Segurança

A Zoho fornece produtos de software como serviço (SaaS) para milhões de usuários em todo o mundo para resolver problemas corporativos. A segurança é um componente importante em nossas ofertas e é refletida em nossos funcionários, processos e produtos. Esta página aborda tópicos como segurança de dados, segurança operacional e segurança física para explicar como oferecemos segurança aos nossos clientes.

Atualizado em: 12 de julho de 2020

Visão geral

Nossa estratégia de segurança envolve os seguintes componentes

  •   Segurança organizacional
  •   Segurança física
  •   Segurança de infraestrutura
  •   Segurança de dados
  •   Controle de identidade e acesso
  •   Segurança operacional
  •   Gerenciamento de incidentes
  •   Divulgações responsáveis
  •   Gerenciamento de fornecedores
  •   Controles do cliente para segurança

Segurança organizacional

Temos um sistema de gerenciamento de segurança de informações (ISMS) em vigor que leva em conta nossos objetivos de segurança e os riscos e mitigações relacionados a todas as partes interessadas. Empregamos políticas e procedimentos rígidos que abrangem segurança, disponibilidade, processamento, integridade e confidencialidade dos dados do cliente.

Verificações de antecedentes dos funcionários

Cada funcionário é submetido a um processo de verificação de antecedentes. Contratamos agências externas excelentes para realizar essa verificação em nosso nome. Fazemos isso para consultar registros criminais, registros de empregos anteriores, se houver, e formação acadêmica. Até que essa verificação seja realizada, não serão atribuídas ao funcionário tarefas que possam representar riscos para os usuários. 

Conscientização sobre segurança

Cada funcionário admitido assina um contrato de confidencialidade e uma política de uso aceitável, passando em seguida por treinamento em segurança da informação, privacidade e conformidade. Também usamos testes e questionários para verificar se os funcionários compreenderam totalmente os tópicos ou precisam de mais treinamento em determinados pontos. Oferecemos treinamento sobre aspectos específicos de segurança que podem ser exigidos em certas funções.

Estamos sempre instruindo nossos funcionários sobre segurança da informação, privacidade e conformidade em nossa comunidade interna que eles visitam regularmente para ficar por dentro das práticas de segurança mais recentes da organização. Também promovemos eventos internos para aumentar a conscientização e impulsionar a inovação em segurança e privacidade.

Equipes dedicadas de segurança e privacidade

Temos equipes dedicadas que implementam e gerenciam nossos programas de segurança e privacidade. Essas equipes criam e mantêm nossos sistemas de defesa, desenvolvem processos de análise de segurança e monitoram constantemente nossas redes para detectar atividades suspeitas. Elas fornecem serviços de consultoria específicos do domínio e orientação para nossas equipes de engenharia.

Auditoria interna e conformidade

Temos uma equipe dedicada à conformidade para analisar políticas e procedimentos da Zoho a fim de alinhá-los com as normas e determinar quais controles, processos e sistemas são necessários para atender aos padrões. A mesma equipe também faz auditorias internas periodicamente e facilita auditorias e avaliações independentes realizadas por terceiros.

Para obter mais detalhes, consulte nosso portfólio de conformidade.

Segurança de endpoints

Todas as estações de trabalho fornecidas aos funcionários da Zoho executam a versão atualizada do sistema operacional e são configuradas com softwares antivírus. Elas são configuradas para cumprir nossos padrões de segurança, o que exige que todas as estações de trabalho estejam definidas e corrigidas adequadamente e sejam rastreadas e monitoradas pelas soluções de gerenciamento de endpoint da Zoho. Essas estações de trabalho são seguras por padrão, pois são configuradas para criptografar dados em repouso, têm senhas fortes e são bloqueadas quando ficam ociosas. Os dispositivos móveis usados para fins corporativos estão inscritos no sistema de gerenciamento de dispositivos móveis para garantir que atendam aos nossos padrões de segurança.

