Cords Cords Cords

Medidas de segurança do Jitterbit

Efetivo em 8º de dezembro de 2022

Atualizado pela última vez: 6 / 1 / 2021


As principais medidas de segurança implementadas pela Jitterbit para proteger os dados do cliente são descritas neste Anexo de medidas de segurança da Jitterbit:

Política de Segurança Jitterbit

Este documento de Medidas de Segurança da Jitterbit (a “Política de Segurança”) descreve as medidas administrativas, técnicas e físicas que a Jitterbit adota para proteger os Dados do Cliente contra acesso ou divulgação não autorizados. O Jitterbit foi avaliado para atender aos requisitos do SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) e regras do GDPR da UE. A Jitterbit tem um plano de segurança da informação escrito para implementar os termos desta Política de Segurança que é revisado e aprovado anualmente por sua equipe de gerenciamento sênior. Esta Política de Segurança é referenciada e faz parte do seu contrato de Cliente com a Jitterbit (o “Contrato”). No caso de qualquer conflito entre os termos do Contrato e esta Política de Segurança, esta Política de Segurança prevalecerá com relação ao seu objeto. Os termos em letras maiúsculas usados, mas não definidos nesta Política de Segurança, têm os significados estabelecidos no Contrato ou na Documentação.

Privacidade por design: Jitterbit mantém ativamente a proteção de dados e a privacidade em mente a cada passo; isso inclui projetos internos, desenvolvimento de produtos, desenvolvimento de software e sistemas de TI.

Privacidade por padrão: Depois que a Jitterbit lança um produto ou serviço ao público, configurações de privacidade estritas são aplicadas por padrão, sem nenhuma entrada manual do usuário. Além disso, os dados pessoais fornecidos pelo usuário para permitir o uso ideal de um produto são armazenados, processados ​​e/ou transmitidos apenas pelo tempo necessário para fornecer o produto ou serviço, de acordo com os padrões definidos.

1. Acesso e gerenciamento de dados do cliente

1.1 O Cliente controla o acesso à sua conta no Aplicativo Jitterbit por meio de IDs de usuário, senhas e autenticação de dois fatores.
1.2 O pessoal da Jitterbit não tem acesso a dados não criptografados do cliente, a menos que o cliente forneça acesso à sua conta Jitterbit a esse pessoal da Jitterbit. “Pessoal da Jitterbit” significa funcionários da Jitterbit e subcontratados individuais autorizados pela Jitterbit.
1.3 A Jitterbit usa os Dados do Cliente apenas conforme necessário para fornecer o Aplicativo Jitterbit e suporte ao Cliente, conforme previsto no Contrato.
1.4 O aplicativo do cliente e os metadados do projeto gerados pelo aplicativo Jitterbit são hospedados pelo Jitterbit apenas no ambiente de produção do aplicativo Jitterbit e apenas na região de origem (ou seja, os dados dos EUA permanecem nos EUA, os dados da UE permanecem na UE e os dados da APAC em região APAC).
1.5 A Jitterbit deve criar e manter diagrama(s) de fluxo indicando como os Dados do Cliente fluem através do Aplicativo Jitterbit. A Jitterbit fornecerá tal(is) diagrama(s) de fluxo mediante solicitação razoável do Cliente.

2. Separação Lógica dos Dados do Cliente

2.1 Tremulação Harmony isola os dados do cliente usando:

  • Arquitetura de banco de dados segura - banco de dados separado e arquitetura de esquema separada
  • Conexões ou tabelas seguras – Conexões de banco de dados confiáveis
  • Criptografia – obscurece dados críticos para que permaneçam inacessíveis a pessoas não autorizadas, mesmo que tenham acesso a eles. Consulte a Seção 16 para obter mais detalhes.
  • Filtragem: Utilizando uma camada intermediária entre um inquilino e uma fonte de dados que atua como uma peneira, fazendo parecer ao Cliente que seus dados são os únicos dados no banco de dados.
  • Listas de controle de acesso – para determinar quem pode acessar os dados no aplicativo Jitterbit e o que eles podem fazer com eles.

