Perguntas frequentes (FAQ) sobre segurança da Zoho

  • A Zoho adere aos padrões de segurança da informação? 

    Temos um Sistema de Gerenciamento de Segurança de Informações (ISMS) em vigor a partir de padrões ISO, que leva em consideração nossos objetivos de segurança e os riscos e as atenuações relacionados a todas as partes interessadas. Obtivemos as certificações ISO 27001, ISO27017 e ISO27018 para demonstrar nossa conformidade com os padrões 

  • Onde os meus dados serão armazenados? Posso escolher onde minha conta e meus dados estarão localizados?

    O data center onde seus dados são armazenados é selecionado automaticamente com base no país escolhido por você durante a inscrição para serviços Zoho.  As informações sobre qual data center foi selecionado são exibidas logo abaixo da lista de seleção País no formulário de inscrição.

    A qualquer instante, você pode saber em qual data center seus dados residem olhando o URL no navegador quando você estiver conectado ao Zoho e usando nossos aplicativos.

    • 1. Se o URL estiver no formato de *.zoho.com (onde [asterisco] indica o nome de um aplicativo Zoho, como crm, people, one), seus dados serão armazenados no DC nos Estados Unidos. 
    • 2. Se o URL estiver no formato *.zoho.eu, seus dados serão armazenados no DC da Europa (UE).
    • 3. Se o URL estiver no formato *.zoho.in, seus dados serão armazenados no DC na Índia (IN).
    • 4. Se o URL estiver no formato *.zoho.com.au, seus dados serão armazenados no DC na Austrália (AU)./li>
  • Os funcionários da Zoho terão acesso aos nossos dados e a quais dados eles terão acesso?

     Somente um número muito restrito de funcionários tem acesso aos servidores para realizar quaisquer trabalhos de emergência, como solução de problemas. Além disso, esse acesso é rigorosamente monitorado, registrado e auditado para minimizar o risco de exposição de dados.

  • Os dados armazenados nos produtos em nuvem da Zoho são criptografados?

    Criptografamos os dados do cliente em trânsito e em repouso. Os dados em repouso são criptografados usando o padrão da indústria AES-256. Todos os dados do cliente são criptografados em trânsito em redes públicas usando Transport Layer Security (TLS) 1.2/1.3 com Perfect Forward Secrecy (PFS) para protegê-los contra divulgação ou modificação não autorizada. Para saber mais sobre criptografia na Zoho, clique aqui.

  • Como as chaves de criptografia são gerenciadas, e os clientes podem carregar suas próprias chaves?

    Possuímos e mantemos as chaves usando nosso Serviço de gerenciamento de chaves (KMS) interno. Atualmente, não há provisão para que os clientes carreguem suas próprias chaves.

  • Como as senhas dos serviços de nuvem do Zoho são armazenadas?

    As senhas que você usa para acessar os serviços Zoho são armazenadas em um esquema de criptografia não reversível. Usamos o algoritmo de hash bcrypt com sal por usuário, desse modo, mesmo que nosso banco de dados de login fosse roubado, seria extremamente caro fazer engenharia reversa das senhas

  • Como a segmentação de dados do cliente é implementada nos serviços de nuvem do Zoho?

    Nossa estrutura distribui e mantém o espaço na nuvem para nossos clientes. Os dados de vários clientes são logicamente separados um do outro, e nossa estrutura garante que os dados do serviço de nenhum cliente fiquem acessíveis a outro cliente.

  • Como o Zoho protege contra ataques DDoS?

    Usamos tecnologias de provedores de serviços bem estabelecidos e confiáveis, que oferecem vários recursos de atenuação de DDoS para evitar interrupções causadas por esses ataques.

  • A Zoho conduz testes de penetração e leituras de código?

    Sim, realizamos regularmente esforços de teste automatizado e manual de penetração. Usamos uma combinação de ferramentas de digitalização certificadas de terceiros e ferramentas internas para códigos de leitura.

  • Encontrei uma vulnerabilidade em um de seus produtos. Como informo sobre isso?

    Se você descobriu uma vulnerabilidade em um de nossos produtos, agradecemos se nos avisar para que possamos corrigi-la o mais brevemente possível. Temos uma política de divulgação responsável e um programa de recompensa de bugs. Encontre mais detalhes em https://bugbounty.zoho.com/

  • A Zoho tem um programa de resposta a incidentes?

    Temos uma Equipe de resposta a incidentes dedicada, que é responsável pelas atividades de detecção, avaliação, perícia, contenção e recuperação de incidentes. Nos casos em que somos controladores de dados e um incidente leva a uma violação de dados, os clientes afetados serão notificados dentro de 72 horas após tomarmos conhecimento disso. Nos casos em que somos processadores de dados e um incidente leva a uma violação de dados, os respectivos controladores serão informados sem atraso indevido. 

    Para incidentes gerais, notificaremos os usuários por meio de blogs, fóruns e redes sociais. No caso de incidentes específicos de um usuário individual ou de uma organização, notificaremos a parte interessada por e-mail (usando seu endereço principal). O relatório completo será fornecido aos clientes mediante solicitação dentro de 5 a 7 dias úteis.

  • Quais responsabilidades a Zoho mantém durante um incidente de segurança?