Segurança física

No local de trabalho

Controlamos o acesso aos nossos recursos (edifícios, infraestrutura e instalações), incluindo consumo, entrada e utilização, com a ajuda de cartões de acesso. Fornecemos aos funcionários, prestadores de serviços, fornecedores e visitantes cartões de acesso diferentes que concedem acesso restrito às áreas relacionadas à finalidade específica informada para a entrada nas instalações. A equipe de recursos humanos (RH) estabelece e mantém as finalidades específicas das funções. Mantemos registros de acesso para identificar e solucionar anomalias. 

Nos data centers

Em nossos data centers, um fornecedor de colocalização fica responsável pelo edifício, pelos sistemas de resfriamento e energia, e pela segurança física, enquanto nos encarregamos dos servidores e do armazenamento. O acesso aos data centers é restrito a um pequeno grupo de pessoas autorizadas. Para todos os outros acessos é gerado um tíquete, e o acesso só é concedido após a aprovação dos respectivos gerentes. São necessárias autenticação adicional de dois fatores e autenticação biométrica para entrar no local. Logs de acesso, registros de atividade e filmagens da câmera estão disponíveis caso ocorra algum incidente.

Monitoramento

Monitoramos todos os movimentos de entrada e saída que ocorrem nas instalações dos nossos business centers e data centers por meio de câmeras de CCTV instaladas de acordo com os regulamentos locais. A filmagem de backup fica disponível por um determinado período, dependendo dos requisitos para esse local.

Segurança de infraestrutura

Segurança de rede

Nossas técnicas de segurança e monitoramento de rede são projetadas para fornecer várias camadas de proteção e defesa. Usamos firewalls para evitar que nossa rede tenha acesso não autorizado e tráfego indesejado. Nossos sistemas são segmentados em redes separadas para proteger dados confidenciais. Os sistemas compatíveis com as atividades de teste e desenvolvimento são hospedados em uma rede separada dos sistemas que dão suporte à infraestrutura de produção da Zoho.

Monitoramos o acesso ao firewall com uma programação regular e rigorosa. Um engenheiro de rede analisa todas as mudanças feitas no firewall diariamente. Além disso, essas mudanças são analisadas a cada três meses para atualizar e revisar as regras. Nossa equipe dedicada do Centro de operações de rede monitora a infraestrutura e os aplicativos em busca de discrepâncias ou atividades suspeitas. Todos os parâmetros essenciais são monitorados continuamente usando nossa ferramenta proprietária, e as notificações são acionadas em qualquer caso de atividades anormais ou suspeitas no ambiente de produção.

Redundância de rede

Todos os componentes da nossa plataforma são redundantes. Usamos uma arquitetura de grade distribuída para proteger nosso sistema e serviços dos efeitos de possíveis falhas no servidor. Se houver uma falha no servidor, os usuários poderão continuar como de costume, pois os dados deles e os serviços da Zoho ainda estarão disponíveis.

Além disso, usamos vários switches, roteadores e gateways de segurança para garantir a redundância no nível do dispositivo. Isso evita falhas de ponto único na rede interna.

Prevenção de DDoS

Usamos tecnologias de provedores de serviços consolidados e confiáveis para evitar ataques DDoS em nossos servidores. Essas tecnologias oferecem vários recursos de atenuação de DDoS para evitar interrupções causadas por tráfego ruim e permitir um tráfego bom. Isso mantém nossos sites, aplicativos e APIs com alto desempenho e disponibilidade.

Proteção do servidor

Todos os servidores provisionados para atividades de desenvolvimento e teste são protegidos (desabilitando portas e contas não utilizadas, removendo senhas padrão etc.). A proteção do servidor é incorporada à imagem de base do sistema operacional (SO), a qual é provisionada nos servidores para garantir a consistência entre eles.

