Segurança Blitzz

Atualizado: 28 de outubro de 2020

Introdução A

Blitzz fornece um produto Software as a Service (SaaS) para milhões de usuários em todo o mundo para resolver seus problemas de negócios. Cumprimos os requisitos de segurança e privacidade da indústria. Esta página cobre tópicos como segurança de dados, segurança operacional e segurança física para explicar como oferecemos segurança aos nossos clientes.

TABLE OF CONTENTS

• Introdução A
  • Resumo
  • Controles de segurança técnica e física
  • Sua responsabilidade em manter a segurança
• Segurança organizacional
  • Verificações de antecedentes dos
  • Conscientização sobre segurança
  • Equipes dedicadas de segurança e privacidadeequipes
  • Auditoria interna e conformidade
  • Segurança de endpoint
• Segurança física
  • No local de trabalho (Escritório)
  • Nos data centers,
• Segurança de infraestrutura Segurança de
  • rede
  • Redundância de rede
  • Prevenção de DDoS
  • Proteção de
  • Detecção e prevenção de
• Segurança de dados
  • Seguro desde o projeto
  • Armazenamento personalizado para isolamento de dados
• Criptografia
  • Retenção e descarte de dados
• Identidade e controle de acesso
  • Single Sign-On (SSO) A
  • Multi-Factor Authentication
  • Acesso administrativo
• Segurança operacional
  • Registro e monitoramento Monitoramos
  • Gerenciamento de vulnerabilidade
  • Recuperação de desastres e continuidade de negócios
• gerenciamento de incidentes
  • Relatórios de
  • Notificação de violação Notificamos
• Gerenciamento de fornecedores e terceiros
• Conclusão

Resumo

• do aplicativo da Web: Todo o acesso ao aplicativo Blitzz (por exemplo, relatórios, portal do agente, portal do administrador) é protegido por TLS (HTTPS), garantindo que as informações sejam criptografadas. Forçamos HTTPS em todas as conexões, para que os dados em trânsito sejam criptografados com TLS.

• Chamada de vídeo: A criptografia AES de 128 bits aprovada pelo NIST ponto a ponto é usada para todas as comunicações de vídeo e áudio.

• Dados: criptografia de volume total e chaves criptografadas AES de 256 bits usadas em dados armazenados em repouso. 

• Servidores: Hospedam todos os servidores nos EUA ( a menos que você solicite uma região de dados diferente), em data centers com certificação SOC 1, SOC 2 e ISO 27001. Nossos data centers têm segurança 24 horas por dia, sistemas de energia totalmente redundantes, autenticação de dois fatores e registros de auditoria física.

• PII: informações de identificação pessoal PII (e PHI - informações de saúde do paciente) não são armazenadas, como resultado, esses dados não podem ser roubados dos servidores Blitzz.

• Monitoramento: detecção de intrusão OSSEC, monitoramento de integridade de arquivo, monitoramento de log, verificação de raiz e monitoramento de processo. 

• Avaliações: Avaliações anuais de risco realizadas.

• Auditoria: Políticas e procedimentos de auditoria, registro, backup e recuperação de desastres para manter registros de auditoria detalhados de todos os sistemas internos.

• Avaliações: Conduza regularmente testes de penetração externos de fornecedores terceirizados (relatórios disponíveis para clientes corporativos).

• Bug Bounty: Tenha um programa de bug bounty, para trabalhar com pesquisadores de segurança quando eles identificam vulnerabilidades de segurança em potencial. Respondemos a todos os relatórios dentro de 24 horas a partir do envio.

Controles de segurança técnica e física

• Todos os dados do Blitzz são armazenados na infraestrutura de datacenter altamente segura do Microsoft Azure com seus controles físicos padrão do setor. O sistema de suporte Blitzz, a central de ajuda e o site público são armazenados de forma independente para garantir o tempo de atividade e disponibilidade em toda a plataforma. Para obter uma lista de todas as acreditações de segurança atuais, consulte o portal de confiança do Azure: https://servicetrust.microsoft.com/.