    Notificamos os incidentes que se aplicam a você, juntamente com ações adequadas que talvez você precise tomar. Rastreamos e fechamos os incidentes com ações corretivas apropriadas. Sempre que aplicável, forneceremos as evidências necessárias sobre incidentes que se aplicam a você. A análise de causa raiz será fornecida mediante solicitação.

  • A Zoho está em conformidade com o PCI DSS? 

    Entre os serviços Zoho, os seguintes são compatíveis com PCI DSS: todos os produtos Zoho Finance Plus, ou seja, Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout e Zoho Commerce. Além disso, o serviço de pagamentos que os clientes usam para adquirir assinaturas do Zoho é compatível com PCI.

    Outros serviços Zoho nunca transmitem ou armazenam os detalhes do seu cartão de crédito.

  • Como um cliente Zoho, quais são as opções de segurança adicionais que tenho para proteger meus dados?

    Recursos de segurança adicionais que podem ser disponibilizados pelos clientes:

    • Autenticação multifator
    • Política de senha configurável
    • Restrições de IP
    • Controle de acesso baseado em função
    • Criptografia para campos personalizados
    • Auditoria de atividade da conta
  • Se um cliente descontinuar o serviço Zoho, por quanto tempo os dados são mantidos?

    Mantemos os dados em sua conta desde que você escolha usar os Serviços Zoho. Assim que você encerrar sua conta de usuário Zoho, seus dados serão excluídos do banco de dados ativo na próxima limpeza, que ocorre uma vez a cada 6 meses. Os dados excluídos do banco de dados ativo serão excluídos dos backups após 3 meses.

  • Qual é o plano de continuidade dos negócios e recuperação de desastres da Zoho?

    Temos um plano de continuidade dos negócios para nossas principais operações, como suporte e gerenciamento de infraestrutura. Para fins de redundância, os dados no data center (DC) primário são replicados no secundário. Em caso de falha do DC primário, o DC secundário assume o controle, e as operações são realizadas facilmente com o mínimo ou nenhuma perda de tempo.

  • Qual é a sua política de backup de dados?

    Fazemos backups completos uma vez por semana e backups incrementais todos os dias. Os dados de backup em um DC são armazenados no mesmo local e criptografados em repouso, assim como os dados originais. Além disso, restauramos e validamos backups toda semana. Um tempo de retenção de 3 meses é aplicável a todos os dados de backup. No caso de uma solicitação de um cliente específico, vamos restaurar seus dados do backup e disponibilizá-los para ele.

  • Quais controles estão em vigor ao acessar os dados do cliente?

    Empregamos controles de acesso técnico e políticas internas para proibir que os funcionários acessem arbitrariamente os dados do usuário. Aderimos aos princípios de privilégios mínimos e permissões baseadas em função para minimizar o risco de exposição de dados.  O acesso aos ambientes de produção é facilitado por uma rede separada com regras mais rígidas e dispositivos protegidos. O controle de acesso é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por frase de acesso

  • Qual é o seu compromisso de SLA de disponibilidade?

    Nosso compromisso de SLA de disponibilidade é de 99,9% de tempo de atividade mensal. Temos redundâncias implementadas em vários níveis, a partir da Infraestrutura para o ISP, a fim de atingir essa meta. Os dados do data center principal são replicados na versão secundária e uma versão somente leitura dos aplicativos Zoho é sempre atendida a partir do data center secundário.

  • Qual é o seu processo de avaliação de riscos? Com que frequência a avaliação de risco é realizada?

    Temos uma política e um procedimento de avaliação de riscos para identificar, analisar e minimizar os riscos por meio da implementação de controles apropriados. Realizamos uma avaliação de risco para todas as mudanças importantes que ocorrem em nosso ambiente. Os riscos gerais são revisados e atualizados uma vez por ano. 

  • Qual é a política de verificação de antecedentes de seus funcionários?

    Cada funcionário passa por um processo de verificação de antecedentes. Contratamos agências externas para realizar essa verificação em nosso nome. Fazemos isso para verificar os registros criminais, registros de empregos anteriores, se houver, e formação acadêmica. Até que essa verificação seja realizada, o funcionário não receberá tarefas que possam representar riscos para os usuários.

  • Quais certificações a Zoho possui para demonstrar sua conformidade com os padrões?

    Temos certificações ISO 27001, ISO 27017 e ISO 27018.  E a Zoho também está em conformidade com SOC 2 Tipo II em segurança, confidencialidade, integridade de processamento, disponibilidade e privacidade. Essas auditorias ISO e SOC são realizadas anualmente e abrangem todos os controles importantes e essenciais. A Zoho Corporation é participante e tem certificado de conformidade com o Privacy Shield Framework (UE-EUA).

    Clique aqui para obter mais detalhes.

  • Você compartilhará meus dados para fins de aplicação da lei?

    Sempre damos o máximo de importância à privacidade do cliente. Quando recebemos solicitações de autoridades de aplicação da lei, revisamos essas solicitações para ver se o processo legal aplicável é seguido para obter uma ordem válida e obrigatória. Desaprovamos as solicitações de excesso ou outras solicitações inadequadas. A menos que proibido por lei, notificamos os clientes antes de divulgar os dados deles para que possam procurar proteção contra divulgação.