Prevenção e detecção de invasões

Nosso mecanismo de detecção de invasões observa sinais baseados em host em dispositivos individuais e sinais baseados em rede de pontos de monitoramento dentro de nossos servidores. Acessos administrativos, uso de comandos privilegiados e chamadas de sistema em todos os servidores da rede de produção são registrados. As regras e a inteligência de máquina criadas com base nesses dados fornecem aos engenheiros de segurança avisos de possíveis incidentes. Na camada de aplicativos, temos nosso WAF proprietário, que opera com regras de lista de permissões e de restrições.

No nível dos ISPs (Internet Service Providers, provedores de serviços de Internet) é implementada uma abordagem de segurança em várias camadas com depuração, roteamento de rede, limitação de taxa e filtragem para lidar com ataques desde a camada de rede até a camada de aplicativos. Esse sistema apresenta tráfego limpo, serviço de proxy confiável e, no caso de ataques, aviso imediato. 

Segurança de dados

Seguro pelo projeto

Temos uma política de gerenciamento de alterações que exige que todas as mudanças e os novos recursos de aplicativos passem por um processo de autorização antes de serem implementados na produção. Nosso ciclo de vida de desenvolvimento de software (SDLC) exige adesão a diretrizes de codificação seguras, bem como triagem de alterações de código para possíveis problemas de segurança com nossas ferramentas de análise de código, scanners de vulnerabilidade e processos de análise manual.

Nossa robusta estrutura de segurança baseada nos padrões OWASP, implementada na camada de aplicativos, oferece funcionalidades para reduzir ameaças como injeção de SQL, scripts entre sites e ataques DOS na camada de aplicativos. 

Isolamento de dados

Nossa estrutura distribui e mantém o espaço na nuvem para os clientes. Os dados de serviço de cada cliente são logicamente separados dos dados de outros clientes usando um conjunto de protocolos seguros na estrutura. Isso garante que nenhum dado de serviço do cliente se torne acessível a outro cliente.

Os dados de serviço são armazenados nos servidores quando você usa nossos serviços. Seus dados são de sua propriedade, não da Zoho. Não compartilhamos esses dados com terceiros sem o seu consentimento.

Criptografia

Em trânsito: todos os dados de clientes transmitidos para nossos servidores pelas redes públicas são protegidos por meio de protocolos avançados de criptografia. Exigimos que todas as conexões com nossos servidores usem a criptografia TLS 1.2/1.3 (Transport Layer Security, segurança de camada de transporte) com códigos complexos para todas as conexões incluindo acesso via Web, API, clientes de e-mail IMAP/POP/SMTP e aplicativos móveis. Isso garante uma conexão segura, permitindo a autenticação das duas partes envolvidas na conexão e criptografando os dados a serem transferidos. Além disso, por padrão, nossos serviços utilizam TLS oportunista para e-mail. O TLS criptografa e entrega e-mails de maneira segura, reduzindo a interceptação entre servidores de e-mail em que os serviços de peer dão suporte a esse protocolo.

Temos suporte total para Perfect Forward Secrecy (PFS) com nossas conexões criptografadas, o que garante que, mesmo que estejamos de alguma forma comprometidos no futuro, nenhuma comunicação anterior possa ser descriptografada. Ativamos o cabeçalho HTTP Strict Transport Security (HSTS) para todas as nossas conexões via web. Isso informa a todos os navegadores modernos que só é possível estabelecer conosco conexão criptografada, mesmo que o usuário digite um URL que aponte para uma página não segura em nosso site. Além disso, na web, sinalizamos todos os nossos cookies de autenticação como seguros.

Em repouso: os dados confidenciais em repouso de clientes são criptografados com AES (Advanced Encryption Standard) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você escolher. Possuímos e mantemos as chaves usando nosso KMS (Key Management Service, serviço de gerenciamento de chaves) interno. Oferecemos camadas adicionais de segurança criptografando as chaves de criptografia de dados por meio do uso de chaves mestras. As chaves mestras e as chaves de criptografia de dados são fisicamente separadas e armazenadas em diferentes servidores com acesso limitado.

