Compreendendo a divisão de responsabilidade com a Zoho

A Zoho é responsável por desenvolver produtos seguros, confiáveis e robustos. Enquanto mantemos a infraestrutura de nuvem, você é responsável por proteger seus dados e definir as configurações adequadas nos aplicativos da Zoho.

Quando você usa a Zoho, a segurança e a privacidade dos dados são responsabilidades que cabem tanto a nós quanto a você. Esse é um modelo que descreve a arquitetura de alto nível do nosso ambiente de nuvem – que é um SaaS (software como serviço) – e as responsabilidades associadas.

Atualizado em: 12 de julho de 2020

Responsabilidades do cliente

  •   Responsabilização pelos dados
  •   Senhas
  •  Segurança de clientes e endpoints

Divisão de responsabilidades

  •   Gerenciamento de identidade e acesso
  •   Gerenciamento de dados
  •   Gerenciar dados de outras partes
  •   Criptografia
  •   Backups
  •   Gerenciamento de incidentes
  •   Conscientização e treinamento
  •   Política e conformidade

Responsabilidades da Zoho

  •  Segurança de dados
  •  Disponibilidade
  •   Continuidade dos negócios
  •   Controles de rede
  •   Infraestrutura de host
  •   Segurança física

Elaboramos este guia para ajudar você a compreender o que a Zoho faz para manter sua conta segura, o que pode ser feito para proteger seus dados e como podemos trabalhar juntos para ter um ambiente seguro na nuvem.

Responsabilidades do cliente

Vejamos suas responsabilidades para proteção dos dados na nuvem e segurança dos dispositivos.

Responsabilização pelos dados

Você é responsável por:

  • Dados que compartilha e recebe pela nuvem. Decidir com quem deseja compartilhá-los, por quanto tempo e de que forma.
  • Garantir a privacidade dos dados que você manuseia usando os serviços da Zoho para que nenhum conteúdo privado seja disponibilizado publicamente de maneira acidental ou proposital.
  • Manter a precisão dos dados processados em seu sistema.
  • Garantir que sua conta dos serviços da Zoho não seja usada por você ou outras pessoas em seu nome para atividades ilegais ou de envio de spams, e assegurar que os serviços da Zoho sejam usados apenas para os fins a que se destinam.

Senhas

Você é responsável por criar uma senha forte e protegê-la durante o uso para fazer login e acessar a nuvem.

Segurança de clientes e endpoints

  • Basta que um dos seus endpoints (notebook, desktop ou smartphone) esteja comprometido para todos os outros controles se tornarem ineficientes.
  • Você é responsável pela segurança do seu endpoint e por manter os serviços do navegador, do sistema operacional móvel e dos aplicativos móveis atualizados para a versão mais recente e corrigidos contra vulnerabilidades.

Divisão de responsabilidades

O controle é uma responsabilidade tanto sua quanto da Zoho.

Gerenciamento de identidade e acesso

Fornecemos infraestrutura para gerenciar contas de usuário por meio do serviço de IAM (Identity and Access Management, gerenciamento de identidade e acesso) facilitando:

  • Registro de usuário, opções de cancelamento de registro e especificações de uso.
  • Funcionalidade para gerenciar direitos de acesso dos seus usuários na nuvem.
  • Técnicas consistentes de autenticação, como autenticação multifator e restrições de endereço IP.

Você é responsável por:

  • Implementar controles consistentes de gerenciamento de acesso de usuário.
  • Configurar senhas fortes com base na política da sua organização e protegê-las.
  • Ativar a autenticação multifator para os usuários de sua organização.
  • Administrar contas de usuário e privilégios, configurando funções de usuário de acordo com o princípio do menor privilégio.
  • Definir os administradores da conta de sua organização e ter um processo adequado para transferências de propriedade. Tomar as medidas necessárias para assegurar que sua organização não perca o controle das próprias contas de administrador.
  • Analisar periodicamente a lista de usuários com acesso aos dados e remover o acesso de qualquer pessoa que não deva mais ter acesso a eles.
  • Analisar com frequência os dispositivos vinculados às contas de usuário da organização e remover dispositivos não utilizados ou não autorizados.
  • Monitorar as contas de usuário da organização para identificar acesso ou uso mal-intencionado.
  • Notificar a Zoho sobre qualquer uso não autorizado das contas de sua organização.
  • Explicar aos usuários a importância de um bom gerenciamento de senhas e os riscos da reutilização de credenciais, login via redes sociais e ataques de phishing.

