Introdução
A ManageEngine fornece soluções gerenciamento de TI para milhões de usuários em todo o mundo enfrentarem seus desafios. A segurança é um componente essencial em tudo o que ofertamos e se reflete em nossos funcionários, processos e produtos.
Esta página descreve práticas, políticas e infraestrutura de segurança para nossas soluções em nuvem.
O conteúdo abordado traz tópicos como segurança de dados, operacional e física para explicar como
oferecemos segurança aos nossos clientes.
Atualizado em: 21 de setembro de 2020
Visão geral
Nossa estratégia de segurança inclui os seguintes componentes
- Segurança organizacional
- Segurança física
- Segurança de infraestrutura
- Segurança dos dados
- Identificação e controle de acesso
- Segurança operacional
- Gerenciamento de incidentes
- Divulgações responsáveis
- Gerenciamento de fornecedores
- Controles do cliente para segurança
Segurança organizacional
Temos um sistema de Gerenciamento de Segurança da Informação (SGSI) que leva em consideração nossos objetivos de segurança, bem como os riscos e medidas de mitigação de todas as partes interessadas. Aplicamos políticas e procedimentos rigorosos que incluem a segurança, disponibilidade, processamento, integridade e confidencialidade das informações do cliente.
Verificações de histórico de funcionários
Todo funcionário é submetido a uma verificação de antecedentes. Nós contratamos agências externas renomadas para realizar essa verificação em nosso nome. Fazemos isso para verificar seu registro criminal, qualquer registro anterior de emprego e formação educacional. Até que essa verificação seja realizada, o funcionário não receberá nenhuma tarefa que possa representar um risco para os usuários.
Conscientização sobre segurança
Cada funcionário assina um contrato de confidencialidade e uma política de normas de uso aceitável quando é integrado. Ele é treinado em segurança da informação, privacidade e conformidade. Além disso, avaliamos sua compreensão por meio de testes e questionários para determinar os tópicos sobre os quais eles precisam de treinamento adicional. Fornecemos treinamento sobre certos aspectos de segurança necessários, dependendo da função deles.
Treinamos continuamente nossos funcionários em nossa comunidade interna, onde fazem check-in regulares para que se mantenham atualizados sobre as práticas de segurança da empresa. Também realizamos eventos internos para aumentar a conscientização e promover inovações de segurança e privacidade.
Equipes de segurança dedicadas e privacidade
Temos equipes dedicadas de segurança e privacidade para implementação e gerenciamento dos nossos programas. As equipes desenvolvem e mantêm nossos sistemas de defesa, processos de revisão de segurança e monitoram constantemente nossas redes para identificar atividades suspeitas. Eles fornecem às nossas equipes de engenharia serviços de consultoria específicos de domínio e orientação.
Auditoria interna e conformidade
Temos uma equipe de conformidade dedicada a revisar procedimentos e políticas da Zoho para alinhá-los com os padrões e determinar quais controles, processos e sistemas são necessários para atender aos padrões. Essa equipe também realiza auditorias internas regulares e possibilita avaliações independentes de terceiros.
Para obter mais detalhes, consulte nosso portfólio de conformidade.
Segurança de endpoint
Todas as estações de trabalho concedidas aos funcionários da Zoho executam versão atualizada do sistema operacional e são configuradas com software antivírus. Elas são configuradas para atender aos nossos padrões de segurança, que exigem que todas as estações de trabalho sejam adequadamente configuradas, com aplicação de patches, rastreadas e monitoradas pelas soluções de gerenciamento de endpoint Zoho. Por padrão, essas estações de trabalho são seguras porque estão configuradas para criptografar dados em repouso, possuem senhas seguras e são bloqueadas quando estão ociosas. Os dispositivos móveis usados para fins comerciais estão inscritos no sistema de gerenciamento de dispositivos móveis para garantir que atendam aos nossos padrões de segurança.
