Este artigo fornece uma visão geral das informações de segurança relativas aos controles internos da SharpSpring e aos serviços que a SharpSpring oferece aos clientes. Este artigo é destinado a clientes diretos, parceiros de agência e potenciais clientes da SharpSpring. Use as informações contidas neste documento para responder às perguntas básicas de segurança que seus clientes possam ter.
Usuários com acesso:
- Administradores
Obsolescência da Informação
A SharpSpring fornece as informações contidas neste artigo apenas de boa fé e sem quaisquer garantias ou representações quanto à exatidão ou integridade das informações.
A SharpSpring exclui expressamente todas as garantias, condições e outros termos implícitos por lei, assim como toda a responsabilidade por perdas decorrentes dos clientes, parceiros ou terceiros nas informações contidas neste artigo. Isso não afeta a responsabilidade da SharpSpring por fraude ou declaração fraudulenta, ou qualquer outra responsabilidade, que não possa ser excluída ou limitada pela lei aplicável.
As informações deste artigo estão sujeitas a alterações a qualquer momento, e a SharpSpring medirá esforços razoáveis para atualizar essas informações regularmente.
Glossário
Abaixo, estão os termos usados pela SharpSpring para questões de proteção de dados:
-
ASV: Fornecedores de digitalização aprovados.
-
Dados do titular do cartão: Esses dados incluem o Número da Conta Principal, Nome do Portador do Cartão, Código de Serviço, Data de Expiração.
-
Dados Confidenciais do Cliente: Informações recebidas de clientes em qualquer forma para processamento em produção pela SharpSpring. A cópia original de tais informações não deve ser alterada de forma alguma sem permissão por escrito do cliente. Os níveis mais altos possíveis de integridade, confidencialidade e disponibilidade restrita são vitais.
-
Dados Confidenciais da Empresa: Informações coletadas e usadas pela SharpSpring na condução de seus negócios para empregar pessoas, registrar e cumprir ordens de clientes e gerenciar todos os aspectos do financiamento corporativo. O acesso a essas informações é muito restrito dentro da empresa. Os níveis mais altos possíveis de integridade, confidencialidade e disponibilidade restrita são vitais.
-
HIPAA: A Lei de Portabilidade e Responsabilidade do Seguro de Saúde.
Como a SharpSpring não armazena ou processa registros de saúde, a SharpSpring não precisa ser compatível com HIPAA. A SharpSpring não tem planos de estar em conformidade com o HIPAA. -
PCI-DSS: Indústria de cartões de pagamento - Padrão de segurança de dados.
-
Dados pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável (também conhecida como titular de dados). Pessoas naturais são aquelas que podem ser identificadas - direta ou indiretamente - em particular por referência a um número de identificação ou a um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social.
-
PII: Informação pessoalmente identificável.
-
Proprietário: As informações estão restritas ao acesso interno aprovado pela gerência e protegidas do acesso externo. O acesso não autorizado pode influenciar a eficácia operacional da SharpSpring, causar uma perda financeira importante, proporcionar um ganho significativo a um concorrente ou causar uma grande queda na confiança do cliente. A integridade da informação é vital.
-
Escudo de Privacidade: Um quadro de conformidade em torno da transferência de dados da UE para os EUA. O Privacy Shield UE-EUA é um substituto do Safe Harbor.
-
QSA: Assessor de Segurança Qualificado.
-
Porto Seguro: Os Princípios Internacionais de Privacidade Safe Harbor ou Princípios de Privacidade Safe Harbor foram desenvolvidos entre 1998 e 2000, com o objetivo de impedir que organizações privadas na União Européia ou Estados Unidos armazenem dados de clientes que divulguem ou usem informações pessoais acidentalmente.
-
Dados de autenticação confidenciais: Esses dados incluem os dados de faixa magnética completa, CAV2 / CVC2 / CVV2 / CID e PIN / PIN bloqueado.