• Apenas alguns poucos administradores e desenvolvedores seniores selecionados têm acesso aos servidores onde os dados são armazenados e o código deve ser aprovado por várias partes e passar por testes automatizados antes da implantação. Fazemos o possível para garantir o equilíbrio certo entre suporte e infraestrutura segura. Os funcionários só têm permissão para acessar os dados de nível de provedor com base na necessidade de saber para cumprir funções de trabalho.

• Durante o processo de inscrição do provedor, Blitzz fornecerá feedback imediato sobre a força da senha para exigir senhas fortes. Veja nossa política de senha forte.

• Todas as senhas de provedor são armazenadas usando funções de hashing criptográfico unilateral, de forma que mesmo a equipe e os desenvolvedores do Blitzz não possam ver ou abusar das senhas do provedor. Os usuários convidados não têm uma conta.

• Os usuários corporativos podem usar seu próprio IdP usando a integração de SAML com Blitzz

Sua responsabilidade em manter a segurança

Para cumprir o GDPR e as leis de privacidade, você também tem algumas responsabilidades ao usar o Blitzz:

• Não compartilhe seu e-mail de login e senha

• Mantenha seu navegador, sistema operacional e software atualizado

• Instalar e utilizar programas antivírus e firewall

 

Segurança organizacional

Temos um Sistema de Gestão de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança e os riscos e mitigações que afetam todas as partes interessadas. Empregamos políticas e procedimentos rígidos que abrangem a segurança, disponibilidade, processamento, integridade e confidencialidade dos dados do cliente.

Verificações de antecedentes dos

funcionários Cada funcionário passa por um processo de verificação de antecedentes. Contratamos agências externas de renome para realizar essa verificação em nosso nome. Fazemos isso para verificar seus registros criminais, registros de empregos anteriores, se houver, e histórico educacional. Até que esta verificação seja realizada, o funcionário não recebe tarefas que possam representar riscos para os usuários. 

Conscientização sobre segurança

Cada funcionário, ao ser admitido, assina um contrato de confidencialidade e política de uso aceitável, após o qual passa por treinamento em segurança da informação, privacidade e compliance. Além disso, avaliamos sua compreensão por meio de testes e questionários para determinar em quais tópicos eles precisam de mais treinamento. Oferecemos treinamento sobre aspectos específicos de segurança, que eles podem exigir com base em suas funções.

Educamos nossos funcionários continuamente sobre segurança da informação, privacidade e conformidade em nossa comunidade interna, onde nossos funcionários fazem check-in regularmente, para mantê-los atualizados sobre as práticas de segurança da organização. Também realizamos eventos internos para aumentar a conscientização e impulsionar a inovação em segurança e privacidade.

Equipes dedicadas de segurança e privacidadeequipes

Temosdedicadas de segurança e privacidade que implementam e gerenciam nossos programas de segurança e privacidade. Eles projetam e mantêm nossos sistemas de defesa, desenvolvem processos de revisão para segurança e monitoram constantemente nossas redes para detectar atividades suspeitas. Eles fornecem serviços de consultoria específicos de domínio e orientação para nossas equipes de engenharia.

Auditoria interna e conformidade

Temos uma equipe de conformidade dedicada para revisar procedimentos e políticas em Blitzz para alinhá-los com os padrões e determinar quais controles, processos e sistemas são necessários para atender aos padrões. Essa equipe também realiza auditorias internas periódicas e facilita auditorias independentes e avaliações por terceiros.

Segurança de endpoint

Todas as estações de trabalho emitidas para funcionários da Blitzz executam uma versão de sistema operacional atualizada e são configuradas com software antivírus. Eles são configurados de forma que cumpram nossos padrões de segurança, que exigem que todas as estações de trabalho sejam configuradas, corrigidas e rastreadas e monitoradas pelas soluções de gerenciamento de endpoint da Blitzz. Essas estações de trabalho são seguras por padrão, pois são configuradas para criptografar dados em repouso, têm senhas fortes e são bloqueadas quando estão ociosas. Os dispositivos móveis usados para fins comerciais são registrados no sistema de gerenciamento de dispositivos móveis para garantir que atendam aos nossos padrões de segurança.

