2 de maio de 2019

Política de Segurança de Informações

Índice

  • Histórico

  • Compromisso com a segurança

  • Gerenciamento de segurança corporativa

  • Privacidade do usuário final

  • Gerenciamento de controle do acesso a informações

  • Gerenciamento de segurança de recursos humanos

  • Gerenciamento de segurança física

  • Gerenciamento de operações

  • Gerenciamento de segurança de sistemas de informação

  • Histórico e versões

Histórico

A Snyk (a “empresa”) é uma empresa de desenvolvimento que cria software automatizado para analisar bibliotecas de terceiros e ajudar outras empresas a entender e proteger dependências de software, começando com as ferramentas que encontram, corrigem e monitoram vulnerabilidades conhecidas em pacotes npm Node.js e Ruby.
A empresa está sediada em Londres, no Reino Unido, e tem escritório de P&D em Tel Aviv, Israel.

As informações armazenadas e processadas nos sistemas de TI da Snyk são uma parte integral da condução dos nossos negócios. Proteger a confidencialidade, integridade e disponibilidade desses dados é um princípio fundamental do nosso gerenciamento.

A política de segurança de informações apresenta o comprometimento da gestão com a segurança de informações e os principais elementos que permitem à empresa manter o nível de segurança exigido.

Compromisso com a segurança

A Snyk está comprometida em manter um ambiente seguro para nossos clientes e parceiros. Como líder em ferramentas de segurança para desenvolvedores, a Snyk atribui enorme valor à manutenção dos mais altos padrões de segurança de dados. Isso inclui o esclarecimento das medidas tomadas para garantir esses padrões.

A Política de Segurança de Informações da Snyk estabelece as regras, diretrizes e práticas para proteger dados nos sistemas de informação e nos recursos associados de infraestrutura, hardware e redes da Snyk, por meio de uma arquitetura inteligente de controles de segurança e monitoramento.

Todos os funcionários e prestadores de serviço autorizados da Snyk, independentemente de título, cargo e localização geográfica, devem aderir a essa Política de Segurança de Informações.

Gerenciamento de segurança corporativa

Responsabilidades de segurança

A Snyk designou Danny Grander (danny@snyk.io), cofundador da empresa, como diretor de segurança de informações. Sua principal responsabilidade é proteger a confidencialidade, integridade e disponibilidade dos dados e recursos computacionais da Snyk. Outras responsabilidades importantes incluem:

  • Arquitetura e estratégia de segurança de produtos

  • Gerenciamento de vulnerabilidades

  • Resposta a incidentes de segurança

  • Avaliação de risco e auditoria

  • Conscientização de segurança

A Snyk conduz com regularidade diversos tipos de avaliações de risco. Dependendo do caso, as auditorias são realizadas internamente ou por um provedor terceirizado de confiança. Como parte do preparo para lidar com as vulnerabilidades mais recentes, a Snyk faz upgrades contínuos nos servidores para manter o mais alto nível de proteção e instala imediatamente patches de segurança quando vulnerabilidades críticas se tornam conhecidas.

Privacidade do usuário final

A Snyk tem o compromisso de proteger a privacidade dos usuários finais de todas as ferramentas, da CLI e dos portais da web da empresa.
As práticas de privacidade da Snyk estão descritas em mais detalhes neste site:

https://dev.snyk.io/policies/privacy

Gerenciamento de controle do acesso a informações

Acesso ao ambiente do cliente

A Snyk tem o compromisso de manter a proteção dos dados confidenciais dos nossos clientes em todos os momentos. Os privilégios de acesso a informações de clientes são concedidos apenas em casos de necessidade, requerem aprovação por um membro da equipe de gestão da Snyk e são submetidos a uma análise final pelo diretor de segurança da Snyk O acesso a ambientes de produção é restrito a equipes de suporte e operação da Snyk e a um número limitado de membros da equipe de desenvolvimento.

As informações dos clientes nunca são armazenadas em servidores físicos localizados nos escritórios da Snyk ou em materiais impressos. Quando há necessidade de copiar informações de produção para o computador local de um funcionário, as informações são anonimizadas para impedir uma possível violação de privacidade e excluídas assim que deixam de ser necessárias.

Qualquer acesso ao ambiente de um cliente, seja por um cliente ou por um funcionário da Snyk, é registrado no ambiente de produção da Snyk e mantido disponível para análise futura. Os registros são armazenados por um período mínimo de 30 dias.

O acesso por funcionários da Snyk a ambientes de clientes requer o uso de uma senha que atenda à política de força de senhas da Snyk, a qual exige um mínimo de oito caracteres e três níveis de complexidade. Todas as senhas de administradores armazenadas no banco de dados da Snyk são protegidas por hash com HMAC unidirecional. Os sais de hashing são armazenados em segurança em mídias separadas com direitos de acesso limitados.

Para saber mais sobre as políticas de registro e retenção de dados, acesse https://cloud.google.com/logging/quota-policy

Acesso aos servidores de produção

O acesso aos servidores de produção da Snyk ou às interfaces de gerenciamento (como o console de gerenciamento da Snyk) é restrito a equipes de suporte e operação da Snyk e a um pequeno grupo de integrantes de P&D da empresa, que precisam de acesso para realizar suas funções.

Os controles de acesso aos servidores de produção são revisados pelo menos a cada seis meses.
Tais revisões são documentadas em um arquivo de registro designado.