-
SRE: A engenharia de confiabilidade do site (SRE) é uma disciplina que incorpora aspectos da engenharia de software e aplica isso a problemas de operações de TI. Os principais objetivos são criar sistemas de software altamente escaláveis e altamente confiáveis. Engineering (SRE) é uma disciplina que incorpora aspectos da engenharia de software e aplica isso a problemas de operações de TI. Os principais objetivos são criar sistemas de software altamente escaláveis e altamente confiáveis.
-
Público não classificado: As informações não são confidenciais e podem se tornar públicas sem quaisquer implicações para a SharpSpring. A perda de disponibilidade devido ao tempo de inatividade do sistema é um risco aceitável. A integridade é importante, mas não vital.
Padrões, Medidas Regulatórias e Compliance
A SharpSpring é regulamentada pela Comissão de Valores Mobiliários dos Estados Unidos (SEC) e passa por auditorias anuais de um auditor terceirizado registrado para garantir a conformidade com as regulamentações vigentes.
No que diz respeito aos Padrões de Segurança de Dados do Cartão de Pagamento (PCI-DSS), a SharpSpring utiliza os serviços de processamento de pagamento compatíveis com PCI do Authorize.net para aceitar, armazenar e processar todos os Dados do Portador do Cartão e todos os Dados de Autenticação Sensíveis. A única parte dos Dados do Portador de Cartão ou Dados de Autenticação Sensível que são armazenados nos servidores da SharpSpring são os seguintes:
-
Datas de expiração
-
Informações de Endereço
-
Nomes de titulares de cartão
Após a conclusão da auditoria qualificada da SharpSpring de controles de segurança compatíveis com PCI, a SharpSpring fornecerá atestação de conformidade, escopo e a matriz de responsabilidade PCI da equipe interna de QSA e conformidade. No entanto, a SharpSpring não publica o Relatório PCI-DSS completo sobre conformidade, pois ele conterá detalhes proprietários e comercialmente sensíveis dos processos de segurança da SharpSpring. A prova da conformidade com o PCI do provedor de serviços de processamento de pagamento da SharpSpring é descrita em detalhes na documentação de conformidade de segurança do Authorize.net.
A SharpSpring não está em conformidade com a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA). Esta norma é exigida ao processar informações pessoalmente identificáveis relacionadas a informações de saúde do consumidor. Como norma, a SharpSpring não armazena este tipo de dados. Como a SharpSpring não faz parte de indústria regulada pelos padrões HIPAA, a SharpSpring não precisa dessa conformidade para operar.
Compliance e o GDPR
O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) é uma lei que expande as leis originais de dados da União Europeia (a Diretiva de Proteção de Dados de 1995). A lei foi promulgada em 27 de abril de 2016 e implementada em 25 de maio de 2018. Como tal, a SharpSpring atualizou termos, políticas de privacidade e infraestrutura para estar em total conformidade com o GDPR.
Proteção de Dados
A política da SharpSpring sobre a respeito da classificação e tratamento seguro de dados é uma Política de Classificação de Informações que identifica todos os dados do cliente como confidenciais. Também, aborda os requisitos de marcação e manuseio da documentação.
Todos os dados confidenciais compartilhados entre o aplicativo, a extranet, os endpoints de rastreamento e os servidores são transferidos usando protocolos TLS (Transport Security Layer) com cifras atualizadas utilizando (no mínimo) chaves de criptografia RSA de 256 bits. As credenciais são armazenadas em um formato criptografado em disco, para impedir que os dados sejam comprometidos caso ocorra um roubo de dados ou uma violação dos mesmos.
A equipe da SharpSpring é treinada em questões de proteção de dados logo na primeira semana de trabalho. Além disso, há um treinamento anual de aprimoramento de funcionários por meio do Programa de Conscientização de Segurança dos Funcionários. Existem inúmeras políticas e procedimentos dentro da organização que impõem o dever e a responsabilidade de proteger as informações pessoalmente identificáveis dos dados de clientes dos clientes e das agências - para todos os funcionários, funcionários temporários, contratados e estagiários.
