Práticas de segurança, políticas e infraestrutura da Zoho

Atualizado em: 30 de maio de 2018

Com quase 30 milhões de usuários em todo o mundo acessando os serviços Zoho, indivíduos e pequenas, médias e grandes organizações contam com a segurança e proteção de dados da Zoho para atender às necessidades deles. Nós levamos a segurança muito a sério e desenvolvemos um abrangente conjunto de práticas, tecnologias e políticas para ajudar a garantir que seus dados estarão seguros.

Se você está mantendo seus dados em computadores pessoais ou em seus próprios servidores, as chances são grandes de que o nível de segurança que nós oferecemos seja melhor do que o que você tem no momento.

Este documento destaca alguns dos mecanismos e processos que nós implementamos para ajudar a garantir a proteção dos seus dados. Nossas práticas de segurança são agrupadas em quatro áreas diferentes: segurança física, segurança de rede, processos de pessoal e redundância e continuidade dos negócios.

Segurança física

Nossos data centers estão hospedados nas instalações mais seguras disponíveis atualmente em locais que são protegidos contra ataques físicos e lógicos, bem como contra desastres naturais, como terremotos, incêndios e enchentes, entre outros.

  • Segurança 24 horas por dia, 7 dias por semana, 365 dias por ano. Os data centers que hospedam os seus dados são protegidos 24 horas por dia em todos os dias do ano por seguranças particulares.
  • Monitoramento por vídeo. Cada um dos data centers é monitorado 24 horas por dia em todos os dias do ano com câmeras de visão noturna.
  • Entrada controlada. O acesso aos data centers da Zoho é rigorosamente restrito a um pequeno grupo de pessoas autorizadas.
  • Autenticação biométrica e por dois fatores. Para entrar em um data center da Zoho, é necessário usar duas formas de autenticação ao mesmo tempo e uma delas precisa ser biométrica.
  • Locais secretos. Os servidores da Zoho estão localizados dentro de localidades secretas de aparência comum que diminuem muito a possibilidade de um ataque.
  • Paredes à prova de balas. Os servidores da Zoho são protegidos por paredes à prova de balas.

Segurança de rede

A nossa equipe de segurança e infraestrutura de rede ajuda a proteger seus dados contra os ataques eletrônicos mais sofisticados. Veja a seguir um subconjunto das nossas práticas de segurança de rede. Elas são propositalmente mencionadas de forma bem genérica, pois os hackers também querem conhecer as táticas que usamos. Se sua organização precisa de mais detalhes sobre nossa segurança de rede, fale conosco.

  • Comunicação segura. Todas as transmissões de dados para serviços Zoho são criptografadas usando protocolos TLS 1.2 e usamos certificados emitidos por CA baseado em SHA 256, garantindo que nossos usuários tenham uma conexão segura aos nossos serviços com seus próprios navegadores. Nós usamos as mais recentes e mais fortes cifras, como chaves AES_CBC/AES_GCM 256 bits/128 bits para criptografia, SHA2 para autenticação de mensagens e ECDHE_RSA como o mecanismo de troca de chave.
  • IDS/IPS. Nossa rede é fechada e monitorada por sistemas de prevenção/detecção de intrusões altamente poderosos e certificados.
  • Controle e auditoria. Todos os acessos são controlados e também auditados.
  • SO seguro/em camadas. Os aplicativos Zoho são executados em um sistema operacional seguro desenvolvido para minimizar as vulnerabilidades de segurança.
  • Varredura de vírus. O tráfego de entrada nos servidores da Zoho é automaticamente analisado contra vírus prejudiciais usando protocolos de ponta para varredura de vírus, atualizados regularmente.

Processos de pessoal

Desenvolver e executar infraestrutura de data centers requer não apenas tecnologia, mas uma abordagem disciplinada aos processos. Isso inclui políticas sobre escalonamento, gerenciamento, compartilhamento de conhecimento, risco, assim como as operações do dia a dia. A equipe de segurança da Zoho tem anos de experiência em desenvolvimento e operação de data centers e aprimora nossos processos continuamente ao longo do tempo. A Zoho desenvolveu práticas de classe mundial para gerenciamento de segurança e risco na proteção de dados.