 

Segurança física

No local de trabalho (Escritório)

Controlamos o acesso aos nossos recursos (edifícios, infraestrutura e instalações), onde o acesso inclui consumo, entrada e utilização, com a ajuda de cartões de acesso. Fornecemos aos funcionários, empreiteiros, fornecedores e visitantes diferentes chaves de acesso que apenas permitem o acesso estritamente específico para a finalidade da sua entrada nas instalações. A equipe de Recursos Humanos (RH) estabelece e mantém os objetivos específicos das funções. Mantemos registros de acesso para detectar e resolver anomalias.

Nos data centers,

Blitzz fez parceria com o Microsoft Azure para Cloud Infracture para armazenar e processar todos os dados. Em nossos data centers, o MS Azure assume a responsabilidade pela construção, refrigeração, energia e segurança física. O acesso aos Data Centers é restrito a um pequeno grupo de pessoal autorizado. Qualquer outro acesso é gerado como um ticket e permitido somente após a aprovação dos respectivos gerentes. A autenticação de dois fatores adicional e a autenticação biométrica são necessárias para entrar nas instalações. Registros de acesso, registros de atividades e imagens de câmeras estão disponíveis no caso de ocorrer um incidente. Mais detalhes: https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

 

Segurança de infraestrutura Segurança de

rede

Nossas técnicas de segurança e monitoramento de rede são projetadas para fornecer várias camadas de proteção e defesa. Usamos firewalls para evitar que nossa rede tenha acesso não autorizado e tráfego indesejável. Nossos sistemas são segmentados em redes separadas para proteger dados confidenciais. Os sistemas que suportam atividades de teste e desenvolvimento são hospedados em uma rede separada dos sistemas que suportam a infraestrutura de produção da Blitzz.

Monitoramos o acesso ao firewall com uma programação regular e rígida. Um engenheiro de rede revisa todas as alterações feitas no firewall. Além disso, essas mudanças são revisadas a cada três meses para atualizar e revisar as regras. Nossa equipe dedicada do Centro de Operações de Rede monitora a infraestrutura e os aplicativos para detectar quaisquer discrepâncias ou atividades suspeitas. Todos os parâmetros cruciais são monitorados continuamente usando nossa ferramenta proprietária e notificações são acionadas em qualquer instância de atividades anormais ou suspeitas em nosso ambiente de produção.

Redundância de rede

Todos os componentes de nossa plataforma são redundantes. Usamos uma arquitetura de grade distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas de servidor. Se houver uma falha no servidor, os usuários podem continuar como de costume, porque seus dados e serviços Blitzz ainda estarão disponíveis para eles.

Saiba mais sobre recuperação de desastres aqui.

Prevenção de DDoS

Usamos tecnologias de provedores de serviços bem estabelecidos e confiáveis para evitar ataques de DDoS em nossos servidores. Essas tecnologias oferecem vários recursos de mitigação de DDoS para evitar interrupções causadas por tráfego ruim, permitindo a passagem de tráfego bom. Isso mantém nossos sites, aplicativos e APIs altamente disponíveis e funcionando.

Proteção de

servidor Todos os servidores provisionados para atividades de desenvolvimento e teste são protegidos (desativando portas e contas não utilizadas, removendo senhas padrão, etc.). A imagem do sistema operacional (SO) de base tem proteção de servidor embutida, e essa imagem do SO é provisionada nos servidores para garantir a consistência entre os servidores.

Detecção e prevenção de

intrusão Nosso mecanismo de detecção de intrusão toma nota dos sinais baseados em host em dispositivos individuais e sinais baseados em rede de pontos de monitoramento em nossos servidores. Acesso administrativo, uso de comandos privilegiados e chamadas de sistema em todos os servidores em nossa rede de produção são registrados. As regras e a inteligência da máquina construídas com base nesses dados fornecem aos engenheiros de segurança avisos sobre possíveis incidentes. Na camada de aplicativo, temos nosso WAF proprietário, que opera tanto em regras de lista branca quanto de lista negra.