O dever de observar todas as políticas e procedimentos é descrito nas cartas de oferta de emprego da SharpSpring e é uma condição obrigatória de emprego na SharpSpring. As Informações Pessoais Identificáveis (PII) dos clientes da SharpSpring são rotuladas como Dados Confidenciais do Cliente, e essas obrigações de confidencialidade são explicitamente definidas nas cartas de oferta do funcionário da SharpSpring. Estas obrigações de confidencialidade são uma condição obrigatória de emprego e também são aplicáveis após a rescisão de contrato.
Existem procedimentos para garantir a confiabilidade do pessoal empregado. A competência dos funcionários da SharpSpring é um elemento-chave do ambiente controlado. A SharpSpring está comprometida com o treinamento e desenvolvimento contínuo de seus funcionários. Este compromisso com a competência é expresso nas políticas de pessoal da SharpSpring e nos programas de recursos humanos relacionados. Indicadores específicos do compromisso com o desenvolvimento de funcionários incluem: políticas de recrutamento e contratação, investimento em treinamento e desenvolvimento e monitoramento de desempenho.
O compromisso da SharpSpring com a competência começa com o recrutamento, que é responsabilidade conjunta do Departamento de Recursos Humanos e da unidade de negócios ou gerentes de departamento. As decisões de contratação são baseadas em vários fatores: formação acadêmica, experiência relevante anterior, realizações passadas e evidência de integridade e comportamento ético. Como em todas as políticas da SharpSpring, a violação da proteção de dados é uma ofensa disciplinar que pode resultar em rescisão de contrato. Os funcionários da SharpSpring são mantidos atualizados sobre questões de segurança no setor, bem como ameaças específicas à empresa.
A equipe de TI da SharpSpring gerencia e rastreia todos os dispositivos e equipamentos da empresa. No emprego, as estações de trabalho são emitidas. A SharpSpring possui uma política de gerenciamento de ativos documentada, que é rigorosamente seguida.
Sistema de Gerenciamento de Segurança da Informação
A SharpSpring realiza avaliações de risco com relação à confidencialidade, integridade e disponibilidade. Como parte do Framework de Segurança da SharpSpring, o impacto resultante da perda de confidencialidade, integridade e disponibilidade de ativos é avaliado como parte dos procedimentos de Gerenciamento de Riscos da organização.
A SharpSpring considera a disponibilidade da solução para o cliente na perspectiva do tempo de uptime da rede e do hardware, sendo que a disponibilidade de serviços é um fator da mais alta importância. Os provedores de hospedagem da SharpSpring - Google Cloud Platform (GCP) e Amazon Web Services (AWS) - fornecem controles, processos e configurações particularmente fortes para garantir o máximo de tempo de uptime possível.
O Sistema de Gerenciamento de Segurança da Informação da SharpSpring usa uma abordagem baseada em risco para implementar e monitorar controles de segurança onde os requisitos são considerados necessários. O Framework é continuamente ampliado e aprimorado por meio de políticas, controles e educação do usuário. As etapas gerais que são repetidas e seguidas são as seguintes: PLAN, DO, CHECK, ACT.
A SharpSpring não é certificada pela estrutura da ISO 27001 e, portanto, não pode fornecer prova de certificação. Dito isso, a SharpSpring coloca a máxima importância em garantir a segurança de seus próprios dados e estender a mesma proteção que um serviço aos clientes. Todos os aspectos da arquitetura de aplicativos da web, design de produtos, mecanismos de segurança e processos internos da SharpSpring foram estabelecidos de acordo com as especificações ISO/IEC 27001.
A SharpSpring é hospedada quase inteiramente dentro do Google Cloud Platform e utiliza sua rede Virtual Private Cloud. As únicas redes de interface são os escritórios da SharpSpring através de uma rede privada virtual segura (VPN), que é estritamente controlada. A SharpSpring hospeda a totalidade de sua arquitetura de servidor nos datacenters do Google Cloud Platform e utiliza serviços adicionais com o Amazon Web Services:
-
O Google conquistou as certificações da ISO 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e centros de dados que atendem o Google Cloud Platform.
