Serviços de segurança fornecidos
-
Atualização do Log4j / Log4Shell
Nossa equipe está ciente da recente vulnerabilidade no sistema de registro Java Log4j. NutshellA infraestrutura da empresa tem exposição mínima ao Java e, ao tomar conhecimento da vulnerabilidade, realizamos uma análise de nossos sistemas. Não identificamos nenhum sistema que execute uma versão afetada do Log4j, incluindo nossa infraestrutura Solr e Jenkins.
Continuamos a analisar nossos sistemas para garantir a segurança de seus dados e continuaremos a monitorar as listas de segurança do setor em busca de problemas como esse.
-
Sempre criptografado
Usamos criptografia TLS 1.2 de 256 bits de nível bancário sempre que você acessa sua conta Nutshell , seja pela Web ou por nossos aplicativos móveis. Seus dados são criptografados em repouso em nossos bancos de dados.
-
Backups contínuos
Todos os dados são imediatamente replicados em vários servidores. Também tiramos instantâneos duas vezes ao dia, semanalmente e mensalmente. Os serviços de monitoramento de terceiros enviam imediatamente uma mensagem à nossa equipe sobre qualquer problema. Veja as atualizações de disponibilidade ao vivo em status.nutshell.com.
-
Dados financeiros protegidos
Usamos um provedor compatível com PCI para armazenar com segurança suas informações de faturamento. As informações de cartão de crédito não são armazenadas em nossos servidores.
-
Senhas seguras
As senhas são criptografadas de forma unidirecional e não podem ser acessadas pela equipe do Nutshell .
-
Avaliação CASA bem-sucedida
Concluímos com êxito uma avaliação CASA (Cloud Application Security Assessment) para nosso aplicativo da Web, validando que atendemos aos requisitos de segurança definidos pela App Defense Alliance (ADA).
Os requisitos incluem o alinhamento com as estruturas de segurança líderes do setor e a ausência de descobertas relacionadas a enumerações de fraquezas comuns (CWEs) com alto ou médio risco de exploração.
E aqui estão os detalhes para os profissionais de segurança:
Segurança de rede
Nossa equipe de engenharia tem experiência em gerenciar petabytes de dados de forma segura e duradoura. Adotamos as seguintes medidas para manter seus dados seguros em repouso e enquanto eles transitam pelas redes.
- Firewalls, VPNs, sistemas operacionais Linux modernos, rede conservadora e configuração de grupos de segurança
- Criptografia em repouso
- VPNs para proteger o acesso dos funcionários e criptografar todos os dados que transitam pelos links da Internet
- Nutshell As senhas são salgadas e com hash unidirecional. Nossa equipe não pode acessar ou ver sua senha
- As páginas de login são protegidas contra ataques de força bruta
- Seguimos as listas de segurança do setor e corrigimos prontamente os problemas críticos (corrigimos o Heartbleed em poucas horas)
- Usamos uma arquitetura de armazenamento de dados multilocatário. Os dados dos clientes são armazenados em silos discretos por conta, para isolar e proteger seus dados
Segurança operacional
Nossa equipe de suporte é baseada internamente com nossa equipe de engenharia de Ann Arbor. Somente acessaremos sua conta com sua permissão para solucionar problemas de suporte. A equipe nunca solicitará sua senha Nutshell .
- Todos os computadores da equipe funcionam com criptografia de disco completo e senhas fortes
- Limitamos a exposição de nossa rede interna ao Windows
- Todo funcionário da Nutshell recebe uma cópia do 1Password em seu primeiro dia
- Os escritórios são protegidos com acesso individual por cartão-chave
Segurança financeira
Suas informações de cartão de crédito e de faturamento são armazenadas de forma segura. Nosso provedor de faturamento é compatível com PCI e é gerenciado separadamente dos sistemas de aplicativos Nutshell .
Senhas
Nutshell usa hashing unidirecional para armazenar com segurança uma representação de sua senha. Não podemos recuperar uma senha - você deve usar nossa ferramenta de senha esquecida em conjunto com seu endereço de e-mail para recuperar sua senha. É sua responsabilidade manter seu endereço de e-mail Nutshell atualizado.
É sua responsabilidade escolher senhas seguras e mantê-las em segurança. O Nutshell não se responsabiliza por dados comprometidos devido a uma senha de usuário insegura ou roubada. Se você estiver se autenticando no Nutshell por meio de terceiros (por exemplo, Google Apps), essas senhas também devem ser seguras.
Divulgação responsável
Se você é um pesquisador de segurança ou acredita ter encontrado um problema na segurança do Nutshell, leia as observações a seguir.
Nutshell não oferece um programa de recompensa por bugs para pagar por relatórios.
Comunique qualquer problema de segurança para security@nutshell.com. Se precisar enviar uma mensagem criptografada, você poderá encontrá-la no Keybase.
Pedimos que você nos dê um tempo razoável para responder às denúncias antes de tornar as informações públicas.
Não realize nenhuma pesquisa de segurança que possa resultar na destruição de dados, interrupção ou degradação do serviço. Isso inclui o uso de ferramentas ou scanners automatizados: eles provavelmente farão com que seu endereço IP seja banido.
Não aceitamos relatórios de divulgação responsável sobre os seguintes problemas:
- Problemas de correção de iframe/UI relacionados aos cabeçalhos X-Frame-Options
- Implementação de HSTS
- Força da senha fornecida pelo usuário
- Problemas de configuração de SPF, DKIM e DMARC
- Problemas de enumeração de usuários (utilizamos limitação de taxa para proteger nossos usuários)
- Presença de banner ou informações de versão
Agradecimentos
Recebemos divulgações de muitas pessoas e organizações para tornar o Nutshell um lugar mais seguro. Você pode ler sobre elas aqui.