Clique aqui para obter informações detalhadas sobre a criptografia na Zoho e clique aqui para saber quais dados são criptografados em nossos serviços.

Retenção e descarte de dados

Mantemos os dados em sua conta desde que você escolha usar o Zoho Services. Assim que você encerrar sua conta de usuário Zoho, seus dados serão excluídos do banco de dados ativo na próxima limpeza que ocorre uma vez a cada 6 meses. Os dados eliminados do banco de dados ativo serão excluídos dos backups após três meses. No caso de sua conta não paga ficar inativa por um período contínuo de 120 dias, ela será encerrada após a entrega do aviso prévio e da opção de fazer backup de seus dados.

Um fornecedor verificado e autorizado realiza o descarte de dispositivos inutilizáveis. Até esse momento, nós os categorizamos e os armazenamos em um local seguro. Qualquer informação contida nos dispositivos é formatada antes do descarte. Nós desmagnetizamos os discos rígidos com falha e os destruímos fisicamente usando um triturador. Criptografamos e fragmentamos dispositivos de estado sólido (SSDs) que apresentam falha.

Controle de identidade e acesso

Logon único (SSO)

O Zoho oferece logon único (SSO) que permite que os usuários acessem vários serviços usando a mesma página de login e credenciais de autenticação. Quando você efetua o login em qualquer serviço da Zoho, isso só é possível por meio do serviço de IAM (Identity and Access Management, gerenciamento de identidade e acesso). Também oferecemos suporte a SAML para logon único, o que possibilita que os clientes integrem provedores de identidade das empresas, como LDAP ou ADFS, durante o login nos serviços da Zoho

O SSO simplifica o processo de login, garante a conformidade, fornece controle de acesso e geração de relatórios eficientes e reduz o risco de fadiga da senha e, portanto, de senhas fracas.

Autenticação multifator

Esse recurso fornece uma camada extra de segurança ao exigir uma verificação adicional que o usuário precisa ter, além da senha. Isso pode reduzir bastante o risco de acesso não autorizado caso a senha de um usuário seja comprometida. Você pode configurar a autenticação multifator usando o Zoho One-Auth. Atualmente, são compatíveis diferentes modos de autenticação, como identificação biométrica por toque ou facial, notificação por push, QR code e OTP com limite de tempo.

Também oferecemos suporte à chave de segurança de hardware Yubikey para autenticação multifator.

Acesso administrativo

Empregamos controles de acesso técnico e políticas internas para proibir que os funcionários acessem arbitrariamente os dados do usuário. Aderimos aos princípios de privilégios mínimos e permissões baseadas em função para diminuir o risco de exposição dos dados.

O acesso a ambientes de produção é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, autenticação de dois fatores e chaves SSH protegidas por senha. Além disso, facilitamos esse acesso por meio de uma rede separada com regras mais rígidas e dispositivos mais protegidos. Também registramos todas as operações e as auditamos periodicamente.

Segurança operacional

Registro e monitoramento

Monitoramos e analisamos as informações coletadas de serviços, tráfego interno em nossa rede e uso de dispositivos e terminais. Gravamos essas informações em registros de evento, de auditoria, de falhas, de administrador e de operador. Esses registros são automaticamente monitorados e analisados de uma forma razoável que nos ajuda a identificar anomalias, como atividades incomuns em contas de funcionários ou tentativas de acesso a dados de clientes. Para gerenciar o controle de acesso centralmente e garantir a disponibilidade, armazenamos esses registros em um servidor seguro isolado do acesso total ao sistema. 

Em qualquer serviço da Zoho está disponível uma opção de registro detalhado de auditoria que inclui todas as operações de atualização e exclusão realizadas pelo usuário.

Gerenciamento de vulnerabilidades

Temos um processo dedicado de gerenciamento de vulnerabilidades que verifica ativamente as ameaças à segurança usando uma combinação de ferramentas de verificação certificadas de terceiros e ferramentas internas, e com esforços de testes de penetração manuais e automatizados. Além disso, nossa equipe de segurança analisa ativamente relatórios de entrada e monitora listas de distribuição públicas, publicações em blogs e wikis para identificar incidentes de segurança que possam afetar a infraestrutura da empresa.