Gerenciamento de dados

Oferecemos uma plataforma para você gerenciar seus dados com:

  • Recursos de compartilhamento de dados para controles em nível de administrador e de usuário.
  • Recursos de auditoria em dados de clientes para proporcionar transparência em atividades importantes e acompanhar mudanças.
  • Interoperabilidade de dados – você pode fazer um backup completo de dados e configurações para migrar todos os dados ou parte deles para outro provedor de SaaS.
  • Retenção e descarte de dados – manteremos os dados em sua conta se você escolher usar o Zoho Services. Assim que você encerrar sua conta de usuário da Zoho, seus dados serão excluídos do banco de dados ativo na próxima limpeza programada, que ocorre uma vez a cada seis meses. Os dados eliminados do banco de dados ativo serão excluídos dos backups após três meses.
  • Recursos de limitação de acesso para reduzir o acesso dos funcionários aos dados de clientes e garantir que isso só possa ser feito se houver um motivo específico.

Você é responsável por:

  • Diligência prévia durante o processamento das informações que se enquadram em categorias especiais (por exemplo, dados pessoais/confidenciais), aplicando os controles adequados para cumprir os requisitos da legislação vigente.
  • Configurar as permissões adequadas de compartilhamento e visualização.
  • Analisar regularmente os relatórios de auditoria para identificar qualquer atividade suspeita.
  • Manter as informações de contato atualizadas no sistema da Zoho.
  • Remover seus dados do sistema assim que parar de usar nossos serviços. Caso contrário, eles estarão sujeitos a uma exclusão permanente, sem possibilidade de recuperação.

Gerenciar dados de outras partes

Trabalhamos para garantir integrações e extensões seguras para nossos aplicativos por meio de:

  • Aplicativos de marketplace: realização de testes de função, segurança e privacidade assim que um aplicativo é enviado para nós. Também realizamos análise de produto e de conteúdo.
  • Subprocessadores: avaliação das práticas de segurança e privacidade dos subprocessadores que desejamos contratar para verificar se atendem aos padrões de segurança e privacidade das informações da Zoho. Em seguida, executamos os contratos de proteção de dados com os subprocessadores.
  • Revisamos a política de privacidade e os termos de serviço de nossos fornecedores e asseguramos que as operações deles estejam em conformidade.

Esperamos que você:

  • Ative ou desative integrações de terceiros depois de considerar os dados que são compartilhados com os ambientes deles. Você deve analisar os termos e a política de privacidade dos serviços de terceiros em relação à coleta, uso ou divulgação de dados.
  • Indique se você deseja compartilhar seus detalhes com os fornecedores sempre que uma extensão for instalada.
  • Avalie a compatibilidade dos aplicativos do Marketplace e a adequação das permissões solicitadas antes da instalação.
  • Notifique a Zoho de qualquer comportamento mal-intencionado identificado nos aplicativos do marketplace.

Direitos do titular dos dados

Somos responsáveis por:

  • Fornecer recursos que permitam a nossos clientes atender e proteger os direitos dos clientes deles.
  • Notificá-lo sobre solicitações de seus clientes quando eles entrarem diretamente em contato conosco para exercer os próprios direitos.

Você tem a obrigação de:

  • Honrar e lidar com solicitações de clientes relacionadas a acesso, retificação, exclusão e restrições de dados no processamento de informações pessoais.

