Ir para o conteúdo

Segurança organizacional do Jitterbit Harmony

Introdução

A Jitterbit aplica as melhores práticas operacionais dos principais provedores de computação em nuvem do mundo. Isso inclui:

Confidencialidade

As medidas de confidencialidade da Harmony visam proteger dados sensíveis de clientes contra acesso não autorizado. Além das camadas de segurança física e lógica fornecidas por nosso software e infraestrutura física, nossas políticas internas determinam:

  • Separação de funções: O acesso ao sistema de produção da Harmony está disponível apenas para a equipe de Operações da Jitterbit. Quaisquer alterações no ambiente de produção devem ser aplicadas pela equipe de Operações da Jitterbit.
  • Mínimo necessário e privilégio mínimo: Dentro da equipe de Operações da Jitterbit, o acesso aos diversos serviços da Jitterbit é restrito conforme a necessidade. A equipe sabe qual funcionário tem acesso a qual recurso de produção do Harmony a qualquer momento e pode revogar esse acesso conforme necessário.

Política de pessoal

A política de pessoal da Jitterbit foi elaborada para manter um alto nível de confiabilidade dos funcionários e mantê-los cientes dos principais aspectos da segurança e privacidade da informação. Os funcionários devem cumprir um código de conduta que enfatiza a confidencialidade, a ética e o profissionalismo em todas as interações com usuários, parceiros e concorrentes da Jitterbit. Todos os funcionários assinam um acordo de confidencialidade que protege os dados dos clientes da Jitterbit. Todos os funcionários da Jitterbit recebem treinamento e testes de segurança regulares, aprovados por um auditor externo.

Teste de penetração

Os testes de penetração são realizados regularmente por um auditor externo. Os testes são realizados em três níveis: aplicativo, produto e rede. Os resultados dos testes de penetração estão disponíveis mediante solicitação em nossa central de autoatendimento Central de Segurança.

Verificações OWASP

A Jitterbit realiza verificações regulares recomendadas pelo Open Web Application Security Project (OWASP). Quaisquer vulnerabilidades identificadas são priorizadas para aprimorar a segurança das aplicações e reduzir o risco de violações.

SDLC seguro

Práticas de segurança são incorporadas a cada fase do ciclo de vida de desenvolvimento de software (SDLC) para identificar e mitigar vulnerabilidades de segurança o mais cedo possível. As equipes de Operações, Engenharia e QA da Jitterbit são responsáveis por diferentes aspectos da segurança durante o ciclo de vida.

Operações Jitterbit

A equipe de operações do Jitterbit é responsável por definir e executar procedimentos para gerenciamento de lançamento de aplicativos, atualizações de hardware e sistema operacional, monitoramento da integridade do sistema e outras atividades necessárias para a manutenção do Harmony.

As responsabilidades da equipe incluem:

  • Revisar a segurança do design e da implementação da infraestrutura de nuvem.
  • Implementar procedimentos que sigam padrões de segurança, como Cloud Security Alliance (CSA) e Cloud Internet Security (CIS).
  • Definir e implementar políticas de gerenciamento de identidade e acesso, e procedimentos para atribuir identidades únicas e rastreáveis a cada membro autorizado da equipe Jitterbit.
  • Definir classificações de confidencialidade de dados que exijam que os funcionários que acessam as informações dos clientes da Harmony o façam de uma maneira prescrita que limite a possibilidade de acesso não autorizado.
  • Identificar e implementar tecnologias que protejam as informações do cliente, incluindo tecnologias de criptografia de nível FIPS 140-2 para dados em trânsito e dados em repouso.
  • Realizar avaliações técnicas e não técnicas de segurança da informação (avaliações) baseadas em testes de penetração, varreduras de vulnerabilidades e auditorias em relação a regulamentações básicas e códigos de prática padrão.
  • Monitorar os aplicativos e a infraestrutura do Harmony para possíveis problemas de segurança.
  • Corrigir descobertas e problemas rapidamente.

Engenharia Jitterbit

A equipe de Engenharia da Jitterbit é responsável por projetar, desenvolver, implementar e testar os serviços de software fornecidos pela Harmony. A equipe de Engenharia trabalha em estreita colaboração com a equipe de Operações para identificar problemas de segurança, desenvolver procedimentos de monitoramento e implementar tecnologias de proteção. As responsabilidades de segurança da equipe de Engenharia incluem:

  • Definir e implementar práticas seguras de design e codificação.
  • Realizar revisões de projeto para identificar possíveis problemas de segurança antes da codificação.
  • Realizar revisões de código para identificar códigos que possam ser explorados para conceder acesso não autorizado aos dados do cliente.
  • Realizar revisões de código para identificar códigos que possam impactar negativamente a disponibilidade.
  • Realizar testes de carga em ambientes de pré-produção para verificar se os requisitos de disponibilidade foram atendidos.