Uma vez identificada uma vulnerabilidade que exija correção, ela é registrada, priorizada de acordo com a gravidade e atribuída a um proprietário. Identificamos ainda os riscos associados e rastreamos a vulnerabilidade até o fechamento, seja corrigindo os sistemas vulneráveis ou aplicando controles relevantes.

Proteção contra malware e spam

Analisamos todos os arquivos de usuários com nosso sistema automatizado de verificação que foi projetado para impedir a propagação de malwares no ecossistema da Zoho. Nosso mecanismo personalizado antimalware recebe regularmente atualizações de fontes externas de inteligência contra ameaças e verifica os arquivos em relação a uma lista de assinaturas não permitidas e uma série de padrões mal-intencionados. Além disso, nosso mecanismo de detecção próprio incluindo técnicas de aprendizado de máquina garante que os dados do cliente estejam protegidos contra malwares. 

A Zoho é compatível com o protocolo DMARC (Autenticação, geração de relatórios e conformidade de mensagens com base no domínio) como uma forma de evitar spam. O DMARC usa SPF e DKIM para verificar se as mensagens são autênticas. Também usamos um mecanismo de detecção próprio para identificar abusos nos serviços da Zoho, como atividades de phishing e spam. Além do mais, temos uma equipe dedicada ao combate a spams para monitorar os sinais do software e lidar com reclamações de abuso.
Para obter mais informações, clique aqui

Backup

Fazemos backups completos uma vez por semana e backups incrementais todos os dias usando o ZAC (Zoho Admin Console, console de administração da Zoho) para data centers (DCs) da Zoho. Os dados de backup presentes no DC são armazenados no mesmo local e criptografados usando o algoritmo AES de 256 bits. O armazenamento é feito no formato tar.gz. Todos os dados de backup são mantidos por um período de três meses. Caso um cliente solicite uma recuperação de dados dentro do período de retenção, temos como restaurá-los e garantir o acesso seguro a eles. O cronograma para restauração de dados depende do volume de dados e da complexidade envolvida.

Para garantir a segurança dos dados incluídos no backup, usamos um RAID (Redundant Array of Independent Disks, matriz redundante de discos independentes) nos servidores de backup. Todos os backups são programados e monitorados regularmente. No caso de falha, imediatamente é iniciada uma nova execução para corrigir o problema. A ferramenta ZAC realiza automaticamente verificações de integridade e validação dos backups completos.

Recomendação: programe backups regulares dos seus dados exportando-os dos respectivos serviços da Zoho e armazenando-os localmente na sua infraestrutura.

Recuperação de desastres e continuidade dos negócios

Os dados de aplicativos são salvos em um armazenamento resiliente que é replicado entre os data centers. Os dados no DC primário são replicados no secundário quase em tempo real. Em caso de falha do DC primário, o DC secundário assume o controle e as operações são realizadas facilmente com o mínimo ou nenhuma perda de tempo. Os dois centros estão equipados com vários ISPs.

Temos backup de energia, sistemas de controle de temperatura e sistemas de prevenção de incêndios como medidas físicas para garantir a continuidade das atividades. Essas medidas nos ajudam a obter resiliência. Além da redundância dos dados, temos um plano de continuidade dos negócios para nossas principais operações, como suporte e gerenciamento de infraestrutura.

Gerenciamento de incidentes

Relatórios

Temos uma equipe dedicada ao gerenciamento de incidentes. Se houver qualquer incidente em nosso ambiente que possa afetá-lo, você receberá uma notificação a respeito com instruções de como proceder. Rastreamos e fechamos os incidentes com as ações corretivas apropriadas. Sempre que aplicável, identificaremos, coletaremos, obteremos e forneceremos, sob a forma de registros de aplicativo e de auditoria, as evidências necessárias relacionadas aos incidentes que se aplicam a você. Além disso, implementamos controles para evitar a recorrência de situações semelhantes.

