Dia efetivo 25 de janeiro de 2019

Na Nexus Edge/Alana, levamos a proteção dos dados do cliente extremamente a sério. Esta Política de Segurança descreve as medidas organizacionais e técnicas que a Nexus Edge implementa em toda a plataforma, projetadas para impedir o acesso, uso, alteração ou divulgação não autorizados de dados de clientes. A solução Alana da Nexus Edge opera na Amazon Web Services (“AWS”); essa política descreve as atividades do Alana em sua instância na AWS, a menos que seja especificado de outra forma.

Time de Segurança

Nossa equipe de infraestrutura e segurança inclui pessoas que desempenharam papéis principais na criação, construção e operação de sistemas altamente seguros voltados para a Internet em empresas que vão desde startups a grandes empresas públicas.

Melhores Práticas 

Plano de Resposta a Incidentes

Implementamos um procedimento formal para eventos de segurança e educamos toda a nossa equipe sobre nossas políticas. Quando eventos de segurança são detectados, eles são encaminhados para nosso alias de emergência, as equipes são paginadas, notificadas e montadas para abordar o evento rapidamente. Depois que um evento de segurança é corrigido, escrevemos uma análise post-mortem. A análise é revisada, distribuída em toda a empresa e inclui itens de ação que facilitarão a detecção e a prevenção de um evento semelhante no futuro.
A Nexus Edge notificará você por escrito imediatamente após a verificação de uma violação de segurança dos serviços Alana que afeta seus dados. A notificação descreverá a violação e o status da investigação da Alana.

Automação de processos

Temos uma automação funcional usada com frequência para que possamos implementar com segurança e confiabilidade as alterações em nosso aplicativo e na plataforma operacional em questão de minutos. Geralmente, implantamos o código dezenas de vezes por dia, por isso, temos alta confiança de que podemos obter uma correção de segurança rapidamente quando necessário. 

Infraestrutura 

  • Todos os nossos serviços são executados na nuvem. A solução Alana da Nexus Edge não executa seus próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.
  • Todos os nossos serviços e dados são hospedados em instalações da AWS nos EUA protegidos pela segurança da AWS, conforme descrito em http://aws.amazon.com/security/sharing-the-security-responsibility. Os serviços da Alana foram criados tendo em mente a recuperação de desastres.
  • Toda a nossa infraestrutura está espalhada por centros de dados de 3 AWS (zonas de disponibilidade) e continuará funcionando se qualquer um desses data centers falhar inesperadamente. A Amazon não divulga a localização de seus data centers. Como tal, a Nexus Edge aproveita os controles ambientais e de segurança física fornecidos pela AWS. Consulte http://aws.amazon.com/security para obter detalhes sobre a infraestrutura de segurança da AWS.

Todos os nossos servidores estão dentro da nossa nuvem virtual privada (VPC) com listas de controle de acesso à rede (ACLs) que impedem que solicitações não autorizadas cheguem à nossa rede interna. A Nexus Edge utiliza uma solução de backup para datastores que contêm dados do cliente.

Dados 

  • Todos os dados do cliente são armazenados nos EUA.
  • Os dados do cliente são armazenados em multi-tenant DataCenters;
  • Nós não temos datastores individuais para cada cliente. No entanto, existem controles rígidos de privacidade em nosso código de aplicativo que são projetados para garantir a privacidade dos dados e impedir que um cliente acesse os dados de outro cliente (por exemplo, separação lógica). Temos muitos testes de unidade e integração para garantir que esses controles de privacidade funcionem conforme o esperado. Esses testes são executados toda vez que nossa base de código é atualizada e até mesmo um único teste falhando impedirá que um novo código seja enviado para a produção.
  • Cada sistema da Nexus Edge usado para processar os dados do cliente é configurado e monitorado adequadamente usando métodos comercialmente razoáveis, de acordo com os padrões de endurecimento do sistema reconhecidos pelo setor.
  • A Nexus Edge envolve certos subprocessadores para processar dados do cliente. 

Transferência de Dados

  • Todos os dados enviados de ou para o Nexus Edge são criptografados em trânsito usando criptografia de 256 bits.
  • Nossos pontos de extremidade de API e aplicativo são somente TLS / SSL e obtêm uma classificação "A +" nos testes do SSL Labs. Isso significa que usamos somente conjuntos de criptografia fortes e recursos como HSTS e Perfect Forward Secrecy totalmente habilitados.

Autenticação

  • Nexus Edge é servido 100% por https. 
  • Não há recursos corporativos ou privilégios adicionais de estar na rede da Nexus Edge.
  • Temos autenticação de dois fatores (2FA) e políticas de senhas fortes no BitBucket, Google, AWS e Alana para garantir o acesso aos serviços em nuvem.

Permissões e Controle de Administração

  • O Nexus Edge permite que os níveis de permissão sejam definidos para qualquer funcionário com acesso a Nexus Edge solução Alana.
  • As permissões e o acesso podem ser definidos para incluir configurações de aplicativos, faturamento, dados do usuário ou a capacidade de enviar/editar mensagens manuais e mensagens automáticas.

Monitoramento da aplicação 

  • No nível do aplicativo, produzimos logs de auditoria para todas as atividades, enviamos logs para nossos provedores de serviços para análise e usamos o S3 / Glacier para fins de arquivamento.
  • Todo o acesso a aplicativos da Nexus Edge é registrado e auditado.
  • Os hosts são usados para fazer login nos dispositivos.
  • Todas as ações realizadas nos consoles de produção ou na aplicação Alana são registradas.

Auditorias e Certificações da aplicação 

  • Nós nos envolvemos anualmente com auditores terceirizados bem conceituados para auditar nossa base de código e trabalhar com eles para resolver possíveis problemas.
  • Usamos tecnologias para fornecer uma trilha de auditoria sobre nossa infraestrutura e a plataforma Alana. A auditoria nos permite fazer análises de segurança ad-hoc, acompanhar as alterações feitas em nossa configuração e auditar o acesso a todas as camadas de nossa pilha.
  • Informações sobre certificações de segurança da AWS e obtenção de cópias de relatórios de segurança da AWS estão disponíveis em http://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/
  • A Nexus Edge utiliza a solução https://auth0.com para gestão de seguranção e autenticação dos clientes. Seu nível de segurança está disponível em https://auth0.com/security

Processamento de pagamento online 

O processamento de pagamento para compra dos serviços Alana por pagamento online é realizado pela Stripe. Para mais informações sobre as práticas de segurança do Stripe, consulte https://stripe.com/docs/security/stripe

Responsabilidades do Cliente 

  • Gerenciar suas próprias contas de usuário e funções dentro dos serviços da Nexus Edge.
  • Proteger sua própria conta e credenciais de usuário usando a autenticação de dois fatores baseada em Magic Link para todos os seus funcionários acessando os serviços Nexus Edge.
  • Conformidade com os termos do contrato de serviços com a Nexus Edge, inclusive no que diz respeito ao cumprimento das leis.
  • Notificar imediatamente a Nexus Edge se uma credencial do usuário tiver sido comprometida ou se você suspeitar de possíveis atividades suspeitas que possam afetar negativamente a segurança dos serviços do Nexus Edge ou de sua conta.
  • Você não pode executar nenhum teste de penetração de segurança ou atividades de avaliação de segurança sem o consentimento expresso por escrito da Nexus Edge.
Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0

Comentários

0 comentário

Artigo fechado para comentários.