Segurança física
No local de trabalho
Controlamos o acesso aos nossos recursos (edifícios, infraestrutura e instalações), que inclui o consumo, entrada e utilização através de cartões de acesso. Fornecemos aos funcionários, contratados, fornecedores e visitantes diferentes cartões de acesso que permitem apenas o acesso que corresponde exclusivamente ao objetivo de entrada nas instalações. A equipe de Recursos Humanos (RH) estabelece e mantém os objetivos específicos relacionados às funções. Mantemos registros de acesso para detectar e corrigir anormalidades.
Nos centros de dados
Em nossos centros de dados, um provedor de co-localização assume a responsabilidade pela construção, refrigeração, energia e segurança física, enquanto fornecemos os servidores e o armazenamento. O acesso aos centros de dados é limitado a um pequeno grupo de pessoas autorizadas. Qualquer outro acesso é gerado como um ticket e somente será permitido após a aprovação dos respectivos gerentes. Para se entrar nas instalações a autenticação de dois fatores e autenticação biométrica adicionais são necessárias. No caso de um incidente, estão disponíveis logs de acesso, registros de atividades e imagens de câmera.
Monitoramento
Monitoramos todos os movimentos de entrada e saída de nossas instalações em todos os nossos centros de negócios e centros de dados usando câmeras instaladas de acordo com as regulamentações locais. A filmagem de backup está disponível por um período de tempo, dependendo dos requisitos para este local.
Segurança de infraestrutura
Segurança de rede
Nossas técnicas e monitoramento de segurança de rede são projetadas para fornecer várias camadas de proteção e defesa. Usamos firewalls para impedir que nossa rede sofra acesso não autorizado e tráfego indesejável. Nossos sistemas são segmentados em redes separadas para proteger dados confidenciais. Os sistemas que suportam atividades de teste e desenvolvimento estão hospedados em uma rede separada dos sistemas que suportam a infraestrutura de produção da ManageEngine.
Monitoramos o acesso ao firewall de maneira rigorosa e regular. Um engenheiro de rede verifica todas as alterações feitas no firewall todos os dias. Essas alterações também são revisadas a cada três meses para que as regras sejam atualizadas. Nossa equipe dedicada do Centro de Operações de Rede (NOC) monitora a infraestrutura e as aplicações, quanto a inconsistências ou atividades suspeitas. Todos os parâmetros importantes são monitorados continuamente com nossa ferramenta proprietária e notificações são acionadas em qualquer instância no caso de atividade anormal ou suspeita em nosso ambiente de produção.
Redundância de rede
Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura grid distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas no servidor. Se um servidor falhar, os usuários poderão prosseguir sem problemas, pois seus dados e serviços em nuvem da ManageEngine continuarão disponíveis.
Também usamos vários switches, roteadores e gateways de segurança para garantir redundância no nível do dispositivo. Isso evita ponto único de falhas na rede interna.
Prevenção contra DDoS
Utilizamos tecnologias de provedores de serviços estabelecidos e confiáveis para impedir ataques DDoS em nossos servidores. Essas tecnologias oferecem vários recursos de mitigação de DDoS para evitar interrupções causadas por tráfego ruim, ao mesmo tempo permitindo um bom tráfego. Isso mantém nossos sites, aplicações e APIs altamente disponíveis e com alto desempenho.
Proteção do servidor
Todos os servidores implantados para atividades de desenvolvimento e teste são protegidos (desativando-se portas e as contas não utilizadas, removendo senhas padrão, etc.). A imagem básica do sistema operacional (SO) possui proteção de servidor incorporada. Essa imagem do SO é fornecida nos servidores para garantir consistência entre os servidores.
Detecção e prevenção de invasões
Nosso mecanismo de detecção de intrusões leva em consideração os sinais baseados em host em dispositivos individuais e os sinais baseados em rede dos pontos de monitoramento em nossos servidores. O acesso do administrador, o uso de comandos privilegiados e as chamadas do sistema em todos os servidores da nossa rede de produção são registrados. As regras e a inteligência da máquina com base nesses dados alertam os engenheiros de segurança sobre possíveis incidentes. Na camada de aplicação, temos nosso WAF proprietário, que usa regras de whitelist e blacklist.
