Visão geral da segurança

Introdução

As informações e os sistemas de informação da Vtiger são ativos valiosos e devem ser protegidos. Isso é conseguido com a implementação de estruturas de segurança adequadas para gerenciar riscos para o Vtiger e garantir a continuidade dos negócios, prevenindo incidentes de segurança e reduzindo seu impacto potencial.

Segurança Organizacional

Políticas e procedimentos são definidos e implementados em domínios e processos de negócios. As políticas são usadas para testar controles e proteger a confidencialidade, disponibilidade e integridade das informações e recursos de informações da Vtiger.

Verificação de funcionários

Cada funcionário é examinado antes de ingressar formalmente na empresa. A Vtiger emprega fornecedores externos para realizar a verificação de antecedentes, que inclui a verificação de antecedentes criminais, registros de empregos anteriores, se houver, e histórico educacional.

Treinamento e conscientização

O conteúdo de conscientização de segurança é criado e circulado em diferentes equipes para garantir que os funcionários da Vtiger estejam cientes das políticas de segurança da informação, ameaças emergentes e vetores de ataque comuns. Além disso, são realizadas sessões de conscientização sobre segurança sobre ameaças, práticas de segurança e políticas da empresa.

Segurança física

A segurança corporativa da Vtiger é responsável por proteger os ativos da Vtiger em locais físicos. A Vtiger monitora as instalações com câmeras de CFTV, as filmagens de backup estão disponíveis até um determinado período, dependendo dos requisitos para esse local. O acesso às instalações é concedido mediante identificação biométrica e de cartões-chave.

No caso de recursos na nuvem (como AWS, DigitalOcean, OVH), os ISPs na nuvem são responsáveis ​​por proteger os ativos e manter controles de segurança adequados. Mais detalhes sobre como os controles de segurança do ISP podem ser encontrados aqui.

Segurança Operacional

Essas práticas focam o monitoramento de sistemas de comunicação em tempo real em busca de ameaças e procedimentos ativos para manter os sistemas de informação protegidos.

Registro e Monitoramento

A infraestrutura e os aplicativos são monitorados 24 horas por dia, 7 dias por semana, com ferramentas proprietárias e empresariais. Monitoramos o tráfego interno em nossa rede e o uso de dispositivos e terminais. Registramos logs de eventos, logs de auditoria, logs de falhas, logs do administrador e logs do operador e esses logs são analisados ​​quanto a anomalias e incidentes. Esses logs são armazenados com segurança em uma capacidade isolada.

Avaliação de vulnerabilidade

A Vtiger também emprega uma equipe de segurança para descobrir e solucionar vulnerabilidades em nosso software, além de incentivar nossos membros da comunidade de segurança de software a identificar e relatar vulnerabilidades.

backup

O Vtiger realiza backups de banco de dados e arquivos de todas as instâncias do cliente todos os dias. Esse backup é armazenado em um servidor separado para proteger contra o risco de falha de hardware. No caso de tal falha, o acesso a dados e serviços pode ser restaurado dentro de 8 horas.

Patches de segurança

O Vtiger realiza manutenção preventiva para proteger contra possíveis vulnerabilidades, implantando patches quando e quando eles são desenvolvidos internamente ou de outra forma disponíveis.

Segurança de Dados

Os dados são essenciais para os negócios e, para manter a confidencialidade, disponibilidade e integridade dos dados o tempo todo, seguimos diretrizes rígidas que giram em torno de nossa arquitetura, desenvolvimento e operações.

Práticas de engenharia

As equipes de engenharia seguem diretrizes de codificação seguras, bem como a revisão / triagem manual do código antes que ele seja implantado na produção.

As diretrizes de codificação segura são baseadas nos padrões OWASP e implementadas de acordo para proteger contra ameaças comuns e vetores de ataque (como injeção SQL, script entre sites) na camada de aplicativo.

Isolamento de Dados

O Vtiger segue a arquitetura de vários locatários, portanto, cada instância tem seu próprio espaço separado alocado a eles. Essas instâncias desconhecem todas as outras instâncias e, portanto, são executadas separadamente.

Criptografia

Em Trânsito

Todos os dados transferidos entre o navegador e os servidores da Vtiger são protegidos com o padrão do setor TLS 1.2 / 1.3. Isso inclui aplicativos da web, API, aplicativos móveis e acesso de cliente de email IMAP / POP / SMTP.

Ativamos configurações seguras, como perfeito encaminhamento secreto (PFS) e cabeçalho HTTP Strict Transport Security (HSTS) para todo o nosso tráfego da Web, o que exige que o navegador se conecte apenas via canal de comunicação criptografado.

Em repouso

Os discos de armazenamento de todos os servidores são criptografados usando a Criptografia no nível do disco.

Os dados do cliente que usam campos confidenciais são criptografados usando o AES (Advanced Encryption Standard) de 256 bits; usamos o AMS Key Management Service (KMS) para gerenciamento de chaves.

Os backups são criptografados usando o AES-256 no AWS S3.

Retenção e exclusão de dados

Mantemos os dados dos clientes enquanto eles são assinantes ativos do serviço, no caso de cancelamento ou inatividade, as regras a seguir garantem o descarte dos dados.

Para contas de avaliação que não iniciam uma assinatura paga, os dados são excluídos 12 dias após o término da avaliação.

Para contas pagas canceladas, os dados são excluídos 90 dias após a data de cancelamento da conta.

Para contas pagas que tenham uma falha de pagamento, a conta será suspensa em 15 dias e fechada após 90 dias. Todos os dados serão excluídos 1 semana após o encerramento da conta.

Para contas gratuitas, os dados são excluídos após 60 dias de inatividade da conta.

Os dados de cobrança usados ​​para geração de fatura são retidos por 7 anos para fins comerciais.

Localização dos dados

Os servidores da Vtiger estão localizados nos Estados Unidos, União Européia (Irlanda, Frankfurt), Austrália, Cingapura, Japão e Índia. O servidor no qual seus dados são armazenados depende da região em que você está localizado no momento em que inicia o teste gratuito do Vtiger.

Gerenciamento de Incidentes

Processo que descreve as atividades de uma organização para identificar, analisar e corrigir perigos para impedir uma futura ocorrência. Se não for gerenciado, um incidente pode se transformar em uma emergência, crise ou desastre.

Reporting

As equipes dedicadas são responsáveis ​​por observar os diferentes incidentes que ocorrem no ambiente que se aplica a você; seguimos as ações obrigatórias de manipulação e denúncia. Nós rastreamos a causa raiz do problema e tomamos medidas de precaução para evitar isso no futuro. Medidas e controles adicionais são implementados para mitigar situações semelhantes.

Notificação de violação

Se uma violação for descoberta no nível de serviço, a Vtiger alertará seus clientes e as autoridades envolvidas dentro de 72 horas após a descoberta.