Ir para o conteúdo

Segurança organizacional do Jitterbit Harmony

Introdução

A Jitterbit se esforça para aplicar as melhores práticas operacionais dos principais provedores de computação em nuvem ao redor do mundo. Isso inclui:

Confidencialidade

As medidas de confidencialidade da Harmony funcionam para proteger dados sensíveis do cliente contra acesso não autorizado. Além das camadas de segurança física e lógica fornecidas por nosso software e infraestrutura física, nossas políticas internas determinam:

  • Separação de Tarefas: O acesso ao sistema de produção da Harmony está disponível apenas para a equipe de Operações da Jitterbit. Quaisquer alterações no ambiente de produção devem ser aplicadas pela equipe de Operações da Jitterbit.
  • Mínimo Necessário e Menor Privilégio: Dentro da equipe de Operações Jitterbit, o acesso é restrito aos vários serviços Jitterbit conforme a necessidade. A equipe sabe qual funcionário tem acesso a qual recurso de produção Harmony a qualquer momento e pode revogar esse acesso conforme necessário.

Política de pessoal

A política de pessoal da Jitterbit é projetada para manter um alto nível de confiabilidade dos funcionários e para mantê-los cientes dos principais aspectos da segurança e privacidade das informações. Os funcionários devem cumprir um código de conduta que enfatiza a confidencialidade, a ética e o profissionalismo em todas as interações com usuários, parceiros e concorrentes da Jitterbit. Todos os funcionários assinam um acordo de confidencialidade que protege os dados dos clientes da Jitterbit. Todos os funcionários da Jitterbit recebem treinamento e testes regulares de segurança.

Operações Jitterbit

A equipe de operações do Jitterbit é responsável por definir e executar procedimentos para gerenciamento de lançamento de aplicativos, atualizações de hardware e sistema operacional, monitoramento da integridade do sistema e outras atividades necessárias para a manutenção do Harmony.

As responsabilidades da equipe incluem:

  • Revisar a segurança do design e da implementação da infraestrutura de nuvem.
  • Implementar procedimentos que sigam padrões de segurança, como Cloud Security Alliance (CSA) e Cloud Internet Security (CIS).
  • Definir e implementar políticas de gerenciamento de identidade e acesso, e procedimentos para atribuir identidades únicas e rastreáveis a cada membro autorizado da equipe Jitterbit.
  • Definir classificações de confidencialidade de dados que exijam que os funcionários que acessam as informações dos clientes da Harmony o façam de uma maneira prescrita que limite a possibilidade de acesso não autorizado.
  • Identificar e implementar tecnologias que protejam as informações do cliente, incluindo tecnologias de criptografia de nível FIPS 140-2 para dados em trânsito e dados em repouso.
  • Realização de avaliações técnicas e não técnicas de segurança da informação (avaliações) baseadas em testes de penetração, varreduras de vulnerabilidades e auditorias em relação a regulamentações básicas e códigos de prática padrão.
  • Monitorar os aplicativos e a infraestrutura do Harmony para possíveis problemas de segurança.
  • Corrigir descobertas e problemas rapidamente.

Engenharia Jitterbit

A equipe de Engenharia da Jitterbit é responsável por projetar, desenvolver, implementar e testar os serviços de software fornecidos pela Harmony. A equipe de Engenharia trabalha em estreita colaboração com a equipe de Operações para identificar preocupações de segurança, desenvolver procedimentos de monitoramento e implementar tecnologia de proteção. As responsabilidades de segurança da equipe de Engenharia incluem:

  • Definir e implementar práticas seguras de design e codificação.
  • Realizar revisões de design para identificar possíveis problemas de segurança antes da codificação.
  • Realizar revisões de código para identificar códigos que podem ser explorados para conceder acesso não autorizado aos dados do cliente.
  • Realizar revisões de código para identificar códigos que possam impactar negativamente a disponibilidade.
  • Realizar testes de carga em ambientes de pré-produção para verificar se os requisitos de disponibilidade foram atendidos.

Controle de qualidade do Jitterbit

A equipe de QA do Jitterbit é responsável por realizar testes de regressão novos e existentes em todos os softwares lançados pela Engenharia para garantir que nenhum problema de segurança ou funcional seja introduzido com alterações no software. A equipe de QA do Jitterbit executa sua função em um ambiente separado que se assemelha muito às configurações de produção. A equipe de QA do Jitterbit deve aprovar qualquer lançamento de software antes que a equipe de Operações do Jitterbit possa implantar esse software no ambiente de produção do Harmony.

Site de confiança da Harmony

Os status de disponibilidade e segurança do Harmony são monitorados 24 horas por dia, sete dias por semana pela Equipe de Operações Jitterbit. Os dados relativos a tal monitoramento são publicados no site Jitterbit Trust dando aos usuários e ao público visibilidade transparente em nossas operações.

Gerenciamento de identidade e acesso

Controle de acesso e privilégio mínimo

A política de gerenciamento de identidade e acesso exige que todo o pessoal da Jitterbit que tenha acesso aos ambientes de produção Harmony seja provisionado com identidades únicas e rastreáveis na forma de um ID de usuário. A política de gerenciamento de identidade e acesso aplica o princípio do menor privilégio, que restringe o pessoal ao nível mínimo de acesso necessário para concluir suas tarefas atribuídas.

Revisão periódica de acesso

Instâncias virtuais, firewalls, servidores de banco de dados e outros softwares e hardwares de infraestrutura são protegidos por identidades de usuários que receberam um conjunto limitado de permissões. As concessões de permissão são revisadas regularmente pela equipe de Operações e revogadas quando um funcionário sai da empresa. A equipe de Operações aplica uma política de senha em todos os ambientes de produção Harmony que exigem senhas fortes, expiração regular de senha e restrições à reutilização de senha.

Gestão de incidentes

O objetivo da política de gerenciamento de incidentes da Jitterbit não é apenas fechar incidentes de forma rápida e eficaz, mas também coletar e distribuir informações sobre incidentes para que os processos sejam continuamente aprimorados e as respostas futuras sejam orientadas pelo conhecimento acumulado.

O gerenciamento de incidentes inclui diagnóstico inicial, classificação, priorização, escalonamento e fechamento. Todos os incidentes que não afetam os usuários do Harmony são registrados no sistema de rastreamento de problemas de engenharia. Quaisquer problemas que afetam os usuários são registrados no sistema de Suporte ao Cliente para que quaisquer efeitos nos SLAs sejam rastreados.

Gerenciamento de patches e alta disponibilidade

A Jitterbit está continuamente fortalecendo seus produtos conforme novas ameaças à segurança surgem. Além disso, a infraestrutura de software que usamos também está sendo fortalecida.

Para manter o software atualizado, a equipe de Operações trabalha com a equipe de Engenharia e QA seguindo uma política detalhada de gerenciamento de patches que abrange a descoberta, o teste e a implantação de patches de segurança. A estratégia de infraestrutura virtual da AWS e da Harmony permite que a Harmony permaneça disponível, mesmo durante atualizações.

A equipe de operações monitora ativamente os avisos de segurança dos fornecedores e assina novas notificações de lançamento de patches.

Gestão de capacidade

Atualmente, o Harmony oferece suporte a milhares de usuários ativos que realizam vários processos de integração. A plataforma Harmony foi desenvolvida para escalar dinamicamente. Os principais serviços que expõem APIs para nossas ferramentas e usuários são executados no Apache Tomcat. Nossos sistemas rastreiam a taxa de uso atual e provisionam e interrompem automaticamente as instâncias do EC2 conforme necessário.