No nível ISP (Provedor de Serviço de Internet), uma abordagem de segurança em várias camadas é implementada com depuração, roteamento de rede, limite de taxa e filtragem para impedir ataques na camada de rede à camada de aplicação. Este sistema fornece tráfego limpo, serviço proxy confiável e notificação instantânea de ataques, se houver.
Segurança dos dados
Segurança por design
Toda mudança e novo recurso são regulamentados por uma política de gerenciamento de mudanças para garantir que todas as mudanças na aplicação sejam autorizadas antes de serem implementadas na produção. Nosso Ciclo de Vida de Desenvolvimento de Software (SDLC) exige aderência com as diretrizes de codificação segura e a revisão das alterações de código para possíveis problemas de segurança, através de nossas ferramentas de análise, scanners de vulnerabilidade e processos de revisão manual.
Nossa estrutura de segurança é robusta e baseada nos padrões OWASP, implementada na camada de aplicações, fornece funcionalidades para mitigar ameaças como injeção de SQL, erro de scripts entre sites e ataques DOS na camada de aplicações.
Isolamento de dados
Nossa estrutura distribui e mantém espaço em nuvem para os nossos clientes. Os serviços de dados de cada cliente são separados logicamente dos dados de outros clientes usando uma série de protocolos seguros na estrutura. Isso garante que nenhum serviço de dados esteja acessível para outro cliente.
Eles são armazenados em nossos servidores quando você usa nossos serviços. Seus dados pertencem a você e não à Zoho. Não compartilhamos esses dados com terceiros sem o seu consentimento.
Criptografia
Em trânsito: Todos os dados do cliente transmitidos aos nossos servidores através de redes públicas são protegidos por fortes protocolos de criptografia. Exigimos que todas as conexões com nossos servidores usem criptografia TLS 1.2/1.3 (Transport Layer Security), com cifras fortes para todas as conexões, incluindo acesso à Web, acesso à API, nossas aplicações móveis e acesso ao cliente de e-mail IMAP/POP/SMTP. Isso garante uma conexão segura, permitindo a autenticação de ambas as partes envolvidas na conexão e a criptografia na transmissão de dados. Além disso, nossos serviços de e-mail usam protocolos TLS oportunista por padrão. Ele criptografa e entrega e-mails com segurança, reduzindo a interceptação entre os servidores de correio para os quais os serviços de mesmo nível suportam esse protocolo.
Temos suporte total para o PFS (Perfect Forward Secrecy) com nossas conexões criptografadas e isso garante que, mesmo que de alguma forma sejamos comprometidos no futuro, nenhuma comunicação anterior poderá ser descriptografada. Habilitamos o cabeçalho HTTP - Segurança Restrita de Transporte (HSTS) para todas as nossas conexões da web. Isso indica que todos os navegadores modernos se conectam a nós, apenas por meio de uma conexão criptografada, mesmo se você inserir um URL em uma página não segura em nosso site. Também marcamos todos os nossos cookies de autenticação como seguros na Web.
Em repouso: Os dados sensíveis do cliente em repouso são criptografados usando o Advanced Encryption Standard (AES) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você optar. Nós possuímos e mantemos as chaves usando nosso Serviço de Gerenciamento de Chaves (KMS) interno. Fornecemos camadas adicionais de segurança criptografando as chaves de criptografia de dados usando chaves mestras. As chaves mestras e as chaves de criptografia de dados são fisicamente separadas e armazenadas em diferentes servidores com acesso limitado.
