Política de Segurança

Na Alana AI, levamos a proteção dos dados do cliente extremamente a sério. Esta Política de Segurança descreve as medidas organizacionais e técnicas que a Alana implementa em toda a plataforma, projetadas para impedir o acesso, uso, alteração ou divulgação não autorizados de dados de clientes. A solução Alana opera na Amazon Web Services (“AWS”); essa política descreve as atividades da Alana em sua instância na AWS, a menos que seja especificado de outra forma.

Time de Segurança

Nossa equipe de infraestrutura e segurança inclui pessoas que desempenharam papéis principais na criação, construção e operação de sistemas altamente seguros voltados para a Internet em empresas que vão desde startups a grandes empresas públicas.

Melhores Práticas 

Plano de Resposta a Incidentes

Implementamos um procedimento formal para eventos de segurança e educamos toda a nossa equipe sobre nossas políticas. Quando eventos de segurança são detectados, eles são encaminhados para nosso alias de emergência, as equipes são paginadas, notificadas e montadas para abordar o evento rapidamente. Depois que um evento de segurança é corrigido, escrevemos uma análise post-mortem. A análise é revisada, distribuída em toda a empresa e inclui itens de ação que facilitarão a detecção e a prevenção de um evento semelhante no futuro.

A Alana AI notificará você por escrito imediatamente após a verificação de uma violação de segurança dos serviços Alana AI que afeta seus dados. A notificação descreverá a violação e o status da investigação da Alana AI.

Automação de processos

Temos uma automação funcional usada com frequência para que possamos implementar com segurança e confiabilidade as alterações em nosso aplicativo e na plataforma operacional em questão de minutos. Geralmente, implantamos o código dezenas de vezes por dia, por isso, temos alta confiança de que podemos obter uma correção de segurança rapidamente quando necessário. 

Infraestrutura 

  • Todos os nossos serviços são executados na nuvem. A solução Alana AI não executa seus próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos;

  • Todos os nossos serviços e dados são hospedados em instalações da AWS nos EUA, Brasil e Europa e protegidos pela segurança da AWS, conforme descrito em http://aws.amazon.com/security/sharing-the-security-responsibility. Os serviços da Alana AI foram criados tendo em mente a recuperação de desastres;

  • Toda a nossa infraestrutura está espalhada por centros de dados de 3 AWS (zonas de disponibilidade) e continuará funcionando se qualquer um desses data centers falhar inesperadamente. A Amazon não divulga a localização de seus data centers. Como tal, a Alana AI aproveita os controles ambientais e de segurança física fornecidos pela AWS. Consulte http://aws.amazon.com/security para obter detalhes sobre a infraestrutura de segurança da AWS.

Todos os nossos servidores estão dentro da nossa nuvem virtual privada (VPC) com listas de controle de acesso à rede (ACLs) que impedem que solicitações não autorizadas cheguem à nossa rede interna. A Alana AI utiliza uma solução de backup para data stores que contêm dados do cliente.

Dados 

  • Todos os dados do cliente são armazenados em seu país de origem, desde que suportado pela AWS;

  • Os dados do cliente são armazenados em multi-tenant DataCenters;

  • Nós não temos datastores individuais para cada cliente. No entanto, existem controles rígidos de privacidade em nosso código de aplicativo que são projetados para garantir a privacidade dos dados e impedir que um cliente acesse os dados de outro cliente (por exemplo, separação lógica). Temos muitos testes de unidade e integração para garantir que esses controles de privacidade funcionem conforme o esperado. Esses testes são executados toda vez que nossa base de código é atualizada e até mesmo um único teste falhando impedirá que um novo código seja enviado para a produção;

  • Cada sistema da Alana AI usado para processar os dados do cliente é configurado e monitorado adequadamente usando métodos comercialmente razoáveis, de acordo com os padrões de endurecimento do sistema reconhecidos pelo setor;

  • A Alana AI envolve certos subprocessadores para processar dados do cliente. 

Transferência de Dados

  • Todos os dados enviados de ou para o Alana AI são criptografados em trânsito usando criptografia de 256 bits;

  • Nossos pontos de extremidade de API e aplicativo são somente TLS/SSL e obtêm uma classificação "A +" nos testes do SSL Labs. Isso significa que usamos somente conjuntos de criptografia fortes e recursos como HSTS e Perfect Forward Secrecy totalmente habilitados.

Autenticação

  • Alana AI é servido 100% por https;

  • Não há recursos corporativos ou privilégios adicionais de estar na rede da Alana AI;

  • Temos autenticação de dois fatores (2FA) e políticas de senhas fortes no BitBucket, Google, AWS e Alana AI para garantir o acesso aos serviços em nuvem.

Permissões e Controle de Administração

  • A Alana AI permite que os níveis de permissão sejam definidos para qualquer funcionário com acesso a solução Alana AI;

  • As permissões e o acesso podem ser definidos para incluir configurações de aplicativos, faturamento, dados do usuário ou a capacidade de enviar/editar mensagens manuais e mensagens automáticas.

Monitoramento da aplicação 

  • No nível do aplicativo, produzimos logs de auditoria para todas as atividades, enviamos logs para nossos provedores de serviços para análise e usamos o S3/Glacier para fins de arquivamento;

  • Todo o acesso a aplicativos da Alana é registrado e auditado;

  • Os hosts são usados para fazer login nos dispositivos;

  • Todas as ações realizadas nos consoles de produção ou na aplicação Alana são registradas.

Auditorias e Certificações da aplicação 

  • Nós nos envolvemos anualmente com auditores terceirizados bem conceituados para auditar nossa base de código e trabalhar com eles para resolver possíveis problemas;

  • Usamos tecnologias para fornecer uma trilha de auditoria sobre nossa infraestrutura e a plataforma Alana AI. A auditoria nos permite fazer análises de segurança ad-hoc, acompanhar as alterações feitas em nossa configuração e auditar o acesso a todas as camadas de nossa pilha;

  • Informações sobre certificações de segurança da AWS e obtenção de cópias de relatórios de segurança da AWS estão disponíveis em http://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/;

  • A Alana AI utiliza a solução https://auth0.com para gestão de segurança e autenticação dos clientes. Seu nível de segurança está disponível em https://auth0.com/security.

Processamento de pagamento online 

O processamento de pagamento para compra dos serviços Alana AI por pagamento online é realizado pela Stripe. Para mais informações sobre as práticas de segurança do Stripe, consulte https://stripe.com/docs/security/stripe.

Responsabilidades do Cliente 

  • Gerenciar suas próprias contas de usuário e funções dentro dos serviços da Alana AI;

  • Proteger sua própria conta e credenciais de usuário usando a autenticação de dois fatores baseada em Magic Link para todos os seus funcionários acessando os serviços Alana AI;

  • Conformidade com os termos do contrato de serviços com a Alana AI, inclusive no que diz respeito ao cumprimento das leis;

  • Notificar imediatamente a Alana AI se uma credencial do usuário tiver sido comprometida ou se você suspeitar de possíveis atividades suspeitas que possam afetar negativamente a segurança dos serviços do Alana AI ou de sua conta;

  • Você não pode executar nenhum teste de penetração de segurança ou atividades de avaliação de segurança sem o consentimento expresso por escrito da Alana AI.

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0

Comentários

0 comentário

Artigo fechado para comentários.