3. Gerenciamento de acesso à infraestrutura de aplicativos Jitterbit

3.1 O acesso aos sistemas e infraestrutura que suportam o Aplicativo Jitterbit é restrito ao Pessoal da Jitterbit que requer tal acesso como parte de suas responsabilidades de trabalho.
3.2 O acesso aos logs do sistema e do aplicativo é restrito ao pessoal autorizado da Jitterbit exclusivamente para fins de suporte, identificação de problemas e melhoria do aplicativo Jitterbit.
3.2 IDs de usuário exclusivas, senhas e credenciais de autenticação de dois fatores em uma conexão VPN são atribuídas ao Pessoal Jitterbit que requer acesso aos servidores Jitterbit que suportam o Aplicativo Jitterbit.
3.3 A política de senha do servidor para o aplicativo Jitterbit no ambiente de produção excede os requisitos de senha do PCI-DSS.
3.4 Os privilégios de acesso do Pessoal Jitterbit separado são desativados imediatamente. Os privilégios de acesso das pessoas que se transferem para empregos que exigem privilégios reduzidos são ajustados de acordo.
3.5 O acesso do usuário aos sistemas e infraestrutura que suportam o Aplicativo Jitterbit é revisado trimestralmente.
3.6 As tentativas de acesso aos sistemas e infraestrutura que suportam o Aplicativo Jitterbit são registradas e monitoradas pela Jitterbit.
3.7 Grupos de segurança da AWS têm políticas padrão de negar tudo e habilitar apenas os protocolos de rede exigidos pelos negócios para tráfego de rede de entrada e saída.
3.8 Firewalls – O Jitterbit usa um firewall de grupos de segurança fornecido pela AWS por trás de um balanceador de carga para controlar o acesso e o tráfego de e para hosts de infraestrutura.
3.9 Detecção de Intrusão – Jitterbit monitora seu IDS Lacework.net

4 Gerenciamento de riscos

4.1 O processo de gerenciamento de riscos da Jitterbit é modelado no NIST 800-30
4.2 A Jitterbit conduz avaliações de risco técnicas e não técnicas de vários tipos ao longo do ano, incluindo avaliações e testes próprios e de terceiros, varreduras automatizadas e revisões manuais.
4.3 Os resultados das avaliações, incluindo relatórios formais conforme o caso, são comunicados aos Responsáveis ​​pela Segurança da Informação e Responsáveis ​​pela Proteção de Dados. Um Comitê de Segurança se reúne quinzenalmente para revisar relatórios, identificar deficiências de controle e mudanças materiais no ambiente de ameaças e fazer recomendações para controles novos ou aprimorados e estratégias de mitigação de ameaças para a alta administração.
4.4 Mudanças nos controles e estratégias de mitigação de ameaças são avaliadas e priorizadas para implementação com base no risco ajustado.
4.5 As ameaças são monitoradas por vários meios, incluindo serviços de inteligência de ameaças, notificações de fornecedores e fontes públicas confiáveis.

5. Varredura de Vulnerabilidade e Teste de Penetração

5.1 As varreduras de vulnerabilidade usando ferramentas de nível comercial são realizadas automaticamente trimestralmente e ad-hoc nos sistemas necessários para operar e gerenciar o aplicativo Jitterbit. O banco de dados de vulnerabilidades é atualizado regularmente.
5.2 Varreduras que detectam vulnerabilidades, atendendo aos critérios de risco definidos pela Jitterbit, são realizadas regularmente; as notificações baseadas em prioridade são compartilhadas com o pessoal de segurança e endereçadas.
5.3 O impacto potencial das vulnerabilidades que acionam alertas é avaliado pela equipe.
5.4 Vulnerabilidades que acionam alertas e têm explorações publicadas são relatadas ao Comitê de Segurança, que determina e supervisiona a ação de correção apropriada.
5.5 O gerenciamento de segurança monitora ou se inscreve em fontes confiáveis ​​de relatórios de vulnerabilidade e inteligência de ameaças. 5.6 Testes de penetração por um especialista terceirizado independente são conduzidos pelo menos uma vez por ano.
5.7 Os testes de penetração realizados pela Jitterbit Security são realizados regularmente ao longo do ano.
5.8 Tremulação Harmony o código é revisado por pessoal interno e externo usando ferramentas de código aberto e de nível comercial. As vulnerabilidades descobertas recebem níveis de criticidade e são corrigidas rapidamente, de acordo com o risco apresentado e as opções de correção.

6. Acesso remoto e rede sem fio

6.1 Todo o acesso aos Jitterbit VPCs (por exemplo, contas de desenvolvimento e produção) requer autenticação por meio de uma conexão segura por meio de métodos aprovados, como VPNs, e reforçado com autenticação de certificado mútuo e autenticação de dois fatores.
6.3 Os escritórios corporativos da Jitterbit, incluindo redes LAN e Wi-Fi nesses escritórios, são considerados redes não confiáveis ​​e exigem autenticação bem-sucedida na VPN nas contas da AWS para acesso. Apenas um membro da equipe de suporte de TI tem permissão para acessar remotamente com segurança a rede do escritório corporativo para dar suporte ao firewall, phonese outras infraestruturas.
6.4 A Jitterbit mantém uma política de não armazenar Dados do Cliente em desktops locais, laptops, dispositivos móveis, unidades compartilhadas, mídia removível, bem como em sistemas públicos que não se enquadrem no controle administrativo ou nos processos de monitoramento de conformidade da Jitterbit.