Criptografia

Protegemos seus dados usando criptografia em trânsito e em repouso das seguintes formas:

  • Dados em trânsito: dados de clientes transmitidos para nossos servidores por redes públicas são protegidos pelo uso de protocolos consistentes de criptografia. Exigimos que todas as conexões com nossos servidores usem a criptografia TLS 1.2/1.3 com códigos complexos para todas as conexões incluindo acesso via Web, API, IMAP/POP/SMTP e nossos aplicativos móveis.
  • Dados em repouso: os dados confidenciais em repouso de clientes são criptografados com o algoritmo AES (Advanced Encryption Standard) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você escolher. Possuímos e mantemos as chaves usando nosso Serviço de gerenciamento de chaves (KMS) interno.

Sugerimos que você:

  • Determine suas necessidades de criptografia. Em muitos casos, ao usar nossos serviços para dados em repouso, cabe a você definir os campos que precisam ser criptografados.
  • Quando os dados da nossa nuvem são baixados ou exportados para seu ambiente ou sincronizam integrações na Zoho ou qualquer outra integração de terceiros, é preciso garantir a aplicação dos respectivos controles de criptografia. Por exemplo, ative a criptografia de disco em seus dispositivos e use o recurso de exportação com proteção por senha etc.

Backups

Contamos com um sistema robusto para:

  • Manter os backups no nível do sistema criptografados com o algoritmo AES de 256 bits e armazenados em segurança. Executar automaticamente verificações de integridade e validação dos backups completos.
  • Permitir solicitações de restauração de dados e fornecer acesso seguro a eles dentro do período de retenção. Oferecer aos clientes um recurso para exportação e backup de dados.

Você, por sua vez, pode:

  • Programar um backup dos seus dados, exportá-lo dos respectivos serviços da Zoho e armazená-lo localmente em sua infraestrutura, se necessário. Você é responsável por garantir o armazenamento seguro do backup.

Gerenciamento de incidentes

Da nossa parte, nos comprometemos a:

  • Relatar todos os incidentes de violação conhecidos que se aplicam a você, além de detalhes do impacto e instruções de como proceder. No caso de incidentes específicos de um usuário ou uma organização, notificaremos a parte interessada pelo e-mail registrado em nosso sistema.
  • Monitorar esses incidentes e encerrá-los.
  • Implementar controles para evitar a recorrência de incidentes semelhantes.
  • Caso seja solicitado, forneceremos evidências adicionais sobre o incidente que se aplica a você.

Esperamos que você:

  • Tome as medidas sugeridas pela Zoho em caso de violação.
  • Atenda aos requisitos de divulgação e notificação de violação de dados, por exemplo, notificando seus usuários finais e autoridades de proteção de dados, se for o caso.
  • Relate incidentes de segurança e privacidade que você tenha identificado enviando um e-mail para incidents@zohocorp.com.

Conscientização e treinamento

Assumimos total responsabilidade por:

  • Instruir nossos funcionários sobre consciência de segurança e adesão a um padrão seguro de desenvolvimento. Oferecer aos novos funcionários treinamento obrigatório em segurança e privacidade e promover continuamente a conscientização sobre a importância da segurança por meio de e-mails informativos, apresentações e recursos disponíveis na nossa intranet.
  • Ensinar nossos funcionários a dar o tratamento adequado aos dados de clientes nos serviços de nuvem.

Você é responsável por treinar os usuários da nuvem em relação a:

  • Padrões e procedimentos para o uso dos nossos serviços.
  • Gerenciamento dos riscos relacionados aos nossos serviços.
  • Riscos no sistema em geral e no ambiente de rede.
  • Considerações legais e regulamentares aplicáveis.

Política e conformidade

Aderimos a um conjunto de diretrizes, tais como:

  • Contamos com um programa de gerenciamento de riscos abrangente e implementamos os controles com eficiência.
  • Nossas operações estão de acordo com a lei das várias jurisdições em que atuamos.
  • Oferecemos evidências de conformidade com as legislações aplicáveis e com base em nossos requisitos contratuais.
  • Ajudaremos nossos clientes nas avaliações DPIA até o limite permitido pelas leis aplicáveis.