Respondemos com alta prioridade aos incidentes de segurança ou privacidade que nos são relatados pelo e-mail incidents@zohocorp.com. Para incidentes em geral, notificaremos os usuários por meio de blogs, fóruns e mídias sociais. Para incidentes específicos de um usuário individual ou uma organização, notificaremos a parte interessada por e-mail (usando o endereço principal do administrador da organização registrado conosco).

Notificação de violação

Como controladores de dados, notificamos a Autoridade de proteção de dados pertinente sobre uma violação em até 72 horas após tomarmos conhecimento, de acordo com o GDPR (General Data Protection Regulation, regulamento geral de proteção de dados). Dependendo dos requisitos específicos também notificamos os clientes, quando necessário. Como processadores de dados, informamos aos controladores os dados pertinentes sem atraso injustificado. 

Divulgações responsáveis

Está em vigor um programa de relatórios de vulnerabilidade de "recompensa de bugs" para alcançar a comunidade de pesquisadores que reconhece e recompensa o trabalho dos pesquisadores de segurança. Estamos comprometidos em trabalhar com a comunidade para verificar, reproduzir, responder e implementar soluções apropriadas para as vulnerabilidades relatadas.

Se encontrar alguma vulnerabilidade, envie os problemas em https://bugbounty.zoho.com/. Se quiser relatar diretamente as vulnerabilidades para nós, envie um e-mail para security@zohocorp.com. 

Gerenciamento de fornecedores de terceiros

Avaliamos e qualificamos os fornecedores com base em nossa política de gerenciamento de fornecedores. Contratamos novos fornecedores após compreender os processos de fornecimento de serviços e realizar avaliações de risco. Tomamos as medidas apropriadas para garantir que nossa postura de segurança seja mantida, estabelecendo acordos que exigem que os fornecedores cumpram os compromissos de confidencialidade, disponibilidade e integridade que assumimos com nossos clientes. Monitoramos a operação eficaz do processo e das medidas de segurança da organização realizando análises periódicas de seus controles.

Controles do cliente para segurança

Até este ponto, discutimos o que fazemos para oferecer segurança em várias frentes para nossos clientes. Agora vamos falar sobre o que você, como cliente, pode fazer para garantir a segurança:

  •   Escolha uma senha forte e exclusiva e proteja-a.
  •   Use a autenticação multifator
  •   Use as versões mais recentes do navegador e sistemas operacionais e aplicativos móveis atualizados para garantir que estejam corrigidos contra vulnerabilidades e para usar os recursos de segurança mais recentes
  •   Tome precauções razoáveis ao compartilhar dados do nosso ambiente de nuvem.
  •   Classifique suas informações como pessoais ou confidenciais e identifique-as adequadamente.
  •   Monitore dispositivos vinculados à sua conta, sessões da web ativas e acesso de terceiros para identificar anomalias nas atividades e gerenciar as funções e os privilégios da conta.
  •   Fique atento às ameaças de phishings e malwares procurando por e-mails, sites e links desconhecidos que possam explorar suas informações confidenciais se passando pela Zoho ou outros serviços confiáveis.

Para saber mais sobre como você pode trabalhar com a Zoho para ter um ambiente seguro na nuvem, leia nosso recurso em Compreendendo a divisão de responsabilidades com a Zoho. Oferecemos uma análise completa do modelo de divisão de responsabilidades e sobre como nossos clientes e a Zoho podem colaborar, bem como assumir responsabilidade individual em relação à segurança e privacidade na nuvem.

Conclusão

A segurança dos dados é um direito seu e uma missão incessante da Zoho. Continuaremos trabalhando arduamente para manter seus dados seguros – como sempre fizemos. Caso tenha alguma dúvida sobre este tópico, confira a seção Perguntas frequentes ou envie um e-mail para security@zohocorp.com.