Controle de qualidade do Jitterbit

A equipe de QA da Jitterbit é responsável por realizar testes de regressão novos e existentes em todos os softwares lançados pela Engenharia para garantir que nenhum problema de segurança ou funcionalidade seja introduzido com alterações no software. A equipe de QA da Jitterbit desempenha sua função em um ambiente separado, que se assemelha bastante às configurações de produção. A equipe de QA da Jitterbit deve aprovar qualquer versão de software antes que a equipe de Operações da Jitterbit possa implantar -lo no ambiente de produção do Harmony.

Autenticação FIPS 140-2

O Jitterbit está em conformidade com os requisitos de autenticação do FIPS 140-2.

Login único

Os funcionários da Jitterbit utilizam o login único (SSO) para autenticação nos sistemas internos da Jitterbit.

Criptografia E2E

Todo o tráfego interno do Jitterbit usa criptografia de ponta a ponta (E2E) para garantir que somente os destinatários pretendidos possam acessar os dados que estão sendo transmitidos.

Site de status do Jitterbit

A disponibilidade e os status de segurança do Harmony são monitorados 24 horas por dia, sete dias por semana, pela Equipe de Operações da Jitterbit. Os dados referentes a esse monitoramento são publicados no site de status da Jitterbit proporcionando aos usuários e ao público visibilidade transparente sobre nossas operações.

Gerenciamento de identidade e acesso

Controle de acesso e privilégio mínimo

A política de gerenciamento de identidade e acesso exige que todos os funcionários da Jitterbit com acesso aos ambientes de produção do Harmony possuam identidades únicas e rastreáveis na forma de um ID de usuário. A política de gerenciamento de identidade e acesso aplica o princípio do privilégio mínimo, que restringe os funcionários ao nível mínimo de acesso necessário para a conclusão das tarefas atribuídas.

Revisão periódica de acesso

Instâncias virtuais, firewalls, servidores de banco de dados e outros softwares e hardwares de infraestrutura são protegidos por identidades de usuário que receberam um conjunto limitado de permissões. As permissões concedidas são revisadas regularmente pela equipe de Operações e revogadas quando um funcionário deixa a empresa. A equipe de Operações aplica uma política de senhas em todos os ambientes de produção do Harmony, que exige senhas fortes, expiração regular de senhas e restrições à reutilização de senhas.

Gestão de incidentes

O objetivo da política de gerenciamento de incidentes da Jitterbit não é apenas fechar incidentes de forma rápida e eficaz, mas também coletar e distribuir informações sobre incidentes para que os processos sejam continuamente aprimorados e as respostas futuras sejam orientadas pelo conhecimento acumulado.

O gerenciamento de incidentes inclui diagnóstico inicial, classificação, priorização, escalonamento e encerramento. Todos os incidentes que não afetam os usuários do Harmony são registrados no sistema de rastreamento de problemas de engenharia. Quaisquer problemas que afetem os usuários são registrados no sistema de Suporte ao Cliente para que quaisquer impactos nos SLAs sejam rastreados.

Gerenciamento de patches e alta disponibilidade

A Jitterbit está continuamente aprimorando seus produtos à medida que surgem novas ameaças à segurança. Além disso, a infraestrutura de software que utilizamos também está sendo fortalecida.

Para manter o software atualizado, a equipe de Operações trabalha com as equipes de Engenharia e Controle de Qualidade seguindo uma política detalhada de gerenciamento de patches que abrange a descoberta, o teste e a implantação de patches de segurança. A estratégia de infraestrutura virtual do provedor de nuvem e da Harmony permite que a Harmony permaneça disponível, mesmo durante atualizações.

A equipe de operações monitora ativamente os avisos de segurança dos fornecedores e assina as notificações de novos lançamentos de patches.

Gestão de capacidade

Atualmente, o Harmony oferece suporte a milhares de usuários ativos que realizam diversos processos de integração. A plataforma Harmony foi desenvolvida para escalar dinamicamente. Os principais serviços que expõem APIs às nossas ferramentas e usuários são executados no Apache Tomcat. Nossos sistemas monitoram a taxa de utilização atual e provisionam e interrompem instâncias EC2 automaticamente, conforme necessário.