 

Segurança de dados

Seguro desde o projeto

Cada mudança e um novo recurso são regidos por uma política de gerenciamento de mudanças para garantir que todas as mudanças de aplicativos sejam autorizadas antes da implementação na produção. Nosso ciclo de vida de desenvolvimento de software (SDLC) exige a adesão às diretrizes de codificação seguras, bem como uma triagem de alterações de código para possíveis problemas de segurança com nossas ferramentas de análise de código, scanners de vulnerabilidade e processos de revisão manual.

Nossa estrutura de segurança robusta com base nos padrões OWASP, implementada na camada de aplicativo, fornece funcionalidades para mitigar ameaças, como injeção de SQL, script entre sites e ataques DOS na camada de aplicativo. 

Armazenamento personalizado para isolamento de dados

Nossa estrutura distribui e mantém o espaço na nuvem para nossos clientes, permitindo que eles usem seus próprios pontos de extremidade de armazenamento na AWS ou Azure (saiba mais). Isso garante que nenhum dado de mídia do cliente se torne acessível a outro cliente. Isso também garante que seus dados sejam de sua propriedade, e não de Blitzz. Não compartilhamos esses dados com terceiros.

 

Criptografia

em repouso: os dados confidenciais do cliente em repouso são criptografados usando o Advanced Encryption Standard (AES) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você optar. Nós possuímos e mantemos as chaves usando nosso Serviço de Gerenciamento de Chaves (KMS) interno. Fornecemos camadas adicionais de segurança criptografando as chaves de criptografia de dados usando chaves mestras. As chaves mestras e as chaves de criptografia de dados são fisicamente separadas e armazenadas em diferentes servidores com acesso limitado.

Em trânsito: Todos os dados do cliente transmitidos aos nossos servidores em redes públicas são protegidos por meio de protocolos de criptografia fortes. Exigimos que todas as conexões com nossos servidores usem criptografia Transport Layer Security (TLS 1.2 / 1.3) com criptografias fortes, para todas as conexões, incluindo acesso à web, acesso à API e nossos aplicativos móveis. Isso garante uma conexão segura, permitindo a autenticação de ambas as partes envolvidas na conexão e criptografando os dados a serem transferidos. Além disso, para e-mail, nossos serviços aproveitam TLS oportunista por padrão. O TLS criptografa e entrega e-mail com segurança, reduzindo a escuta clandestina entre os servidores de e-mail onde os serviços de mesmo nível suportam esse protocolo.

Habilitamos o cabeçalho HTTP Strict Transport Security (HSTS) para todas as nossas conexões da web. Isso diz a todos os navegadores modernos para se conectarem a nós apenas por meio de uma conexão criptografada, mesmo se você digitar um URL para uma página não segura em nosso site.

Retenção e descarte de dados

Consulte este artigo sobre armazenamento de dados e duração com base em seu plano.

 

Identidade e controle de acesso

Single Sign-On (SSO) A

Blizz oferece single sign-on (SSO) que permite aos usuários acessar vários serviços usando a mesma página de login e credenciais de autenticação. Também oferecemos suporte para SAML para logon único, o que possibilita aos clientes integrar o provedor de identidade de sua empresa, como LDAP, ADFS, ao fazer logon no Blitzz.

O SSO simplifica o processo de login, garante conformidade, fornece controle de acesso e relatórios eficazes e reduz o risco de fadiga da senha e, portanto, de senhas fracas.

Multi-Factor Authentication

MFA fornece uma camada extra de segurança, exigindo uma verificação adicional que o usuário deve possuir, além da senha. Isso pode reduzir muito o risco de acesso não autorizado se a senha de um usuário for comprometida. Você pode configurar a autenticação multifator usando SSO. Com base em sua configuração, diferentes modos como Touch ID biométrico ou Face ID, Notificação Push, código QR e OTP baseado em tempo podem ser suportados. Também podemos oferecer suporte à chave de segurança de hardware Yubikey para autenticação multifator.

Acesso administrativo

Empregamos controles técnicos de acesso e políticas internas para proibir os funcionários de acessarem arbitrariamente os dados do usuário. Nós aderimos aos princípios de privilégio mínimo e permissões baseadas em função para minimizar o risco de exposição de dados.