7. Localização do aplicativo Jitterbit

7.1 Os dados do cliente são armazenados nas regiões de aplicativos Jitterbit disponíveis: EUA, UE e AP; a nuvem dos EUA não replica com nuvem EMEA (ou nuvem AP) ou vice-versa. Cada região dentro dos EUA se replica entre as outras regiões dos EUA.

8. Registro de eventos do sistema

8.1 Ferramentas e serviços de monitoramento são usados ​​para monitorar sistemas, incluindo rede, eventos de servidor e eventos de segurança de API da AWS, eventos de disponibilidade e utilização de recursos.
8.2 Infraestrutura Jitterbit Os logs de eventos de segurança são coletados em um sistema central e protegidos contra adulteração. Os logs são armazenados por 12 meses.
8.3 Tremulação Harmony os logs do aplicativo são coletados em um sistema central e protegidos contra adulteração. Os logs são armazenados por 90 dias

9. Administração do sistema, prevenção de malware e gerenciamento de patches

9.1 A Jitterbit criou, implementou e mantém procedimentos de administração do sistema para sistemas que acessam Dados do Cliente que atendem ou excedem os padrões da indústria, incluindo, sem limitação, reforço do sistema, correção de sistema e dispositivo (sistema operacional e aplicativos) e instalação adequada de software de detecção de ameaças, malware prevenção e assinatura diária e atualizações heurísticas dos mesmos.
9.2 O acesso dos funcionários à Internet é auditado com acesso restrito a sites da lista negra.
9.3 Jitterbit Security revisa o US-Cert e outros anúncios de novas vulnerabilidades semanalmente e avalia seu impacto no Jitterbit com base em um critério de risco definido pelo Jitterbit, incluindo aplicabilidade e gravidade.
9.4 O US-Cert aplicável e outras atualizações de segurança classificadas como “altas” ou “críticas” são resolvidas em até 30 dias após o lançamento do patch.

10. Treinamento de segurança da Jitterbit e pessoal da Jitterbit

10.1 A Jitterbit mantém um programa de conscientização de segurança para o pessoal da Jitterbit, que fornece educação inicial, conscientização contínua e reconhecimento individual da intenção do pessoal da Jitterbit de cumprir as políticas de segurança corporativa da Jitterbit. Os novos contratados concluem o treinamento inicial sobre segurança, HIPAA, CCPA e GDPR, assinam um contrato de informações proprietárias e assinam digitalmente a política de segurança da informação que cobre os principais aspectos da Política de Segurança da Informação da Jitterbit.
10.2 Todos os Funcionários da Jitterbit reconhecem que são responsáveis ​​por relatar incidentes ou preocupações de segurança reais ou suspeitos, roubos, violações, perdas e divulgações ou acessos não autorizados aos Dados do Cliente.
10.3 Todo o pessoal da Jitterbit deve concluir satisfatoriamente o treinamento anual de segurança. Lembretes periódicos e treinamento proativo de phishing são entregues regularmente.
10.4 A Jitterbit realiza triagem de antecedentes criminais como parte do processo de contratação da Jitterbit, na medida legalmente permitida.
10.5 A Jitterbit garantirá que seus subcontratados, fornecedores e outros terceiros que tenham acesso direto aos Dados do Cliente em conexão com os Aplicativos Jitterbit cumpram os padrões de segurança de dados aplicáveis, conforme definido pela Jitterbit em Política e Procedimentos, que é uma combinação de ISO 27001/27002, NIST 800-53, CIS, CSA e CERT, requisitos HIPAA e GDPR.

11. Segurança Física

11.1 O Aplicativo Jitterbit é hospedado na AWS e todos os controles de segurança física são gerenciados pela AWS. A Jitterbit revisa o relatório SOC 2 tipo 2 da AWS anualmente para garantir controles de segurança física apropriados.