Por favor, clique aqui para informação detalhada sobre criptografia na Zoho e refina a tabela abaixo para entender que tipo de dados criptografamos em nossos serviços.
| Serviços | Campos criptografados |
|---|---|
| ServiceDesk Plus Cloud | Campos personalizados que contêm informações pessoais, todos os arquivos |
| Endpoint Central Cloud | Tokens de autenticação, senhas, todos os arquivos |
| Mobile Device Manager Plus | Tokens de autenticação, senhas, todos os arquivos |
| Patch Manager Plus | Tokens de autenticação, senhas, todos os arquivos |
| Remote Access Plus | Tokens de autenticação, senhas, todos os arquivos |
| Log360 Cloud | Tokens, senhas para relatórios exportados, informação sensíveis embutida no em URLs de convite, domínio e credenciais da máquina, identificadores exclusivos de agentes |
| Identity Manager Plus | Propriedades do diretório, tokens de diretório e código de autorização |
| Site24x7 | ID de e-mail, número de celular, nome do host e endereço IP |
| Alarms One | ID de e-mail, número de celular, nome de host do agente e endereço IP, detalhes de autenticação de aplicações integrados de terceiros, chaves de API e tokens. |
Retenção e descarte de dados
Enquanto você usar os serviços em nuvem da ManageEngine, armazenamos os dados em sua conta. Encerrada sua conta de usuário Zoho, seus dados serão excluídos do banco de dados ativo durante a próxima limpeza, que ocorre a cada 6 meses. Os dados excluídos do banco de dados ativo serão excluídos dos backups após 3 meses. No caso de sua conta não paga ficar inativa por um período ininterrupto de 120 dias, nós a encerraremos após aviso prévio e com a opção de fazermos backup de seus dados.
Um fornecedor certificado e autorizado descarta dispositivos inutilizáveis. Até lá, categorizamos e armazenamos em um local seguro. Todas as informações contidas nos dispositivos são formatadas antes do descarte. Desmagnetizamos os discos rígidos e os destruímos fisicamente usando um triturador. Excluímos e destruímos os SSDs - Dispositivos de estado sólido, com falhas.
Identificação e controle de acesso
Autenticação única (SSO)
O Zoho oferece autenticação única (SSO), que permite aos usuários acessarem vários serviços com a mesma página de logon e credenciais de autenticação. Quando você faz logon em um serviço Zoho, isso acontece apenas através do serviço integrado IAM (Gerenciamento de identidade e acesso). Também fornecemos suporte para SAML para autenticação única, o que permite que os clientes integrem o provedor de identidade da empresa, como LDAP e ADFS, ao se logarem nos serviços da Zoho.
O SSO simplifica o processo de logon, garante a conformidade, fornece controle e relatórios de acesso eficazes e reduz o risco de fadiga da senha e, consequentemente, de senhas fracas.
Autenticação multifator
Ele fornece uma camada extra de segurança ao exigir uma verificação adicional que o usuário deve possuir, além da senha. Isso pode reduzir muito o risco de acesso não autorizado se a senha de um usuário for comprometida. Você pode configurar a autenticação multifator usando Zoho One-Auth. Atualmente, diferentes modos, como Touch ID biométrico ou Face ID, Notificação Push, código QR e OTP baseado em tempo são suportados.
Também oferecemos suporte para chave de segurança de hardware Yubikey para autenticação multifator.
Acesso de administrador
Utilizamos controles técnicos de acesso e diretrizes internas para impedir que os funcionários acessem arbitrariamente os dados do usuário. Aderimos aos princípios de privilégios mínimos e privilégios baseados em funções para minimizar o risco de exposição de dados.
O acesso aos ambientes de produção é gerenciado através de um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por frase secreta. Além disso, possibilitamos esse acesso por meio de uma rede separada, com regras mais rígidas e dispositivos protegidos. Também logamos em todas as operações e as verificamos regularmente.
Segurança operacional
Registro e monitoramento
Monitoramos e analisamos informações de serviços, tráfego interno de dados em nossa rede e o uso de dispositivos e terminais. Registramos essas informações na forma de logs de eventos, logs de monitoramento, erros, administrador e operador. Esses logs são monitorados e analisados automaticamente em uma extensão apropriada para identificar anomalias, como atividades incomuns nas contas dos funcionários ou tentativas de acesso aos dados do cliente. Armazenamos-os um servidor seguro, isolado do acesso total ao sistema para gerenciar centralmente o controle e garantir disponibilidade.