O acesso aos ambientes de produção é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por senha. Além disso, facilitamos esse acesso por meio de uma rede separada com regras mais rígidas e dispositivos reforçados. Além disso, registramos todas as operações e as auditamos periodicamente.

 

Segurança operacional

Registro e monitoramento Monitoramos

e analisamos informações coletadas de serviços, tráfego interno em nossa rede e uso de dispositivos e terminais. Registramos essas informações na forma de registros de eventos, registros de auditoria, registros de falhas, registros do administrador e registros do operador. Esses registros são monitorados e analisados automaticamente em uma extensão razoável, o que nos ajuda a identificar anomalias, como atividades incomuns nas contas de funcionários ou tentativas de acessar dados de clientes. Armazenamos esses registros em um servidor seguro, isolado do acesso total ao sistema, gerenciamos o controle de acesso centralmente e garantimos a disponibilidade. 

Gerenciamento de vulnerabilidade

Temos um processo de gerenciamento de vulnerabilidade dedicado que verifica ativamente as ameaças à segurança usando uma combinação de ferramentas de verificação de terceiros certificadas e ferramentas internas, e com esforços de teste de penetração automatizado e manual. Além disso, nossa equipe de segurança analisa ativamente os relatórios de segurança de entrada e monitora listas de e-mail públicas, postagens de blogs e wikis para detectar incidentes de segurança que podem afetar a infraestrutura da empresa.

Assim que identificamos uma vulnerabilidade que requer correção, ela é registrada, priorizada de acordo com a gravidade e atribuída a um proprietário. Identificamos ainda os riscos associados e rastreamos a vulnerabilidade até que seja fechada, corrigindo os sistemas vulneráveis ou aplicando controles relevantes.

Recuperação de desastres e continuidade de negócios

Consulte nosso Recuperação de desastres e continuidade de negócios artigopara obter mais detalhes.

 

gerenciamento de incidentes

Relatórios de

Temos uma equipe dedicada de gerenciamento de incidentes. Notificamos você sobre os incidentes em nosso ambiente que se aplicam a você, juntamente com as medidas adequadas que você pode precisar tomar. Rastreamos e fechamos os incidentes com ações corretivas apropriadas. Sempre que aplicável, identificaremos, coletaremos, adquiriremos e forneceremos as evidências necessárias na forma de registros de inscrição e auditoria relativos a incidentes que se aplicam a você. Além disso, implementamos controles para prevenir a recorrência de situações semelhantes.

Respondemos aos incidentes de segurança ou privacidade que você nos relatar através de incidents@blitzz.co, com alta prioridade. Para incidentes gerais, notificaremos os usuários por meio de nossos blogs, fóruns e mídia social. Para incidentes específicos a um usuário individual ou uma organização, notificaremos a parte em questão por e-mail (usando o endereço de e-mail principal do administrador da Organização registrado conosco).

Notificação de violação Notificamos

a autoridade de proteção de dados em questão sobre uma violação dentro de 72 horas após tomarmos conhecimento dela, de acordo com o Regulamento geral de proteção de dados (GDPR). Dependendo de requisitos específicos, notificamos também os clientes, quando necessário. Nosso Escritório de Segurança da Informação é responsável pela coordenação interna com as equipes internas relevantes para garantir que os clientes sejam informados sobre o incidente / violação com qualquer atraso indevido.

 

Gerenciamento de fornecedores e terceiros

Avaliamos e qualificamos nossos fornecedores com base em nossa política de gerenciamento de fornecedores. Integramos novos fornecedores depois de compreender seus processos para nos fornecer serviços e realizar avaliações de risco. Tomamos as medidas adequadas para garantir que nossa postura de segurança seja mantida, estabelecendo acordos que exigem que os fornecedores cumpram os compromissos de confidencialidade, disponibilidade e integridade que assumimos com nossos clientes. Monitoramos a operação eficaz do processo e das medidas de segurança da organização, realizando revisões periódicas de seus controles.

 

Conclusão

A segurança dos seus dados é um direito seu e uma missão sem fim da Blitzz. Continuaremos a trabalhar duro para manter seus dados seguros como sempre fizemos. Para quaisquer outras perguntas sobre este tópico, escreva para support@blitzz.co.