Esperamos que você:

  • Avalie as normas e as leis que se aplicam a você e analise nossa conformidade com as normas e os padrões exigidos pela sua empresa. Você pode solicitar informações adicionais que comprovem a nossa conformidade.
  • Compreenda as políticas, nossos métodos de avaliação de políticas e como processamos os dados.
  • Realize a DPIA conforme exigido pelas leis de proteção de dados aplicáveis à sua organização antes/durante o processamento de dados
  • Avalie sua base jurídica antes de processar quaisquer dados pessoais/confidenciais. Caso sua base jurídica permita, certifique-se de obter o consentimento de seus clientes.
  • Avalie a compatibilidade dos nossos serviços na nuvem com base nas informações fornecidas e assegure que sejam suficientes para atender às suas necessidades de conformidade.
  • Compreenda o perfil de risco e a confidencialidade dos dados hospedados nos serviços da Zoho e aplique os controles adequados.

Responsabilidades da Zoho

Somos responsáveis pela proteção da nuvem em si e pelos controles relacionados que executam todos os serviços da Zoho.

Segurança de dados

  • Somos responsáveis pelo isolamento de seus dados em nosso armazenamento. Os dados de serviço de cada cliente são logicamente separados dos dados de outros clientes usando um conjunto de protocolos seguros na estrutura.
  • Somos responsáveis pela confidencialidade dos dados armazenados conosco em repouso, na transmissão e durante o processamento.
  • Somos responsáveis pela integridade dos seus dados e dos dados do sistema, como registros e dados de configuração.
  • Somos responsáveis pela rastreabilidade e controle dos seus dados, de modo que seja possível saber a localização física e o processamento desses dados a qualquer momento.

Disponibilidade

  • Somos responsáveis por garantir que nossos serviços estejam disponíveis 99,9% do tempo, como definido em nosso SLA, tomando as medidas adequadas para lidar com falhas de hardware/software e ameaças como ataques de negação de serviço.
  • Como cliente, você pode acessar zohostatus.com a qualquer momento para visualizar o status atual do site e consultar informações de interrupções anteriores.

Continuidade dos negócios

  • Somos responsáveis por ter um plano de continuidade dos negócios em vigor para nossas principais operações, como suporte e gerenciamento de infraestrutura.
  • Garantiremos a replicação entre data centers dos dados de aplicativos salvos no armazenamento resiliente. Como os dados presentes no data center principal são replicados no secundário quase em tempo real, em caso de desastres, podemos passar as operações para o DC secundário.

Controles de rede

Somos responsáveis pela operação de uma rede de produção segura. Usamos firewalls para evitar que nossa rede tenha acesso não autorizado e tráfego indesejado. O acesso às redes de produção é rigorosamente controlado.

Infraestrutura de host

Somos responsáveis pela proteção e segurança da infraestrutura de host. Todos os servidores provisionados na rede de produção são protegidos de acordo com as normas. Também adotamos tecnologias de gerenciamento de patches do SO, configuração de linha de base e detecção de invasão de host para manter uma infraestrutura segura.

Segurança física

Somos responsáveis por garantir a proteção da nossa infraestrutura contra acesso físico não autorizado, invasão e desastres.

Conclusão

O modelo de divisão de responsabilidades para segurança na nuvem fornece expectativas claras de segurança para usuários e prestadores de serviços na nuvem. No entanto, compreender as expectativas é apenas o primeiro passo. Os usuários precisam assumir essas responsabilidades criando políticas e procedimentos para fazer a parte deles na manutenção da segurança na nuvem. A Zoho continuará trabalhando arduamente para manter seus dados seguros – como sempre – e se esforçará para viabilizar um ambiente seguro na nuvem.

Caso tenha alguma outra dúvida sobre este tópico, envie um e-mail para security@zohocorp.com