12. Notificação de violação de segurança

12.1 Uma “Violação de Segurança” é (a) o acesso não autorizado ou a divulgação dos Dados do Cliente, ou (b) o acesso não autorizado aos sistemas dentro do Aplicativo Jitterbit que transmitem ou analisam os Dados do Cliente.
12.2 A Jitterbit notificará o Cliente por escrito sem atraso indevido dentro de setenta e duas (72) horas de uma violação de segurança confirmada.
12.3 Essa notificação descreverá a violação de segurança e o status da investigação da Jitterbit. 12.4 A Jitterbit tomará as medidas apropriadas para conter, investigar e mitigar a violação de segurança.

13. Recuperação de desastres

13.1 A Jitterbit mantém um Plano de Recuperação de Desastres (“DRP”) para os Aplicativos Jitterbit. O DRP é testado anualmente. 13.2 O Aplicativo Jitterbit é gerenciado em diferentes regiões da AWS como implantações independentes, que podem ser empregadas como parte da estratégia DRP do Cliente. Para usar efetivamente a disponibilidade entre regiões do Aplicativo Jitterbit para fins de recuperação de desastres, o Cliente é responsável pelo seguinte:
13.2.1 Solicitar contas adicionais de aplicativos Jitterbit em diferentes regiões para dar suporte ao seu programa DRP. 13.2.2 Gerenciar sua replicação de dados nas regiões aplicáveis.
13.2.3 Configurar e gerenciar suas contas Jitterbit.
13.2.4 Gerenciar estratégias de backup e restauração.

14. Conformidade de segurança Jitterbit, certificações e atestados de terceiros

14.1 A Jitterbit contrata terceiros credenciados para realizar auditorias e atestar várias conformidades e certificações anualmente, incluindo:
14.1.1 Relatório de Atestado SOC 2
14.1.2 Relatório de Atestado SOC 1
14.1.2 Relatório de Conformidade HIPAA para Parceiros Comerciais
14.1.3 Relatório de Conformidade GDPR
14.1.4 Resumo do Relatório de Teste de Penetração
14.1.5 Resumo do Relatório de Avaliação de Vulnerabilidade
14.1.6 Relatório de Certificação ISO 27001
14.1.7 Relatório de Conformidade da CCPA para a Lei de Privacidade da Califórnia

15. Jitterbit Cloud e Agente Local

15.1 Tremulação Harmony A nuvem foi projetada com as configurações de segurança mais altas em mente, para que até mesmo implementações simples (requisitos de segurança mais baixos) possam tirar proveito dessa alta segurança “embutida”.
15.2 A Jitterbit fornece uma opção de implementação (Agente Local) para Clientes que optam por processar dados confidenciais fora da infraestrutura de nuvem da Jitterbit e por trás de seu próprio firewall e rede corporativa.

16. Criptografia de dados

16.1 Criptografia de dados do cliente em repouso em Harmony: Harmony Os dados da nuvem são criptografados em repouso com um algoritmo AES-256 FIPS 140-2. Para obter mais detalhes, consulte o Jitterbit Harmony Whitepaper de arquitetura e segurança em: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Criptografia de dados do cliente em trânsito de/para Harmony: Harmony Os dados da nuvem são criptografados em trânsito usando HTTPS (TLS 1.2), SSH e/ou IPsecSsEC. Para obter mais detalhes, consulte o Jitterbit Harmony Whitepaper de arquitetura e segurança em:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Responsabilidades do Cliente

17.1 O Cliente é responsável por gerenciar suas próprias contas de usuário e funções dentro do Aplicativo Jitterbit e por proteger sua própria conta e credenciais de usuário. O Cliente cumprirá os termos de seu Contrato com a Jitterbit, bem como todas as leis aplicáveis.
17.2 O Cliente notificará prontamente a Jitterbit se uma credencial de usuário for comprometida ou se o Cliente suspeitar de possíveis atividades suspeitas que possam impactar negativamente a segurança do Aplicativo Jitterbit ou da conta do Cliente. O cliente não pode realizar nenhum teste de penetração de segurança ou atividades de avaliação de segurança sem o consentimento prévio expresso por escrito da Jitterbit.
17.3 Para Aplicativos Jitterbit que não são hospedados pela Jitterbit, o Cliente é responsável por atualizar seu Software Cliente Jitterbit sempre que a Jitterbit anunciar uma atualização.
17.4 Os clientes são responsáveis ​​por gerenciar uma estratégia de backup em relação aos dados do cliente.
17.5 Os clientes cujos dados do cliente incluem PCI, PHI, GDPR, PII ou outros dados confidenciais devem implementar a lista branca de IP fornecida pela Jitterbit e a autenticação multifator (MFA) no aplicativo Jitterbit e considerar o uso do agente local, com configuração adicional de registro limitado .

Dúvidas? Estamos aqui para ajudar.

Contacto