Segurança organizacional do Jitterbit Harmony
Introdução
O Jitterbit aplica as melhores práticas operacionais dos principais provedores de computação em nuvem ao redor do mundo. Isso inclui:
Confidencialidade
As medidas de confidencialidade do Harmony trabalham para proteger dados sensíveis de clientes contra acesso não autorizado. Além das camadas de segurança física e lógica fornecidas pelo nosso software e infraestrutura física, nossas políticas internas ditam:
- Separação de funções: O acesso ao sistema de produção do Harmony está disponível apenas para a equipe de Operações do Jitterbit. Quaisquer alterações no ambiente de produção devem ser aplicadas pela equipe de Operações do Jitterbit.
- Mínimo necessário e menor privilégio: Dentro da equipe de Operações do Jitterbit, o acesso é restrito aos vários serviços do Jitterbit conforme a necessidade. A equipe sabe qual funcionário tem acesso a qual recurso de produção do Harmony a qualquer momento e pode revogar esse acesso conforme necessário.
Política de pessoal
A política de pessoal do Jitterbit é projetada para manter um alto nível de confiabilidade dos funcionários e para manter os funcionários cientes dos aspectos-chave da segurança da informação e privacidade. Os funcionários devem cumprir um código de conduta que enfatiza a confidencialidade, ética e profissionalismo em todas as interações com os usuários, parceiros e concorrentes do Jitterbit. Todos os funcionários assinam um acordo de confidencialidade que protege os dados dos clientes do Jitterbit. Todos os funcionários do Jitterbit recebem treinamento e testes regulares de segurança que são aprovados por um auditor externo.
Teste de penetração
Os testes de penetração são realizados por um auditor externo regularmente. Os testes são realizados em três níveis: aplicativo, produto e rede. Os resultados dos testes de penetração estão disponíveis mediante solicitação através do nosso Centro de Segurança.
OWASP checks
A Jitterbit realiza verificações regulares recomendadas pelo Open Web Application Security Project (OWASP). Quaisquer vulnerabilidades identificadas são priorizadas para melhorar a segurança da aplicação e reduzir o risco de violações.
Secure SDLC
Práticas de segurança são incorporadas em cada fase do ciclo de vida de desenvolvimento de software (SDLC) para identificar e mitigar vulnerabilidades de segurança o mais cedo possível. As equipes de Operações, Engenharia e QA da Jitterbit são responsáveis por diferentes aspectos da segurança durante o ciclo de vida.
Jitterbit Operations
A equipe de Operações da Jitterbit é responsável por definir e executar procedimentos para gerenciamento de lançamento de aplicações, atualizações de hardware e sistema operacional, monitoramento da saúde do sistema e outras atividades necessárias para a manutenção do Harmony.
As responsabilidades da equipe incluem:
- Revisar a segurança do design e implementação da infraestrutura em nuvem.
- Implementar procedimentos que sigam padrões de segurança, como Cloud Security Alliance (CSA) e Cloud Internet Security (CIS).
- Definir e implementar políticas de gerenciamento de identidade e acesso, e procedimentos para atribuir identidades únicas e rastreáveis a cada membro autorizado da equipe Jitterbit.
- Definir classificações de confidencialidade de dados que exijam que os funcionários que acessam informações de clientes do Harmony o façam de maneira prescrita que limite a possibilidade de acesso não autorizado.
- Identificar e implementar tecnologias que protejam as informações dos clientes, incluindo tecnologias de criptografia de nível FIPS 140-2 para dados em trânsito e dados em repouso.
- Realizar avaliações de segurança da informação técnicas e não técnicas (avaliações) que se baseiam em testes de penetração, varreduras de vulnerabilidades e auditorias contra regulamentações principais e códigos de prática padrão.
- Monitorar as aplicações e a infraestrutura do Harmony em busca de possíveis problemas de segurança.
- Remediar descobertas e problemas rapidamente.
Jitterbit Engineering
A equipe de Engenharia da Jitterbit é responsável por projetar, desenvolver, implementar e testar os serviços de software fornecidos pelo Harmony. A equipe de Engenharia trabalha em estreita colaboração com a equipe de Operações para identificar preocupações de segurança, desenvolver procedimentos de monitoramento e implementar tecnologias de proteção. As responsabilidades de segurança da equipe de Engenharia incluem:
- Definir e implementar práticas de design e codificação seguras.
- Realizar revisões de design para identificar possíveis preocupações de segurança antes da codificação.
