Visão geral da segurança

Introdução

As informações e os sistemas de informação da Vtiger são ativos valiosos e devem ser protegidos. Isso é conseguido com a implementação de estruturas de segurança adequadas para gerenciar riscos para o Vtiger e garantir a continuidade dos negócios, prevenindo incidentes de segurança e reduzindo seu impacto potencial.

Segurança Organizacional

Políticas e procedimentos são definidos e implementados em domínios e processos de negócios. As políticas são usadas para testar controles e proteger a confidencialidade, disponibilidade e integridade das informações e recursos de informações da Vtiger.

Verificação de funcionários

Cada funcionário é examinado antes de ingressar formalmente na empresa. A Vtiger emprega fornecedores externos para realizar a verificação de antecedentes, que inclui a verificação de antecedentes criminais, registros de empregos anteriores, se houver, e histórico educacional.

Treinamento e conscientização

O conteúdo de conscientização de segurança é criado e circulado em diferentes equipes para garantir que os funcionários da Vtiger estejam cientes das políticas de segurança da informação, ameaças emergentes e vetores de ataque comuns. Além disso, são realizadas sessões de conscientização sobre segurança sobre ameaças, práticas de segurança e políticas da empresa.

Segurança física

A segurança corporativa da Vtiger é responsável por proteger os ativos da Vtiger em locais físicos. A Vtiger monitora as instalações com câmeras de CFTV, as filmagens de backup estão disponíveis até um determinado período, dependendo dos requisitos para esse local. O acesso às instalações é concedido mediante identificação biométrica e de cartões-chave.

No caso de recursos na nuvem (como AWS, DigitalOcean, OVH), os ISPs na nuvem são responsáveis ​​por proteger os ativos e manter controles de segurança adequados. Mais detalhes sobre como os controles de segurança do ISP podem ser encontrados SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Segurança Operacional

Essas práticas focam o monitoramento de sistemas de comunicação em tempo real em busca de ameaças e procedimentos ativos para manter os sistemas de informação protegidos.

Registro e monitoramento

A infraestrutura e os aplicativos são monitorados 24 horas por dia, 7 dias por semana, com ferramentas proprietárias e empresariais. Monitoramos o tráfego interno em nossa rede e o uso de dispositivos e terminais. Registramos logs de eventos, logs de auditoria, logs de falhas, logs do administrador e logs do operador e esses logs são analisados ​​quanto a anomalias e incidentes. Esses logs são armazenados com segurança em uma capacidade isolada.

Avaliação de vulnerabilidade

A Vtiger também emprega uma equipe de segurança para descobrir e solucionar vulnerabilidades em nosso software, além de incentivar nossos membros da comunidade de segurança de software a identificar e relatar vulnerabilidades.

backup

O Vtiger realiza backups de banco de dados e arquivos de todas as instâncias do cliente todos os dias. Esse backup é armazenado em um servidor separado para proteger contra o risco de falha de hardware. No caso de tal falha, o acesso a dados e serviços pode ser restaurado dentro de 8 horas.

Patches de segurança

O Vtiger realiza manutenção preventiva para proteger contra possíveis vulnerabilidades, implantando patches quando e quando eles são desenvolvidos internamente ou de outra forma disponíveis.

Segurança de dados

Os dados são essenciais para os negócios e, para manter a confidencialidade, disponibilidade e integridade dos dados o tempo todo, seguimos diretrizes rígidas que giram em torno de nossa arquitetura, desenvolvimento e operações.

Práticas de engenharia

As equipes de engenharia seguem diretrizes de codificação seguras, bem como a revisão / triagem manual do código antes que ele seja implantado na produção.

As diretrizes de codificação segura são baseadas nos padrões OWASP e implementadas de acordo para proteger contra ameaças comuns e vetores de ataque (como injeção SQL, script entre sites) na camada de aplicativo.

Isolamento de Dados

Vtiger segue arquitetura de locatário único, portanto, cada instância tem seu próprio espaço separado alocado para eles. Essas instâncias desconhecem todas as outras instâncias e, portanto, são executadas separadamente.

Criptografia

Em Trânsito

Todos os dados transferidos entre o navegador e os servidores da Vtiger são protegidos com o padrão do setor TLS 1.2 / 1.3. Isso inclui aplicativos da web, API, aplicativos móveis e acesso de cliente de email IMAP / POP / SMTP.

Ativamos configurações seguras, como perfeito encaminhamento secreto (PFS) e cabeçalho HTTP Strict Transport Security (HSTS) para todo o nosso tráfego da Web, o que exige que o navegador se conecte apenas via canal de comunicação criptografado.

 Em repouso

Os discos de armazenamento de todos os servidores são criptografados usando a Criptografia no nível do disco.

Os dados do cliente que usam campos confidenciais são criptografados usando o AES (Advanced Encryption Standard) de 256 bits; usamos o AMS Key Management Service (KMS) para gerenciamento de chaves.

Os backups são criptografados usando o AES-256 no AWS S3.

Retenção e exclusão de dados

Mantemos os dados dos clientes enquanto eles são assinantes ativos do serviço, no caso de cancelamento ou inatividade, as regras a seguir garantem o descarte dos dados.

Para contas de avaliação que não iniciam uma assinatura paga, os dados são excluídos 12 dias após o término da avaliação.

Para contas pagas canceladas, os dados são excluídos 90 dias após a data de cancelamento da conta.

Para contas pagas que tenham uma falha de pagamento, a conta será suspensa em 15 dias e fechada após 90 dias. Todos os dados serão excluídos 1 semana após o encerramento da conta.

Para contas gratuitas, os dados são excluídos após 60 dias de inatividade da conta.

Os dados de cobrança usados ​​para geração de fatura são retidos por 7 anos para fins comerciais.

Localização dos dados

Os servidores da Vtiger estão localizados nos Estados Unidos, Reino Unido, União Européia (Irlanda, Frankfurt), Austrália, Cingapura, Japão e Índia. O servidor no qual seus dados são armazenados depende da região em que você está localizado no momento em que você inicia sua avaliação gratuita do Vtiger.

Gerenciamento de Incidentes

Processo que descreve as atividades de uma organização para identificar, analisar e corrigir perigos para impedir uma futura ocorrência. Se não for gerenciado, um incidente pode se transformar em uma emergência, crise ou desastre.

Relatórios

O Vtiger realiza backups de banco de dados e arquivos de todas as instâncias do cliente todos os dias. Esse backup é armazenado em um servidor separado para proteger contra o risco de falha de hardware. No caso de tal falha, o acesso a dados e serviços pode ser restaurado dentro de 8 horas.

As equipes dedicadas são responsáveis ​​por observar os diferentes incidentes que ocorrem no ambiente que se aplica a você; seguimos as ações obrigatórias de manipulação e denúncia. Nós rastreamos a causa raiz do problema e tomamos medidas de precaução para evitar isso no futuro. Medidas e controles adicionais são implementados para mitigar situações semelhantes.

Notificação de violação

Se uma violação for descoberta no nível de serviço, a Vtiger alertará seus clientes e as autoridades envolvidas dentro de 72 horas após a descoberta.