-
A certificação ISO 27001 da Amazon Web Services aumenta o total de serviços no escopo para 33.
Política de Segurança da Informação da SharpSpring
A SharpSpring tem uma política de segurança documentada - e políticas relacionadas - para manter a sua infraestrutura segura. Tais políticas, geralmente, não estão disponíveis para os clientes, pois os documentos são classificados como proprietários, de acordo com a Política de Classificação de Informações da SharpSpring. A Política de Segurança da Informação é revisada, no mínimo, anualmente (ou mais cedo, quando ocorrem mudanças significativas) para garantir precisão, adequação e eficácia contínuas. Para garantir que os dados dos clientes permaneçam seguros, a SharpSpring aborda as seguintes áreas críticas de segurança: segurança física, infraestrutura de rede e operações de segurança.
A SharpSpring proíbe o compartilhamento de políticas e documentação de procedimentos com clientes atuais ou potenciais. Todas as políticas da SharpSpring são consideradas informações proprietárias de acordo com a Política de Classificação de Informações da SharpSpring. Como tal, a informação contida nestes documentos é considerada proprietária. Compartilhá-las poderia comprometer a segurança dos clientes e da infraestrutura.
A segurança para a infraestrutura de rede é garantida pela implementação adequada dos padrões de segurança do setor (autenticação, autorização, criptografia de alta qualidade, múltiplos controles de segurança, firewalls, filtros de pacotes, sistemas de detecção / prevenção de intrusões, monitoramento e auditoria contínuos). A segurança operacional da SharpSpring consiste em processos e políticas de negócios que seguem as melhores práticas de segurança, a fim de limitar o acesso a informações confidenciais e manter uma forte segurança ao longo do tempo.
Organização Interna
A engenharia de confiabilidade do site (SRE) da SharpSpring e a segurança do sistema apoiam ativamente a segurança da informação dentro da SharpSpring através de uma direção clara, comprometimento, atribuição explícita e reconhecimento das responsabilidades da segurança da informação - e de todos os outras as áreas da empresa.
A SharpSpring atribuiu a responsabilidade pela segurança das informações à Equipe de Segurança da Informação. A equipe, por sua vez, revisou e aprovou coletivamente o Sistema de Gerenciamento de Segurança da Informação, que demonstra o compromisso com o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria do Sistema. A Equipe coordena com a equipe jurídica da SharpSpring para garantir a conformidade com todas as leis e regulamentações locais, estaduais e federais que afetam a SharpSpring. As equipes de Segurança e Jurídica reúnem-se regularmente para discutir novas regulamentações que possam afetar a segurança da informação, seja em um cliente ou em nível corporativo. Além disso, a SharpSpring realiza auditorias internas regulares em operações, controles de segurança, processos e políticas. Os resultados dessas auditorias não estão disponíveis para partes externas.
No que diz respeito à revisão independente, a abordagem da SharpSpring ao gerenciamento da segurança da informação e sua implementação (como objetivos de controle, controles, políticas, regras, processos e procedimentos para segurança da informação) é revisada independentemente, em intervalos planejados, e quando mudanças significativas na implementação da segurança ocorrer. O Sistema é auditado internamente anualmente, e uma equipe é responsável pelas avaliações de risco relativas à segurança da informação.
A SharpSpring realiza avaliações de risco em seus fornecedores e terceiros. Fornecedores terceirizados que são identificados como tendo um impacto na segurança da prestação de serviços da SharpSpring são avaliados. Os fornecedores considerados como tendo um nível de risco suficientemente alto têm avaliações de risco formais executadas anualmente para ajudar a reduzir tais níveis. Essas avaliações são consideradas confidenciais de acordo com a Política de Classificação de Informações e não podem ser compartilhadas com os clientes.
Recursos Humanos
Novos processos de segurança nas contratação - como verificação de histórico, criação de contas de usuário e treinamento inicial de conscientização de segurança - são controlados por processos formais estabelecidos pela política de segurança da informação da SharpSpring. Da mesma forma, processos formais de offboard são documentados e seguidos. Atividades de encerramento, incluindo entrevistas de saída, revogação de privilégios de sistema, desativação de contas e recuperação de ativos de propriedade da empresa também são controladas por processos formais. As listas de acesso para sistemas críticos internos são revisadas periodicamente.
