Política de Segurança

Auditoria e certificação:

O Vmaker trabalha com empresas independentes de terceiros para garantir práticas de segurança que atendam consistentemente aos melhores padrões do setor. Somos uma empresa certificada ISO 27001:2013. O Vmaker está disposto a compartilhar a certificação ISO mediante solicitação razoável dos clientes.

O Vmaker utiliza a plataforma de processamento de pagamentos Stripe. Para mais informações sobre as práticas de segurança da Stripe, consulte https://stripe.com/docs/security/stripe.

Estrutura de Privacidade:

O Vmaker garante que seus processos e procedimentos estejam em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Para saber mais detalhes, visite nossa Política de Privacidade aqui.

Testes de Vulnerabilidade:

O Vmaker segue um processo estruturado de desenvolvimento e lançamento de código. Como parte desse processo, todo o código é revisado por pares. O Vmaker disponibiliza ferramentas de análise de código específicas para que os engenheiros possam aplicar ao código do aplicativo. O Vmaker também realiza testes contínuos pós-produção com base em ameaças em tempo real. O Vmaker conduz rigorosos testes internos contínuos de sua superfície de aplicação por meio de vários tipos de exercícios de teste de penetração. Além disso, o Vmaker coordena testes de penetração externos de terceiros usando testadores de penetração qualificados e certificados.

Testes de penetração e varreduras de segurança regulares:

O Backend do Vmaker é regularmente analisado com ferramentas de varredura padrão do setor para monitoramento e detecção de vulnerabilidades. Além disso, uma vez por ano, realizamos um teste de penetração completo e detalhado usando empresas terceirizadas de teste de penetração.

Treinamento de Segurança para a Equipe Vmaker:

Todos os membros da nossa equipe passam por um treinamento de conscientização em segurança regularmente para aumentar a conscientização sobre segurança.

Criptografia de Dados:

Os dados em trânsito e em repouso são criptografados. Utilizamos o AWS KMS (Key Management Service) para todas as nossas chaves. A conexão de dados com nosso aplicativo é criptografada e autenticada usando um protocolo forte (TLS 1.2), uma troca de chaves forte (ECDHE_RSA com P-256) e um cifrador forte (AES_128_GCM). Usamos o certificado SSL assinado pela GoDaddy. Todos os comandos de criptografia de chave simétrica usados dentro do HSA utilizam o Padrão Avançado de Criptografia (AES), no modo Galois Counter (GCM) usando chaves de 256 bits. As chamadas análogas para descriptografar usam a função inversa. O volume EBS do Amazon EC2 é criptografado usando AES-256-XTS. Isso requer duas chaves de volume de 256 bits, o que equivale a uma chave de volume de 512 bits. A chave de volume é criptografada sob uma Chave Mestra do Cliente e armazenada junto com os metadados do volume.

Treinamento / Conscientização:

O Vmaker possui um programa formal e documentado de treinamento de conscientização em segurança durante o processo de integração e outros treinamentos, que ocorrem a cada seis meses.

Sistema de Resposta e Relato de Incidentes:

O Vmaker possui um plano de resposta a incidentes documentado e formal. O Vmaker realiza testes anuais de seus processos de resposta a emergências. Nossos funcionários são treinados sobre como comunicar incidentes internamente e nossos clientes são mantidos informados sobre incidentes que afetam seu serviço por e-mail. O Vmaker possui um processo de gerenciamento de incidentes bem definido e rigoroso para eventos de segurança. Se um incidente envolver dados de clientes, o Vmaker informará o cliente e apoiará os esforços investigativos por meio de nossa equipe de suporte dentro de 72 horas. Após a resolução de um evento de segurança, registramos uma análise detalhada da causa raiz. Isso é assimilado pelo Vmaker para que possamos detectar quaisquer ações no futuro. O Vmaker pode apoiar solicitações devidamente formalizadas para dados específicos de locatários quando solicitado por autoridades legais. Clientes individuais são notificados caso um incidente afete seus dados.

Automação do Processo de Build:

O Vmaker possui um processo de automação estabelecido que nos permite implantar alterações no aplicativo e na plataforma Vmaker de forma contínua. Isso nos permite resolver problemas de segurança o mais rápido possível.

Infraestrutura do Vmaker:

O Vmaker opera na Amazon Web Services (“AWS”); Todos os nossos dados e sistemas abrangidos estão hospedados na AWS. Assim, a infraestrutura da AWS e sua segurança de rede são de responsabilidade da AWS, conforme detalhado no relatório SOC2 da AWS. Além disso, a equipe de segurança em nuvem do Vmaker monitora e revisa periodicamente a configuração de rede e a segurança do ambiente abrangido.

Os serviços e dados do Vmaker estão hospedados na Amazon Web Services (AWS) (us-west-2 e us-east-1). Os dados dos clientes do Vmaker são armazenados em bancos de dados multi-inquilino. Exercemos controles de privacidade rigorosos para garantir que um determinado dado esteja isolado dos dados de outros clientes. O Vmaker realiza testes de integração para verificar nossos controles de privacidade. Esses testes são executados toda vez que nosso código é atualizado e até mesmo uma única falha impede que um novo código seja enviado para produção. Cada sistema Vmaker usado para processar dados de clientes é devidamente configurado e corrigido usando métodos comercialmente razoáveis de acordo com padrões reconhecidos do setor e práticas de segurança.

Transferência de Dados:

Os dados do Vmaker são criptografados em trânsito usando criptografia de 256 bits. Nossos endpoints de API e aplicativo são apenas TLS/SSL e recebem classificação "A+" nos testes do SSL Labs. O Vmaker utiliza suítes de cifras fortes e possui recursos como HSTS e Perfect Forward Secrecy totalmente habilitados. O Vmaker também criptografa dados em repouso usando o algoritmo de criptografia padrão do setor AES-256.

Autenticação:

O Vmaker acredita no modelo de segurança Zero Trust, baseado em um processo rigoroso de verificação de identidade. O framework determina que apenas usuários e dispositivos autenticados e autorizados podem acessar aplicativos e dados. Ao mesmo tempo, protege esses aplicativos e usuários contra ameaças avançadas na internet. O Vmaker possui um modelo de segurança Zero Trust em vigor. O Vmaker não oferece privilégios ou recursos corporativos adicionais por estar na rede Vmaker. O Vmaker estabeleceu autenticação de dois fatores (2FA) e políticas de senha forte no GitHub, Google, AWS e Intercom para garantir que o acesso aos serviços em nuvem esteja protegido.

Permissões e Controles de Administração:

O Vmaker permite que os níveis de permissão sejam definidos para qualquer funcionário com acesso aos Sistemas Abrangidos do Vmaker. As permissões e o acesso podem ser definidos para incluir configurações do aplicativo, faturamento e dados do usuário.

Aplicação Monitorada:

O Vmaker garante que toda ação na rede Vmaker seja registrada e auditada. As atividades de controle de produção também são registradas.