Em todos os serviços em nuvem da ManageEngine, os clientes possuem logs de auditoria detalhados que cobrem todos as operações de atualização e exclusão executados pelo usuário.
Gerenciamento de vulnerabilidades
Temos um processo dedicado de gerenciamento de vulnerabilidades que procura ativamente ameaças à segurança usando uma combinação de ferramentas de verificação certificadas de terceiros e ferramentas internas, bem como testes de penetração manuais e automatizados. Além disso, nossa equipe de segurança analisa ativamente os relatórios de entrada e monitora listas de discussão públicas, postagens de blog e wikis para identificar incidentes que podem afetar a infraestrutura da empresa.
Identificada uma vulnerabilidade que precisa ser tratada, ela é registrada, priorizada de acordo com a gravidade e atribuída a um proprietário. Continuamos a identificar os riscos envolvidos e rastrear a vulnerabilidade até que ela seja encerrada, aplicando patches nos sistemas com vulnerabilidades ou usando os controles relevantes.
Detecção de malware e spam
Verificamos todos os arquivos de usuário com o nosso sistema automatizado, o que impede a propagação de malware no ecossistema Zoho. Nosso mecanismo antimalware personalizado recebe regularmente atualizações de informações de ameaças externas e arquivos de listas negras com base em assinaturas e padrões maliciosos. Além disso, nosso mecanismo de detecção proprietário, combinado com técnicas de aprendizado de máquina, garante que os dados do cliente sejam protegidos contra malware.
A Zoho Corporation suporta autenticação, geração de relatórios e conformidade de mensagens baseadas em domínio (DMARC) para evitar spam. DMARC usa SPF e DKIM para verificar a autenticidade das mensagens. Também usamos nosso mecanismo de detecção proprietário para identificar abusos dos serviços em nuvem da ManageEngine, como atividades de phishing e spam. Também temos uma equipe especial de antispam que monitora os sinais do software e processa reclamações de abuso. Para mais informações, clique aqui
Backup
Executamos backups incrementais diários e backups completos semanais de nossos bancos de dados usando Zoho Admin Console (ZAC) para os DCs da ManageEngine. Os dados de backup no DC são armazenados no mesmo local e criptografados usando o algoritmo AES-265 bit. Nós os armazenamos no formato tar.gz. Todos os dados de backup são mantidos por um período de três meses. Se um cliente solicitar a recuperação de dados dentro do período de retenção, iremos restaurá-los e fornecer acesso seguro a eles. O cronograma para restauração de dados depende do tamanho dos dados e da complexidade envolvida.
Para garantir a segurança dos dados de backup, usamos uma matriz redundante de discos independentes (RAID) nos servidores de backup. Todos os backups são agendados e monitorados regularmente. Em caso de falha, uma nova execução é iniciada e corrigida imediatamente. As verificações de integridade e validação dos backups completos são feitas automaticamente pela ferramenta ZAC. Do seu lado, é altamente recomendável agendar backups regulares de seus dados, exportando-os dos respectivos serviços Zoho e armazenando-os localmente em sua infraestrutura.
Recuperação de desastres e continuidade dos negócios
Os dados das aplicações são armazenados em uma memória resiliente que é replicada nos centros de dados. Os dados no controlador de domínio primário são replicados quase em tempo real no controlador de domínio secundário. Em caso de falha do CD primário, o CD secundário assume o controle e as operações continuam sem problemas, com perda mínima ou nenhuma de tempo. Ambos os centros estão equipados com múltiplos ISPs.
Temos sistemas de energia de emergência, controle de temperatura e proteção contra incêndio como medidas físicas para garantir a continuidade dos negócios. Essas medidas nos ajudam a obter resiliência. Além da redundância de dados, temos um plano para nossas principais atividades, como suporte e gerenciamento de infraestrutura.
Gerenciamento de incidentes
Relatórios
Temos uma equipe dedicada de gerenciamento de incidentes. Vamos informá-lo sobre os incidentes em nosso ambiente, os quais se aplicam a você e sobre as medidas adequadas que você pode ter que tomar. Rastreamos e encerramos com as ações corretivas apropriadas. Quando aplicável, forneceremos as evidências necessárias para aqueles que se aplicam a você. Além disso, implementamos controles para impedir que situações semelhantes se repitam.