A SharpSpring implementou processos e procedimentos de conscientização de segurança, que incluem pelo menos um boletim bianual de conscientização de segurança e treinamento obrigatório de conscientização de segurança. A SharpSpring entende a importância de como um funcionário pode ser alvo de um ataque, e essa mensagem é divulgada para toda a empresa.
As alterações e atualizações na política de segurança são comunicadas a todos os funcionários por meio de e-mails internos boletins da intranet e por meio de treinamento de segurança semestral. Novos funcionários são informados sobre a Política de Segurança da SharpSpring durante atividades de orientação, e cada funcionário assina um formulário de confirmação de segurança. Cada funcionário também deve seguir obrigações de confidencialidade estritas, que são incorporadas dentro de um acordo de confidencialidade.
Os técnicos de TI da SharpSpring estão disponíveis 24 horas por dia, 7 dias por semana, para lidar com qualquer falha crítica do sistema que possa surgir em sua infraestrutura de TI. Para atender às suas necessidades de negócios e garantir a continuidade dos serviços, os técnicos de TI da SharpSpring são certificados em diversas áreas de especialização.
Segurança Física e Ambiental
Medidas de segurança física estão em vigor nos data centers e escritórios da SharpSpring. A segurança física da arquitetura da SharpSpring é garantida através de seus provedores de hospedagem compatíveis com o ISO 27001, Google e Amazon. Como a SharpSpring é hospedado inteiramente dentro do Google, ela não lida com armazenamento externo. A SharpSpring segue as práticas recomendadas para integridade e segurança de dados, incluindo um cronograma de backup robusto, restaurações testadas e backups externos em uma plataforma totalmente diferente. Os backups externos são criptografados e armazenados dessa forma.
A SharpSpring não usa mainframes. No entanto, como mencionado acima, usa várias distribuições do Linux dentro da infraestrutura do aplicativo. Ainda, usa vários tipos de datastores, dependendo da finalidade. Estes incluem uma mistura de MariaDB, MySQL, MongoDB, Redis e alguns armazenamentos de dados únicos para projetos internos sendo que a maioria são instâncias dedicadas. A SharpSpring não hospeda seus próprios nameservers. O DNS da SharpSpring é hospedado pela plataforma Google Cloud. Para o DNS interno, a SharpSpring possui alguns servidores de ligação usados pelo tráfego de não produção. A maior parte dos e-mails é enviada através de diferentes serviços de terceiros.
Backup e Monitoramento de Dados
A política de backup da SharpSpring exige backups completos dos dados do cliente diariamente, com backups incrementais sendo executados a cada hora. O período de retenção de dados da SharpSpring para backups de dados do cliente é de sete dias. A SharpSpring replica esses backups para um local externo em conformidade com sua própria política de recuperação de desastres. A SharpSpring se preocupa com os dados de seus clientes e implementou mecanismos de alta disponibilidade (HA) para reduzir a necessidade de recuperação. A SharpSpring faz um esforço ao máximo para manter os dados do cliente. No entanto, a SharpSpring não fornece nenhuma garantia direta contra a perda de dados do cliente.
Os procedimentos de backup seguem as regras básicas da tríade da CIA: confidencialidade, integridade e disponibilidade. Eles são verificados quanto à integridade, criptografados, e transferidos com segurança e armazenados tanto no local quanto fora dele. Esses backups são então verificados por meio de testes de reanimação.
A SharpSpring utiliza tecnologias de código aberto, como o Zabbix e o OpenVAS, para monitorar a disponibilidade de seus serviços, obter métricas de desempenho de aplicativos web e executar verificações regulares de vulnerabilidades em sua infraestrutura crítica. A SharpSpring também reforça esses processos, realizando regularmente testes de penetração em sua própria arquitetura. O monitoramento e os processos de alerta associados da SharpSpring são testados regularmente para garantir que a equipe do Centro de Operações de Rede (NOC) da SharpSpring seja notificada imediatamente, após a ocorrência de qualquer anomalia de operação ou interrupção de serviço.