  • Selecione funcionários. Apenas funcionários com o mais alto nível de autorização têm acesso ao nosso data center. O acesso por funcionários é registrado e as senhas têm controle rígido. Nós limitamos o acesso aos dados do cliente a apenas alguns desses funcionários que precisem de acesso para proporcionar suporte e solução de problemas em nome do nosso cliente.
  • Auditorias. As auditorias são realizadas regularmente e o processo completo é revisado pela gerência.
  • Caráterde necessidade. O acesso às informações do data center, bem como aos dados do cliente, é feito apenas em caráter de necessidade e quando aprovado pelo cliente (como parte do incidente de suporte), ou pela gerência sênior de segurança para fornecer suporte e manutenção.

Redundância e continuidade dos negócios

Uma das filosofias fundamentais da computação em nuvem é o reconhecimento e a suposição de que os recursos computadorizados falharão em algum momento. Nós desenvolvemos nossos sistemas e infraestrutura contando com isso.

  • Arquitetura de grade distribuída. Os serviços da Zoho são executados em uma arquitetura de rede distribuída. Isso significa que um servidor pode falhar sem causar um impacto notável no sistema ou em nossos serviços. Na realidade, em uma determinada semana, vários servidores falharam e nenhum dos nossos clientes teve qualquer percepção disso. O sistema foi desenvolvido tendo em mente que o servidor eventualmente apresentará falhas - nós implementamos nossa infraestrutura contando com isso.
  • Redundância de alimentação. A Zoho configura seus servidores para redundância de alimentação - do fornecimento à transmissão de energia.
  • Redundância de internet. A Zoho está conectada ao mundo, e a você, através de vários ISPs nível 1. Portanto, se qualquer um deles apresentar falhas ou atrasos, você continuará abrindo seus aplicativos e informações de maneira confiável.
  • Dispositivos de rede redundantes. O sistema da Zoho é executado em dispositivos de rede redundantes (switches, roteadores, gateways de segurança) para evitar qualquer ponto de falha em qualquer nível na rede interna.
  • Temperatura e resfriamento redundante. Recursos computadorizados intensos geram muito calor e, por isso, é necessário resfriá-los para garantir uma operação suave. Os servidores da Zoho são protegidos por sistemas HVAC N+2 redundantes e sistemas de controle de temperatura.
  • Espelhamento geográfico. Os dados do cliente são espelhados em uma localização geográfica separada para fins de recuperação de desastres e continuidade dos negócios.
  • Prevenção contra incêndio. Os data centers da Zoho são protegidos por sistemas de controle e prevenção de incêndios padrão da indústria.
  • Backup e proteção de dados. Backups dos dados do usuário são realizados periodicamente em vários servidores, ajudando a proteger os dados no caso de uma falha de hardware ou desastre.

Certificações de segurança

A ISO/IEC 27001 é uma das normas internacionais de segurança independentes mais amplamente reconhecidas. Esse certificado é concedido a organizações que estão em conformidade com os padrões globais da ISO. A Zoho obteve certificação ISO/IEC 27001:2013 para aplicativos, sistemas, pessoas, tecnologia e processos.

SOC 2 - A Zoho está em conformidade com SOC 2 tipo II. SOC 2 é uma avaliação do design e eficácia operacional de controles em conformidade com os critérios dos princípios de serviço de confiança da AICPA.

Para obter mais detalhes sobre o Zoho Compliance, consulte esta apresentação.

Relatório de vulnerabilidade

A Zoho valoriza o trabalho feito pelos pesquisadores de segurança no aprimoramento da segurança das nossas ofertas de serviços e está comprometida em trabalhar com a comunidade na verificação, reprodução e resposta para legitimar vulnerabilidades relatadas. Envie problemas de segurança para https://bugbounty.zoho.com/

  • bsi-assurance
  • bsi-assurance
  • TRUSTe