Política de Segurança

Atualizado em: 23 de outubro de 2019

Infraestrutura, práticas e políticas de segurança da ManageEngine para soluções em nuvem

A segurança e proteção de dados são primordiais para nós. Levamos a segurança muito a sério e desenvolvemos um conjunto abrangente de práticas, tecnologias e políticas para ajudar a assegurar que os seus dados estejam seguros.

Se você atualmente mantém seus dados em computadores pessoais ou em seus próprios servidores, provavelmente oferecemos um nível de segurança melhor do que você tem hoje.

Este documento descreve alguns dos processos que foram implementados para garantir que seus dados estejam protegidos. Nossas práticas de segurança são agrupadas em quatro áreas diferentes: segurança física, segurança de rede, processos de pessoas e redundância e continuidade dos negócios.

Segurança física

Nossos centros de dados são hospedados em algumas das instalações mais seguras disponíveis atualmente, em locais que são protegidos contra ataques físicos e lógicos, assim como de catástrofes naturais como terremotos, incêndios, inundações, etc.

  • Segurança 7x24x365: Os data centers que hospedam os seus dados são vigiados 24 horas por dia, sete dias por semana, todos os dias do ano por guardas de segurança privada.

  • Monitoramento em vídeo:  Cada centro de dados é monitorado 24x7x365 com câmeras de visão noturna.

  • Entrada controlada: O acesso aos centros de dados em nuvem da ManageEngine é totalmente restrito a um pequeno grupo de pessoas autorizadas.

  • Autenticação biométrica, de dois fatores: Duas formas de autenticação, incluindo a biométrica, devem ser utilizadas juntas, ao mesmo tempo, para entrar em um centro de dados em nuvem da ManageEngine.

  • Locais secretos: Os servidores em nuvem da ManageEngine estão localizados em locais de aparência genérica e secretos, para torná-los menos propensos a serem alvos de um ataque.

  • Paredes blindadas: Os servidores em nuvem da ManageEngine são protegidos de maneira segura dentro de paredes blindadas.

Segurança de rede

Nossa equipe de segurança de rede e infraestrutura ajudam a proteger os seus dados contra os ataques eletrônicos mais sofisticados. Veja a seguir um subconjunto de nossas práticas de segurança de rede. Elas são intencionalmente descritos de uma maneira muito geral, pois saber quais táticas usamos é algo que os hackers podem se aproveitar. Se a sua organização precisar de mais detalhes sobre nossa segurança de rede, solicitamos que entre em contato conosco.

  • Comunicação segura: Toda a transmissão de dados para os serviços em nuvem da ManageEngine é criptografada usando protocolos TLS 1.2, e utilizamos os certificados emitidos por uma autoridade de certificação (CA) com base em SHA-256, assegurando que nossos usuários tenham uma conexão segura de seus navegadores até os nossos serviços. Utilizamos as cifras  e chaves mais fortes como AES_CBC/AES_GCM 256 bit/128-bit para criptografia, SHA2 para autenticação de mensagens e ECDHE_RSA como o mecanismo de troca de chaves.

  • IDS/IPS: Nossa rede é protegida e verificada por sistemas de detecção e prevenção de ataques certificados e altamente potentes.

  • Controle e auditoria: Todos os acessos são controlados e auditados.

  • Sistema seguro/fragmentado: As aplicações em nuvem da ManageEngine são executadas em um sistema operacional seguro e fragmentado, desenvolvido para segurança, que minimiza as vulnerabilidades.

  • Escaneamento de vírus: O tráfego que entra nos servidores em nuvem da ManageEngine é automaticamente escaneado quanto a vírus, usando os protocolos de escaneamento inovadores e atualizados regularmente.

Processos de pessoas

Projetar e executar a infraestrutura do centro de dados requer não apenas tecnologia, mas uma abordagem disciplinada para os processos. Isso inclui políticas sobre escalação, gerenciamento, compartilhamento de conhecimentos, riscos e operações rotineiras. A equipe de segurança em nuvem da ManageEngine tem anos de experiência em design e na operação de centros de dados, melhorando continuamente nossos processos ao longo do tempo. A equipe de segurança em nuvem da ManageEngine desenvolveu práticas de classe mundial para administrar a segurança e os riscos para a proteção de dados.

  • Funcionários selecionados: Somente os funcionários com o nível de liberação mais alto têm acesso aos dados armazenados em nosso centro de dados. O acesso dos funcionários é registrado e as senhas são estritamente reguladas. Limitamos o acesso aos dados dos clientes somente a um grupo seleto de funcionários, que precisam de acesso para prover suporte e solucionar problemas em nome de nossos clientes.

  • Auditorias: As auditorias são realizadas regularmente, e todo o processo é analisado pela gerência.

