Treinamento
Meu Carrinho 0
Menu
Data de Revisão: Fevereiro de 2023

O documento a seguir pretende fornecer um resumo da abordagem da Prosci à privacidade e segurança da informação para nossas soluções voltadas para o cliente.

Nosso Compromisso com a Privacidade e a Segurança

A Prosci está empenhada em manter todos e quaisquer dados coletados de clientes seguros, seguindo os melhores padrões e protocolos do setor. Para reforçar esse compromisso, a Prosci é certificada no padrão ISO 27001, uma norma internacional de segurança da informação. Clique aqui para acessar o certificado ou entre em contato pelo e-mail privacyandsecurity@prosci.com para perguntas adicionais.

Abordagem de Privacidade de Dados

A Prosci tem um forte compromisso com a manutenção da integridade das informações que você nos permite processar e tem uma política de privacidade correspondente. Detalhes sobre as informações que coletamos e como as usamos podem ser encontrados na Política de Privacidade da Prosci em nosso site.

Além disso, a Prosci usa os seguintes subprocessadores de terceiros para nos ajudar a fornecer nossos serviços para você. Esses subprocessadores processam os dados que você insere na seção de “Serviços”, que podem incluir dados pessoais. Como a Prosci, eles também priorizam a privacidade de dados e, quando aplicável, concordam contratualmente em proteger os dados pessoais dos nossos clientes de acordo com os regulamentos e padrões globais de privacidade de dados. A lista de subprocessadores é mantida aqui.

Segurança dos aplicativos voltadas para o cliente da Prosci

Quando a Prosci projetou e desenvolveu soluções voltadas para o cliente, privacidade e segurança de dados eram as principais prioridades. Por essa razão, selecionamos cuidadosamente parceiros que poderiam trabalhar conosco para fornecer o nível de proteção que achávamos necessário.

Selecionamos o ambiente da plataforma de aplicativos Heroku da Salesforce para hospedar e gerenciar nossas soluções. Em particular, optamos por investir em Espaços Privados da Heroku Shield para fornecer aos nossos clientes o protocolo de segurança e privacidade mais rigoroso disponível através da Salesforce.

Após essa decisão, selecionamos cuidadosamente plataformas e parceiros de desenvolvimento que correspondem a esse nível de compromisso com a segurança da informação. Antes que qualquer fornecedor tenha acesso aos sistemas da Prosci, nós estabelecemos acordos de confidencialidade por escrito com o provedor.

A seguir, uma visão geral da abordagem de segurança da solução baseada na plataforma Salesforce Heroku.

Visão Geral da Plataforma Heroku

O banco de dados de códigos e informações do aplicativo para nossas soluções baseadas em hub (atualmente Pre Work, Knowledge Hub, Research Hub e Proxima) está hospedado no Heroku, uma plataforma segura de hospedagem de software em nuvem de propriedade da Salesforce. Heroku é conhecido por sua ênfase na segurança.

O Heroku é uma plataforma de aplicativos em nuvem usada por organizações de todos os tamanhos para implantar e operar aplicativos em todo o mundo. A plataforma foi projetada para proteger os clientes contra ameaças, aplicando controles de segurança em todas as camadas, do físico ao aplicativo, isolando aplicativos e dados do cliente e com sua capacidade de implantar rapidamente atualizações de segurança sem interação ou interrupção do serviço.

Avaliações de Segurança e Conformidade da Heroku

Centro de Dados

A infraestrutura física do Heroku é hospedada e gerenciada nos Centro de Dados seguros da Amazon e utiliza a tecnologia Amazon Web Services (AWS). A Amazon gerencia continuamente o risco e passa por avaliações recorrentes para garantir a conformidade com os padrões do setor. As operações do centro de dados da Amazon são credenciadas com:

  • ISO 27001
  • SOC 1 and SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 Tipo II)
  • PCI Nível 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)
  • PCI

Segurança Física

A Heroku utiliza data centers com certificação ISO 27001 e FISMA gerenciados pela Amazon. Os centros de dados da AWS estão alojados em instalações não descritivas e as instalações têm extensos acostamentos de controle de perímetro ao nível militar, bem como outra proteção natural de limites. O acesso físico é estritamente controlado, tanto no perímetro quanto nos pontos de entrada do edifício por profissionais de segurança, utilizando vigilância por vídeo, sistemas de detecção de intrusão de última geração e outros meios eletrônicos. A equipe autorizada deve passar pela autenticação de dois fatores pelo menos três vezes para acessar os andares do centro de dados. Todos os visitantes e contratados são obrigados a apresentar identificação e a assinar documentos, além de serem constantemente escoltados por colaboradores autorizados.

Para mais informações, veja: Segurança na Nuvem AWS.

Testes de Segurança - Avaliações de Vulnerabilidade

Os testes de segurança de terceiros do aplicativo Heroku são realizados por empresas de consultoria de segurança independentes e respeitáveis. Os resultados de cada avaliação são revisados com os avaliadores, classificados em risco e atribuídos à equipe responsável.

