Segurança Organizacional
Introdução
A Jitterbit se esforça para aplicar as melhores práticas operacionais dos principais provedores de computação em nuvem em todo o mundo. Isso inclui:
Confidencialidade
As medidas de confidencialidade do Harmony funcionam para proteger os dados confidenciais do cliente contra acesso não autorizado. Além das camadas de segurança física e lógica fornecidas por nosso software e infraestrutura física, nossas políticas internas ditam:
- Separação de funções: O acesso ao sistema de produção do Harmony está disponível apenas para a equipe Jitterbit Operations. Quaisquer alterações no ambiente de produção devem ser aplicadas pela equipe Jitterbit Operations.
- Mínimo Necessário e Menor Privilégio: Dentro da equipe Jitterbit Operations, o acesso é restrito aos vários serviços Jitterbit de acordo com a necessidade. A equipe sabe qual funcionário tem acesso a qual recurso de produção do Harmony a qualquer momento e pode revogar esse acesso conforme necessário.
Política de Pessoal
A política de pessoal da Jitterbit é projetada para manter um alto nível de confiabilidade dos funcionários e mantê-los cientes dos principais aspectos da segurança e privacidade das informações. Os funcionários devem cumprir um código de conduta que enfatize a confidencialidade, ética e profissionalismo em todas as interações com os usuários, parceiros e concorrentes da Jitterbit. Todos os funcionários assinam um acordo de confidencialidade que protege os dados dos clientes da Jitterbit. Todos os funcionários da Jitterbit recebem treinamento e testes regulares de segurança.
Operações Jitterbit
A equipe Jitterbit Operations é responsável por definir e executar procedimentos para gerenciamento de lançamento de aplicativos, atualizações de hardware e sistema operacional, monitoramento de integridade do sistema e outras atividades necessárias para a manutenção do Harmony.
As responsabilidades da equipe incluem:
- Revisão da segurança do projeto e implementação da infraestrutura em nuvem.
- Implementação de procedimentos que seguem padrões de segurança, como Cloud Security Alliance (CSA) e Cloud Internet Security (CIS).
- Definir e implementar política de gerenciamento de identidade e acesso e procedimentos para atribuir identidades únicas e rastreáveis a cada membro autorizado da equipe Jitterbit.
- Definir classificações de confidencialidade de dados que exigem que os funcionários que acessam as informações do cliente Harmony o façam de uma maneira prescrita que limita a possibilidade de acesso não autorizado.
- Identificar e implementar tecnologias que protegem as informações do cliente, incluindo tecnologias de criptografia de nível FIPS 140-2 para dados em trânsito e dados em repouso.
- Realização de avaliações técnicas e não técnicas de segurança da informação (avaliações) que são baseadas em testes de penetração, varreduras de vulnerabilidade e auditorias contra os principais regulamentos e códigos de prática padrão.
- Monitoramento dos aplicativos e infraestrutura do Harmony para possíveis problemas de segurança.
- Correção de descobertas e problemas rapidamente.
Jitterbit Engenharia
A equipe Jitterbit Engineering é responsável por projetar, desenvolver, implementar e testar os serviços de software fornecidos pela Harmony. A equipe de Engenharia trabalha em estreita colaboração com a equipe de Operações para identificar problemas de segurança, desenvolver procedimentos de monitoramento e implementar tecnologia de proteção. As responsabilidades de segurança da equipe de Engenharia incluem:
- Definir e implementar práticas seguras de design e codificação.
- Realização de revisões de design para identificar possíveis problemas de segurança antes da codificação.
- Realização de revisões de código para identificar o código que pode ser explorado para conceder acesso não autorizado aos dados do cliente.
- Realização de revisões de código para identificar códigos que possam impactar negativamente a disponibilidade.
- Realização de testes de carga em ambientes de pré-produção para verificar se os requisitos de disponibilidade foram atendidos.
Jitterbit Controle de Qualidade
A equipe Jitterbit QA é responsável por realizar testes de regressão novos e existentes em todos os softwares lançados pela Engenharia para garantir que nenhum problema funcional ou de segurança seja introduzido com alterações no software. A equipe Jitterbit QA executa sua função em um ambiente separado que se assemelha muito às configurações de produção. A equipe Jitterbit QA deve aprovar qualquer versão de software antes que a equipe Jitterbit Operations possa implantar esse software no ambiente de produção Harmony.
Harmony Trust Site
A disponibilidade e os status de segurança do Harmony são monitorados 24 horas por dia, sete dias por semana pela equipe de operações do Jitterbit. Os dados pertencentes a esse monitoramento são publicados no site Jitterbit Trust dando aos usuários e ao público visibilidade transparente de nossas operações.
Gerenciamento de Identidade e Acesso
Controle de Acesso e Privilégio Mínimo
A política de gerenciamento de identidade e acesso exige que todo o pessoal da Jitterbit que tenha acesso aos ambientes de produção Harmony seja fornecido com identidades únicas e rastreáveis na forma de um ID de usuário. A política de gerenciamento de identidade e acesso impõe o princípio do menor privilégio, que restringe o pessoal ao nível mínimo de acesso necessário para concluir suas tarefas atribuídas.
Revisão Periódica de Acesso
Instâncias virtuais, firewalls, servidores de banco de dados e outros softwares e hardwares de infraestrutura são protegidos por identidades de usuários que receberam um conjunto limitado de permissões. As concessões de permissão são revisadas regularmente pela equipe de Operações e revogadas quando um funcionário deixa a empresa. A equipe de operações impõe uma política de senha em todos os ambientes de produção Harmony que exigem senhas fortes, expiração regular de senha e restrições na reutilização de senha.
Gerenciamento de Incidentes
O objetivo da política de gerenciamento de incidentes da Jitterbit não é apenas fechar incidentes de forma rápida e eficaz, mas também coletar e distribuir informações de incidentes para que os processos sejam continuamente aprimorados e as respostas futuras sejam orientadas pelo conhecimento acumulado.
O gerenciamento de incidentes inclui diagnóstico inicial, classificação, priorização, escalonamento e encerramento. Todos os incidentes que não afetam os usuários do Harmony são registrados no sistema de rastreamento de problemas de engenharia. Quaisquer problemas que afetem os usuários são registrados no sistema de Suporte ao Cliente para que quaisquer efeitos nos SLAs sejam rastreados.
Gerenciamento de Patches e Alta Disponibilidade
A Jitterbit está continuamente fortalecendo seus produtos à medida que surgem novas ameaças à segurança. Além disso, a infraestrutura de software que utilizamos também está sendo fortalecida.
Para manter o software atualizado, a equipe de operações trabalha com a equipe de engenharia e controle de qualidade seguindo uma política de gerenciamento de patches detalhada que cobre a descoberta, teste e implantação de patches de segurança. A estratégia de infraestrutura virtual da AWS e do Harmony permite que o Harmony permaneça disponível, mesmo durante as atualizações.
A equipe de operações monitora ativamente os avisos de segurança do fornecedor e se inscreve para novas notificações de lançamento de patch.
Gerenciamento de Capacidade
Atualmente, o Harmony suporta milhares de usuários ativos que realizam vários processos de integração. A plataforma Harmony foi desenvolvida para escalar dinamicamente. Os principais serviços que expõem APIs para nossas ferramentas e usuários são executados no Apache Tomcat. Nossos sistemas rastreiam a taxa de uso atual e provisionam e interrompem automaticamente as instâncias do EC2 conforme necessário.