Controle de Acesso
A SharpSpring mantém uma política de controle de acesso interno. A política de controle de acesso define procedimentos para a criação de novas contas de usuário e inclusão de privilégios e direitos iniciais. Da mesma forma, define processos de alteração e remoção dos privilégios de usuário e o encerramento das contas de usuário. As políticas de controle de acesso da SharpSpring baseiam-se nos princípios de menor privilégio e segregação de funções. A segregação é imposta por meio de políticas de controle de acesso baseadas em função e controles técnicos. Redes locais virtuais (VLANs) também são usadas para fornecer segregação lógica de servidores, laptops e departamentos.
Ainda, a SharpSpring definiu claramente as responsabilidades de segurança da informação, documentadas na Política de Segurança de Informações da SharpSpring. Essas responsabilidades por procedimentos específicos de segurança da informação são claramente definidas e documentadas neste documento.
Quanto ao acesso remoto, a SharpSpring permite que os seus colaboradores trabalhem remotamente, a fim de facilitar o equilíbrio entre vida profissional e pessoal dos mesmos. Para isso, permite o acesso de funcionários remotos por meio da autenticação de rede privada virtual (VPN), que é protegida pelo IPSec (Internet Protocol Security). Existe uma política para manter a segurança em todo o processo de provisionamento de acesso remoto e para gerenciar as preocupações de segurança mediante interface com a rede desmilitarizada (DMZ) da SharpSpring.
Desenvolvimento e Manutenção de Sistemas
As implantações de infraestrutura e desenvolvimento da SharpSpring, incluindo alterações no código-fonte, são revisadas por pares, testadas pela equipe de Garantia de Qualidade (QA) e auditadas antes de cada teste e subida em produção. Isso é feito para garantir a consistência e testar possíveis vulnerabilidades e ameaças conhecidas para garantir a estabilidade do produto - usando uma série de testes automatizados e manuais.
A SharpSpring testa completamente o conteúdo que libera. Usando o comportamento e o desenvolvimento orientado a testes (TDD), a equipe dedicada de controle de qualidade da SharpSpring executa simulações em instâncias isoladas do aplicativo, para garantir que nenhum dado do cliente seja acidentalmente corrompido ou contaminado. Após o teste ter sido concluído com sucesso, o Gerente de QA permite que o merge do deployment na build principal. Essa build que é liberada como a instância atual que os clientes utilizam.
Continuidade de Negócios e Recuperação de Desastres
O processo de gerenciamento de continuidade de negócios da SharpSpring para recuperação em caso de incidentes ou falhas do sistema envolve assegurar que a infraestrutura de rede e o atendimento ao cliente voltem rapidamente às operações normais, após qualquer evento de interrupção de serviço. Os esforços de continuidade de negócios da SharpSpring são consistentes e seguem as melhores práticas do setor.
Além disso, a política de recuperação de desastres documentada está em vigor para todas as facetas do negócio. Tais políticas e planos serão implementados nos programas de segurança e treinamento dos funcionários para 2018.
Os elementos do plano de continuidade de negócios e recuperação de desastres da SharpSpring são testados de maneira escalonada para minimizar o potencial de impacto na prestação de serviços ao cliente. O teste é realizado de acordo com um cronograma formal.
Programa de Avaliação e Gestão de Vulnerabilidades
A nossa equipe de Avaliação de Vulnerabilidade realiza auditorias internas, usando uma combinação de ferramentas open source e proprietárias - tais como OpenVAS e Nessus - para avaliar as "pegadas" deixadas pela plataforma em redes externas à plataforma. A SharpSpring proíbe, ainda, avaliações de vulnerabilidades não autorizadas ou testes de penetração realizados nos serviços da SharpSpring, seja interna ou externamente.
Comentários
0 comentário
Artigo fechado para comentários.