Segurança

A proteção dos dados dos clientes é uma das principais prioridades da Delighted. Entendemos que você está confiando seus dados a nós e levamos muito a sério a responsabilidade de protegê-los.

Infraestrutura

  • Delightedfoi projetada para ser segura e confiável. Usamos uma arquitetura de n camadas com firewalls entre cada camada e, adicionalmente, dentro de determinadas camadas entre os serviços. Os serviços são acessíveis somente por outros serviços que exigem acesso. As chaves de acesso são rotacionadas regularmente e armazenadas separadamente do nosso código e dos nossos dados.

  • Delighted foi desenvolvido com capacidade de tolerância a falhas. Cada um de nossos serviços é totalmente redundante com replicação e failover. Os serviços são distribuídos em várias zonas de disponibilidade do AWS. Essas zonas são hospedadas em data centers fisicamente separados, protegendo os serviços contra falhas de um único data center.

  • Nossa aplicação é hospedada e gerenciada dentro dos centros de dados seguros da Amazon Web Services (AWS). Estes centros de dados foram credenciados sob:

    • ISO 27001
    • SOC 1 e SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 - Tipo II)
    • PCI Nível 1
    • FISMA Moderado
    • Sarbanes-Oxley (SOX)

    Fazemos amplo uso das capacidades e serviços fornecidos pela AWS para aumentar a privacidade e controlar o acesso à rede em todo o nosso sistema. Os documentos que fornecem mais detalhes sobre a segurança AWS estão disponíveis nos Whitepapers da AWS.

  • Delighted utiliza ferramentas de segurança para verificar continuamente se há vulnerabilidades. Além disso, as vulnerabilidades em bibliotecas e ferramentas de terceiros são monitoradas e o software é corrigido ou atualizado imediatamente quando novos problemas são relatados.

    O sistema passa regularmente por revisões de segurança de terceiros e testes de penetração para identificar possíveis vulnerabilidades e garantir que elas sejam abordadas.

  • Nossos servidores são protegidos por firewalls e não estão diretamente expostos à Internet.

  • Delighted executa uma rede corporativa de confiança zero. Não há recursos corporativos ou privilégios adicionais por estar na rede corporativa da Delighted.

Dados

  • Delighted Os armazenamentos de dados podem ser acessados somente pelos servidores que precisam de acesso. As chaves de acesso são armazenadas separadamente do nosso repositório de código-fonte e estão disponíveis apenas para os sistemas que as exigem. Além disso, os ambientes de produção são isolados dos ambientes de teste.

  • Mantemos backups criptografados seguros de dados importantes por um mínimo de 30 dias. Não removemos retroativamente os dados excluídos dos backups, pois podemos precisar restaurá-los, caso sejam removidos acidentalmente. Os dados de backup são totalmente expurgados após 90 dias.

  • Nós agregamos logs para garantir o armazenamento criptografado. Todas as informações sensíveis (incluindo senhas, chaves API e questões de segurança) são filtradas de nossos logs do servidor. Os dados dos logs são totalmente expurgados após 90 dias.

Autenticação

  • Nunca armazenamos senhas em uma forma que possa ser recuperada. Ao invés disso, armazenamos um hash criptográfico irreversível usando uma função especificamente projetada para este fim. As sessões de autenticação são invalidadas quando os usuários mudam informações-chave e as sessões expiram automaticamente após um período de inatividade.

  • Fornecemos autenticação opcional de dois fatores (denominada segurança em duas etapas) para todas as contas. A segurança em duas etapas oferece maior proteção à sua conta. Uma vez ativada, será solicitado um código que enviaremos para o seu telefone celular, além do seu nome de usuário e senha, ao entrar em Delighted.

  • Monitoramos e classificamos as tentativas de autenticação de limites em todas as contas.

  • Fornecemos múltiplas funções de usuário com diferentes níveis de permissão dentro do produto. As funções variam de proprietários de conta, a administradores, usuários e funções que limitam a visibilidade das Informações Pessoais Identificáveis (IPI).

Criptografia

  • Todo o tráfego da Web Delighted é servido por HTTPS. Forçamos o uso de HTTPS para todos os recursos da Web, inclusive nosso REST API, aplicativo da Web e site público. Também usamos o HSTS para garantir que os navegadores se comuniquem com nossos serviços usando exclusivamente HTTPS. Além disso, usamos apenas suítes de cifras fortes.

  • Nossas bases de dados primárias, incluindo backups, estão totalmente criptografadas em repouso. Além disso, todos os arquivos e registros são totalmente criptografados em repouso. Utilizamos algoritmos de criptografia padrão da indústria.

Políticas

  • Delighted desenvolveu um conjunto abrangente de políticas de segurança que cobrem uma série de tópicos. Essas políticas são atualizadas com frequência e compartilhadas com os funcionários.

  • Delighted tem um protocolo definido para responder a eventos de segurança.

  • Todos os funcionários completam o treinamento de segurança quando aderem e são continuamente atualizados.

  • Delighted realiza verificações de antecedentes de todos os novos funcionários de acordo com as leis locais. A verificação de antecedentes inclui verificação de emprego e verificações criminais para funcionários dos EUA.

  • Todos os funcionários assinaram um contrato de confidencialidade com a Delighted.

  • Todos os pagamentos com cartão de crédito feitos ao Delighted passam por nosso parceiro de processamento de pagamentos, o Stripe. Detalhes sobre sua postura de segurança e conformidade com o PCI podem ser encontrados na página de segurança do Stripe.

  • Se você tiver alguma preocupação ou descobrir algum problema de segurança, favor compartilhar os detalhes usando o formulário de envio. Nossa equipe de Segurança acusará o recebimento de cada relatório de vulnerabilidade, conduzirá uma investigação completa e, em seguida, tomará as medidas apropriadas para a resolução. Solicitamos que você não divulgue publicamente nenhum problema que tenha descoberto até que o tenhamos abordado.