Apoio à Proteção ao Meio Ambiente

  • Detecção e supressão de incêndios

    O equipamento automático de detecção e supressão de incêndio foi instalado para reduzir o risco. O sistema de detecção de incêndio utiliza sensores de detecção de fumaça em todos os ambientes de data center, espaços de infraestrutura mecânica e elétrica, salas de resfriamento e salas de equipamentos de geradores. Essas áreas são protegidas por sistemas de tubulação úmida, pré-ação com duplo bloqueio ou aspersão gasosa.

  • Poder

    Os sistemas de energia elétrica do Centro de Dados são projetados para serem totalmente redundantes e de fácil manutenção sem impacto nas operações, 24 horas por dia e sete dias por semana. As unidades de fonte de alimentação ininterrupta (UPS) fornecem energia de backup em caso de falha elétrica para cargas críticas e essenciais na instalação.

  • Controle do clima e da temperatura

    O controle climático é necessário para manter uma temperatura operacional constante para servidores e outros hardwares, o que evita o superaquecimento e reduz a possibilidade de interrupções de serviço. Os centros de dados são condicionados para manter as condições atmosféricas em níveis ideais. Os sistemas de monitoramento e o pessoal do data center garantem que a temperatura e a umidade estejam nos níveis apropriados.

  • Gestão

    A equipe do centro de dados monitora sistemas e equipamentos de suporte elétrico, mecânico e de vida para que os problemas sejam imediatamente identificados. A manutenção preventiva é realizada para manter a operabilidade contínua do equipamento.

  • Para mais informações, ver: Segurança na Nuvem AWS.

Segurança de Rede

  • Firewalls

    Firewalls são utilizados para restringir o acesso a sistemas de redes externas e entre sistemas internamente. Por padrão, todo o acesso é negado e somente portas e protocolos explicitamente permitidos são permitidos com base na necessidade comercial. Do ponto de vista da rede, os grupos de segurança restringem o acesso apenas às portas e protocolos necessários para a função específica de um sistema para mitigar o risco.

    Os firewalls baseados em host restringem os aplicativos do cliente de estabelecer conexões localhost na interface de rede de loopback para isolar ainda mais os aplicativos do cliente. Os firewalls baseados em host também oferecem a capacidade de limitar ainda mais as conexões de entrada e saída, conforme necessário.

Sistema de Segurança de Heroku

  • Configuração do Sistema

    A configuração e a consistência do sistema são mantidas por meio de imagens padronizadas e atualizadas. O software de gestão é voltado para a configuração e substituição de sistemas por implantações atualizadas. Os sistemas são implantados usando imagens que são atualizadas com alterações de configuração e atualizações de segurança antes da implantação. Uma vez implantados, os sistemas existentes são desativados e substituídos por sistemas atualizados.

Isolamento de Aplicação do Cliente Heroku

Os aplicativos na plataforma Heroku são executados em seu próprio ambiente isolado e não podem interagir com outros aplicativos ou áreas do sistema, para evitar problemas de segurança e estabilidade. Esses ambientes independentes isolam processos, memória e o sistema de arquivos, enquanto os firewalls baseados em host restringem os aplicativos de estabelecer conexões de rede locais. Para informações técnicas adicionais, ver: https://devcenter.heroku.com/articles/dyno-isolation.

Heroku System Authentication

O acesso ao sistema operacional é limitado à equipe do Heroku e requer autenticação de nome de usuário e chave. Os sistemas operacionais não permitem autenticação de senha para impedir ataques de força bruta de senha, roubo e compartilhamento.

Heroku Vulnerability Management

O processo de gerenciamento de vulnerabilidades é projetado para remediar riscos sem interação ou impacto do cliente. O Heroku é notificado sobre vulnerabilidades por meio de avaliações internas e externas, monitoramento de patches do sistema e listas de discussão e serviços de terceiros. Cada vulnerabilidade é revisada para determinar se é aplicável ao ambiente do Heroku, classificada com base no risco e atribuída à equipe apropriada para resolução.

Novos sistemas são implantados com as atualizações mais recentes, correções de segurança e as configurações do Heroku e os sistemas existentes são desativados à medida que os clientes são migrados para as novas instâncias. Esse processo permite que o Heroku mantenha o ambiente atualizado. Como os aplicativos do cliente são executados em ambientes isolados, eles não são afetados por essas atualizações principais do sistema.

Heroku Application Security

O Heroku passa por testes de penetração, avaliações de vulnerabilidade e revisões de código-fonte para avaliar a segurança de nossa aplicação, arquitetura e implementação. As avaliações de segurança de terceiros abrangem todas as áreas de nossa plataforma, incluindo testes para vulnerabilidades de aplicativos da web OWASP Top 10 e isolamento de aplicativos do cliente. O Heroku trabalha em estreita colaboração com avaliadores de segurança externos para revisar a segurança da plataforma e dos aplicativos do Heroku e aplicar as melhores práticas.