- Realizar revisões de código para identificar códigos que possam ser explorados para conceder acesso não autorizado aos dados dos clientes.
- Realizar revisões de código para identificar códigos que possam impactar negativamente a disponibilidade.
- Realizar testes de carga em ambientes de pré-produção para verificar se os requisitos de disponibilidade foram atendidos.
Jitterbit QA
A equipe de QA da Jitterbit é responsável por realizar novos e existentes testes de regressão em todo o software lançado pela Engenharia para garantir que nenhum problema de segurança ou funcionalidade seja introduzido com as mudanças no software. A equipe de QA da Jitterbit desempenha sua função em um ambiente separado que se assemelha de perto às configurações de produção. A equipe de QA da Jitterbit deve aprovar qualquer lançamento de software antes que a equipe de Operações da Jitterbit possa implantar esse software no ambiente de produção do Harmony.
FIPS 140-2 auth
A Jitterbit está em conformidade com os requisitos de autenticação do FIPS 140-2.
Single sign-on
Os funcionários da Jitterbit usam o single sign-on (SSO) para se autenticar nos sistemas internos da Jitterbit.
E2E encryption
Todo o tráfego interno da Jitterbit utiliza criptografia de ponta a ponta (E2E) para garantir que apenas os destinatários pretendidos possam acessar os dados transmitidos.
Jitterbit status site
A disponibilidade e os status de segurança do Harmony são monitorados 24 horas por dia, sete dias por semana, pela equipe de Operações da Jitterbit. Os dados relacionados a esse monitoramento são publicados no site de status da Jitterbit, proporcionando aos usuários e ao público visibilidade transparente sobre nossas operações.
Gestão de identidade e acesso
Controle de acesso e menor privilégio
A política de gestão de identidade e acesso exige que todo o pessoal da Jitterbit que tenha acesso aos ambientes de produção do Harmony seja provisionado com identidades únicas e rastreáveis na forma de um ID de usuário. A política de gestão de identidade e acesso impõe o princípio do menor privilégio, que restringe o pessoal ao nível mínimo de acesso necessário para concluir suas tarefas designadas.
Revisão periódica de acesso
Instâncias virtuais, firewalls, servidores de banco de dados e outros softwares e hardwares de infraestrutura são protegidos por identidades de usuários que receberam um conjunto limitado de permissões. As concessões de permissão são revisadas regularmente pela equipe de Operações e revogadas quando um funcionário deixa a empresa. A equipe de Operações aplica uma política de senhas em todos os ambientes de produção do Harmony que exige senhas fortes, expiração regular de senhas e restrições sobre a reutilização de senhas.
Gestão de incidentes
O objetivo da política de gestão de incidentes da Jitterbit não é apenas fechar incidentes de forma rápida e eficaz, mas também coletar e distribuir informações sobre incidentes para que os processos sejam continuamente aprimorados e as respostas futuras sejam orientadas pelo conhecimento acumulado.
A gestão de incidentes inclui diagnóstico inicial, classificação, priorização, escalonamento e fechamento. Todos os incidentes que não afetam os usuários do Harmony são registrados no sistema de rastreamento de problemas de engenharia. Quaisquer problemas que afetem os usuários são registrados no sistema de Suporte ao Cliente para que quaisquer efeitos nos SLAs sejam monitorados.
Os detalhes das políticas de gestão de incidentes da Jitterbit estão disponíveis em nosso Centro de Segurança de autoatendimento.
Gestão de patches e alta disponibilidade
A Jitterbit está continuamente fortalecendo seus produtos à medida que novas ameaças à segurança surgem. Além disso, a infraestrutura de software que utilizamos também está sendo fortalecida.
Para manter o software atualizado, a equipe de Operações trabalha com a equipe de Engenharia e QA seguindo uma política detalhada de gerenciamento de patches que abrange a descoberta, teste e implantação de patches de segurança. O provedor de nuvem e a estratégia de infraestrutura virtual do Harmony permitem que o Harmony permaneça disponível, mesmo durante as atualizações.
A equipe de Operações monitora ativamente os avisos de segurança dos fornecedores e se inscreve para notificações de novos lançamentos de patches.
Gerenciamento de capacidade
Atualmente, o Harmony suporta milhares de usuários ativos que realizam vários processos de integração. A plataforma Harmony foi desenvolvida para escalar dinamicamente. Os serviços principais que expõem APIs para nossas ferramentas e usuários são executados no Apache Tomcat. Nossos sistemas rastreiam a taxa de uso atual e provisionam automaticamente instâncias EC2 conforme necessário.