Respondemos a incidentes de segurança ou proteção de dados que você nos reportar via incidents@zohocorp.com, com prioridade alta. No caso de incidentes gerais, notificaremos os usuários através de nossos blogs, fóruns e mídias sociais. No caso de um incidente específico para um único usuário ou organização, notificaremos a parte interessada por e-mail (usando o endereço de e-mail principal do administrador da organização registrado conosco).
Notificação de violação
Como controladores de dados, informamos a Autoridade de Proteção de Dados relacionada de uma violação, dentro de 72 horas após o conhecimento da mesma, de acordo com o Regulamento Geral sobre a Proteção de Dados (GDPR). Dependendo dos requisitos específicos, também notificamos os clientes, se necessário. Como processadores de dados, informamos imediatamente os controladores de dados em questão.
Divulgação responsável
Existe um programa de relatório de vulnerabilidade “Bug Bounty”, da comunidade de pesquisadores, que reconhece e recompensa o trabalho dos pesquisadores de segurança. Estamos comprometidos em trabalhar com a comunidade para revisar, reproduzir, responder, legitimar e implementar soluções apropriadas para as vulnerabilidades relatadas.
Se você encontrar algum problema, envie-os para https://bugbounty.zohocorp.com. Se você deseja relatar vulnerabilidades diretamente para nós, envie um e-mail para security@manageengine.com.
Gerenciamento de fornecedores e de terceiros
Avaliamos e qualificamos nossos fornecedores com base em nossas diretrizes de gerenciamento de fornecedores. Envolvemos novos fornecedores depois de entendermos seus processos de entrega de serviços e executar avaliações de risco. Tomamos as medidas apropriadas para garantir que nossa situação de segurança seja mantida celebrando acordos que exigem que os fornecedores adiram aos compromissos de confidencialidade, disponibilidade e integridade que assumimos com nossos clientes. Monitoramos o funcionamento eficaz das medidas de segurança e de monitoramento de processo da organização através da realização de revisões periódicas dos seus controles.
Controles do cliente para segurança
Até agora, discutimos o que fazemos para fornecer segurança em diferentes frentes aos nossos clientes. Aqui estão as coisas que você, como cliente, pode fazer para garantir a segurança do seu lado:
- Escolha uma senha exclusiva e forte e proteja-a.
- Use a autenticação multifator
- Use as versões mais recentes do navegador, o sistema operacional móvel e as aplicações móveis atualizados para garantir que eles estejam com aplicações de patches contra vulnerabilidades de segurança e para usar os recursos de segurança mais recentes.
- Tome as devidas precauções ao compartilhar dados de nosso ambiente em nuvem.
- Classifique suas informações em informações pessoais ou confidenciais e identifique-as de acordo.
- Monitore os dispositivos associados à sua conta, as sessões ativas da Web e o acesso de terceiros para detectar anomalias de atividades em sua conta e gerencie funções e permissões para sua conta.
- Cuidado com as ameaças de phishing e malware quando estiver pesquisando e-mails, sites e links desconhecidos que aproveitam suas informações confidenciais, fingindo ser a Zoho ou qualquer outro serviço no qual você confia.
Para saber mais sobre como você pode trabalhar com a Zoho para obter um ambiente de nuvem seguro, leia nosso recurso em Compreendendo a responsabilidade compartilhada com Zoho. Fornecemos uma análise completa sobre o modelo de responsabilidade compartilhada e como nossos clientes e a Zoho podem colaborar, bem como assumir responsabilidade individual em relação à segurança e privacidade na nuvem.
Conclusão
A segurança dos seus dados é um direito seu e uma missão sem fim da Zoho. Continuaremos a trabalhar duro para manter seus dados seguros, como sempre fizemos. Para qualquer outra dúvida sobre este tópico, dê uma olhada em nossas FAQs ou escreva para security@manageengine.com.