Integramos novos fornecedores após entender seus processos de prestação de serviços e realizar avaliações de risco. Tomamos as medidas adequadas para garantir que nossa postura de segurança seja mantida, estabelecendo contratos que exigem que os fornecedores cumpram os compromissos de confidencialidade, disponibilidade e integridade que assumimos com nossos clientes. Monitoramos a operação eficaz dos processos e medidas de segurança da organização, realizando análises periódicas de seus controles.

Controles do cliente para segurança

Até agora, discutimos o que fazemos para oferecer segurança em diversas frentes para nossos clientes. Abaixo estão as ações que você, como cliente, pode tomar para garantir sua segurança:

  • Escolha uma senha única e forte e proteja-a.
  • Use a autenticação multifator.
  • Use as versões mais recentes do navegador, atualize o SO móvel e os aplicativos móveis para garantir que sejam corrigidos contra vulnerabilidades, e use os recursos de segurança mais recentes.
  • Tome precauções razoáveis ao compartilhar dados do nosso ambiente de nuvem.
  • Classifique suas informações em pessoais ou confidenciais e as indique de maneira correspondente.
  • Monitore dispositivos vinculados à sua conta, sessões ativas da Internet e acesso de terceiros para identificar anomalias em atividades na sua conta, e gerencie funções e privilégios para sua conta.
  • Esteja ciente de ameaças de phishing e malware, procurando por e-mails, sites e links estranhos que possam explorar suas informações confidenciais se passando pela Zoho ou outros serviços nos quais você confia.

Para saber mais sobre como você pode trabalhar com a Zoho para obter um ambiente de nuvem seguro, leia nossa fonte sobre Compreendendo a responsabilidade compartilhada com a Zoho. Fornecemos uma análise completa sobre o modelo de responsabilidade compartilhada e como nossos clientes e a Zoho podem colaborar, bem como assumir responsabilidade individual em relação à segurança e privacidade em nuvem.

Conclusão

A segurança dos seus dados é um direito seu e uma missão incessante da Zoho. Continuaremos a trabalhar duro para manter seus dados seguros, como sempre fizemos. Em caso de outras dúvidas sobre este tópico, consulte FAQs (Perguntas Frequentes) [email protected].