  • De acordo com a necessidade: O acesso às informações do centro de dados e aos dados dos clientes é realizado conforme necessário, e somente quando aprovado pelo cliente (ou seja, como parte de um incidente de suporte) ou pela gerência de segurança sênior para fornecer suporte e manutenção.

Redundância e continuidade dos negócios

Uma das filosofias fundamentais da computação em nuvem é o reconhecimento e a suposição de que os recursos do computador, em algum momento, falharão. Projetamos os nossos sistemas e infraestrutura com isso em mente.

  • Arquitetura de grade distribuída: Os serviços em nuvem da ManageEngine são executados em uma arquitetura de grade distribuída, o que significa que um servidor pode falhar sem um impacto significativo no sistema ou em nossos serviços. De fato, em qualquer semana, vários servidores falham sem que nossos clientes se quer percebam. O sistema foi desenvolvido sob a premissa de que os servidores poderão, eventualmente, falhar – implementamos nossa infraestrutura levando isso em consideração.

  • Redundância de energia: A ManageEngine configura seus servidores em nuvem para a redundância de energia, desde a fonte até a transmissão.

  • Redundância de Internet: Os serviços em nuvem da ManageEngine estão conectados ao mundo—e a você—através de vários Tier-1 ISPs. Então, se ocorrer alguma falha ou algum atraso, você ainda pode acessar suas aplicações e informações de maneira confiável.

  • Dispositivos de rede redundantes: Os serviços em nuvem da ManageEngine são executados em dispositivos de rede redundantes (switches, roteadores, gateways de segurança) para evitar um único ponto de falha em qualquer nível na rede interna.

  • Resfriamento e temperatura redundantes: Os recursos intensos de computação geram muito calor e, portanto, precisam ser resfriados para garantir uma operação sem problemas. Os servidores em nuvem da ManageEngine são apoiados por sistemas HVAC redundantes com N+2 e sistemas de controle de temperatura.

  • Espelhamento geográfico: Os dados dos clientes são espelhados em uma localização geográfica separada para fins de recuperação no caso de desastres e para continuidade dos negócios. Observação: O espelhamento geográfico está disponível em produtos e planos selecionados.

  • Prevenção de incêndio: Os centros de dados em nuvem da ManageEngine são protegidos por sistemas industriais padrão de prevenção de incêndio e controle.

  • Proteção e backup de dados: O backup periódico dos dados dos usuários é realizado através de vários servidores, ajudando a proteger os dados em caso de falha de hardware ou de um desastre.

Certificações de segurança

ISO/IEC 27001 é uma das normas de segurança internacionais independentes mais conhecidas. Este certificado é concedido a organizações que estejam em conformidade com os altos padrões globais da ISO. A ManageEngine conquistou a certificação ISO/IEC 27001:2013 para Aplicações, Sistemas, Pessoas, Tecnologia e Processos.

ISO/IEC 27017 oferece orientações para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo orientações adicionais para a implementação de controles relevantes especificados na norma ISO/IEC 27002, juntamente com as orientações de implementação de controles adicionais que se relacionam especificamente com serviços em nuvem. A ManageEngine é certificada pela ISO/IEC 27017 — Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem.

ISO/IEC 27018 estabelece os objetivos, controles e orientações comumente aceitos para a implementação de medidas de salvaguarda para PII processados em uma nuvem pública. Esses controles são uma extensão da ISO/IEC 27001 e ISO/IEC 27002. A ManageEngine é certificada pela ISO/IEC 27018, que fornece um guia para as organizações preocupadas sobre como seus provedores em nuvem estão lidando com informações pessoalmente identificáveis (PII).

SOC 2 Tipo 2 é uma avaliação da eficácia do design e operação dos controles, se eles atendem aos critérios dos Princípios de Serviços de Confiança da AICPA (American Institute of Certified Public Accountants). A ManageEngine está em conformidade com SOC 2 Tipo 2 (segurança, confidencialidade, integridade do processamento, disponibilidade e privacidade).

Para mais informações sobre a nossa política de segurança e certificações de conformidade, entre em contato com security@manageengine.com.

Visite o Centro de Resposta de Segurança ManageEngine (MESRC) para saber mais sobre as nossas práticas de segurança.

bsi-assurance bsi-assurance bsi-assurance bsi-assurance

Relatórios de vulnerabilidade:

A ManageEngine valoriza o trabalho realizado pelos pesquisadores de segurança para aumentar a segurança dos nossos serviços oferecidos, e estamos empenhados em trabalhar com a comunidade para verificar, reproduzir e responder às vulnerabilidades legítimas e relatadas. As vulnerabilidades podem ser reportadas em https://bugbounty.zoho.com.