Os problemas encontrados nos aplicativos Heroku são classificados por risco, priorizados e atribuídos à equipe responsável pela correção, e a equipe de segurança do Heroku analisa cada plano de correção para garantir a resolução adequada.

Heroku Backups

  • Cliente Aplicações

    Os aplicativos implantados na plataforma Heroku são automaticamente copiados como parte do processo de implantação em armazenamento seguro, controlado por acesso e redundante. A Heroku usa esses backups para implantar nossos aplicativos Prosci em nossa plataforma e para colocar os aplicativos online novamente automaticamente em caso de interrupção.

  • Customer Postgres Bases de Dados

    Os dados são armazenados e gerenciados no Heroku Postgres. A Proteção Contínua mantém os dados seguros no Heroku Postgres. Todas as alterações em seus dados são gravadas em logs de gravação antecipada, que são enviados para armazenamento de alta durabilidade em vários data centers. No caso improvável de falha de hardware irrecuperável, esses logs podem ser automaticamente 'repetidos' para recuperar o banco de dados dentro de segundos de seu último estado conhecido. Para informações técnicas adicionais, consulte: https://devcenter.heroku.com/articles/pgbackups.

Heroku Platform Informações Adicionais

Das nossas imagens de instância aos nossos bancos de dados, cada componente é protegido para armazenamento seguro, controlado por acesso e redundante. Nossa plataforma permite recuperar bancos de dados em segundos do último estado conhecido, restaurar instâncias do sistema a partir de modelos padrão e implantar aplicativos e dados do cliente. Além das práticas de backup padrão, a infraestrutura do Heroku foi projetada para escalar e ser tolerante a falhas, substituindo automaticamente as instâncias com falha e reduzindo a probabilidade de precisar restaurar a partir do backup.

Recuperação de Desastres

Aplicativos e Bancos de Dados do Cliente

Nossa plataforma restaura automaticamente aplicativos de clientes e bancos de dados Heroku Postgres no caso de uma interrupção. A plataforma Heroku foi projetada para implantar dinamicamente aplicativos na nuvem Heroku, monitorar falhas e recuperar componentes de plataforma com falha, incluindo aplicativos e bancos de dados de clientes.

Heroku Privacy

Além da política de privacidade da Prosci, a Heroku publicou uma política de privacidade que define claramente quais dados são coletados e como eles são usados. A Heroku e a Salesforce estão comprometidas com a privacidade e a transparência do cliente.

Tomamos medidas para proteger a privacidade de nossos clientes e proteger os dados armazenados na plataforma. Algumas das proteções inerentes aos produtos da Heroku incluem autenticação, controles de acesso, criptografia de transporte de dados, suporte HTTPS para aplicativos do cliente e a capacidade de os clientes criptografarem dados armazenados. Para mais informações, ver: https://www.heroku.com/policy/privacy.

Acesso aos Dados do Cliente

A Heroku e nossa equipe de desenvolvimento não acessam ou interagem com dados ou aplicativos do cliente como parte de operações normais. Pode haver casos em que a Heroku ou nossos desenvolvedores sejam solicitados a interagir com dados ou aplicativos do cliente a pedido do cliente para fins de suporte ou quando exigido por lei. Os dados do cliente são controlados pelo acesso e todo o acesso pela equipe da Heroku é acompanhado pela aprovação do cliente ou mandato do governo, motivo do acesso, ações tomadas pela equipe e suporte no início e no final.

O pessoal da Prosci só tem acesso em uma base de acesso necessário, especificamente concedido. A Prosci não extrairá ou usará dados específicos do cliente, exceto quando tivermos uma base legal para fazê-lo para preencher o propósito para o qual os dados foram coletados. A Prosci analisará os metadados para que possamos entender quais partes dos sistemas estão sendo usadas para que possamos ver como melhor atender às necessidades do cliente.

Melhores Práticas de Segurança do Cliente da Prosci

Criptografe dados confidenciais em repouso e em trânsito

Os dados do cliente são criptografados em trânsito via HTTPS / SSL e em repouso no banco de dados. Atributos de dados comuns, como senhas e segredos de autorização de dois fatores, são criptografados em repouso e filtrados dos logs de dados como parte dos respectivos esquemas usados para implementar esses recursos.

Exploração madeireira

O Private Space Logging é um recurso que nos permite configurar a captura de log no nível do espaço em vez do nível do aplicativo, fornecendo assim a capacidade de separar logs para ambientes de cliente especificados quando um ambiente Private Shield específico do cliente é solicitado. Para informações técnicas adicionais, consulte: https://devcenter.heroku.com/articles/logging.

Hierarquia de Aplicativos

O conjunto de soluções baseadas no hub Prosci foi construído na pilha Heroku-20. O período de suporte atual do Heroku é até um mínimo de abril de 2025.

Recursos Adicionais

Segurança, Privacidade e Arquitetura da Heroku (SPARC):
https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/misc/heroku-security-privacy-and-architecture.pdf

Espaços Privados do Heroku:
https://www.heroku.com/private-spaces

Escudo de Heroku:
https://www.heroku.com/shield