Segmentação de dados entre organizações

O ambiente de produção da Snyk atende a milhares de usuários e particiona os dados de forma que cada usuário só consiga visualizar dados referentes à sua própria comunicação com o aplicativo da Snyk. A infraestrutura baseada em software evita a possibilidade de vazamento de dados entre as visualizações de diferentes usuários causada por erro humano.

Acesso à rede

A Snyk mantém redes sem fio nos seus escritórios. Para segmentar o tráfego de dados corporativos sensíveis do tráfego de dados públicos, a Snyk criou as redes “Guest” (Convidado) e “Corporate” (Corporativo), ambas com criptografia WPA2.

Acesso a e-mails, análises, suporte e outras ferramentas de terceiros

A Snyk mantém uma lista de ferramentas de terceiros à qual cada funcionário tem acesso, incluindo o nível de acesso (básico, administrador) e indicação se o acesso deve ser temporário ou não. A lista é analisada trimestralmente (ou em caso de rescisão de um funcionário) pelo diretor de segurança de informações (CISO) para verificar a precisão e detectar áreas em que o acesso pode ser restrito. O acesso de administrador a várias ferramentas é reduzido ao mínimo.

Faturamento

A Snyk usa serviços terceirizados em conformidade com o PCI (Stripe) para gerenciar transações de cartões de crédito e não armazena nem visualiza os dados de cartões de crédito. Para saber mais sobre a segurança da Stripe, acesse:

https://stripe.com/help/security

Classificação de dados

  • A Snyk tem duas classes de dados: sensíveis e não sensíveis.

  • Os dados sensíveis são descritos como:

  • Todas as políticas e procedimentos devem considerar a classificação dos dados.

  • Informações pessoalmente identificáveis (PII) precisam ser registradas conforme as exigências do ICO (Information Comissioner Office).

Gerenciamento de segurança de recursos humanos

Verificações de antecedentes

A Snyk realiza verificação de antecedentes criminais de todos os novos funcionários da empresa (incluindo funcionários em tempo integral, meio período e prestadores de serviços), segundo as limitações prescritas na legislação em vigor. As verificações de antecedentes incluem entrevistas, buscas em redes sociais, bancos de dados de publicações jurídicas, ligações de referência e contratação de serviços terceirizados de verificação de antecedentes.

Treinamento em segurança

Durante a integração, os novos funcionários são submetidos a uma sessão de treinamento em segurança que aborda as devidas responsabilidades de cada funcionário. Os tópicos a seguir são abordados:

  • Proteção de dados dos clientes

  • Considerações sobre segurança corporativa, incluindo confidencialidade de informações e proteção de propriedades intelectuais

  • Ameaças de segurança, como malware e phishing

  • Ameaças físicas

  • Segurança de laptops

  • Como relatar incidentes de segurança

As diretrizes de segurança são reforçadas anualmente com treinamentos obrigatórios para todos os funcionários da Snyk.

Saída de funcionários

A Snyk mantém um procedimento documentado que descreve as etapas necessárias no ato da rescisão de um funcionário e tem equipes designadas para implementá-lo. O procedimento inclui a revogação de acesso físico e virtual a vários sistemas, incluindo ambientes de produção. Além disso, descreve o processo para recuperar laptops e outros dispositivos e como os dados e as configurações são apagados com segurança dos dispositivos.

Conforme o Contrato de Confidencialidade da Snyk, os funcionários precisam entregar qualquer material confidencial (armazenado física ou digitalmente, impresso ou escrito) que se relacione a processos, infraestrutura, software, finanças ou dados de clientes.

Mudanças de cargo e função

À medida que os cargos e as funções evoluem na Snyk, o escopo de trabalho dos funcionários é alterado e, com isso, as permissões e o acesso necessário para que realizem suas funções. Quando essas alterações ocorrem, o gerente direto do funcionário é responsável por notificar o CISO. Depois disso, as permissões anteriores são removidas, e as novas são fornecidas com base no novo escopo do trabalho.

Engenharia social

A Snyk educa regularmente seus funcionários com relação a ameaças de engenharia social, como phishing por e-mail, spoofing de e-mail, ameaças, coerção, intimidação, presentes, solicitações de amizade e similares. A Snyk usa assinaturas e validação de SPF e DKIM em todos os e-mails e usa DMARC e outras tecnologias antiphishing avançadas para impedir que e-mails e mensagens falsificadas cheguem aos funcionários. Os funcionários são instruídos a nunca inserir um USB, CD ou outro tipo de mídia desconhecida nos seus computadores e laptops.

A equipe de suporte é submetida a treinamentos adicionais sobre os tipos de informações que podem revelar em resposta às consultas de clientes. Especificamente, nomes de funcionários da empresa, informações sobre a organização interna da Snyk e informações sobre outros clientes nunca são reveladas em consultas ao suporte. Os dados históricos da conta de um reclamante podem ser divulgados em determinadas circunstâncias, mas somente mediante autenticação do cliente. Esses dados são enviados de volta ao cliente pelo portal no aplicativo da Snyk e nunca são anexados a e-mails nem enviados pelo sistema de tíquetes do suporte.

Gerenciamento de segurança física

A Snyk não armazena informações de clientes em servidores físicos localizados nos escritórios da Snyk nem em materiais impressos. A empresa usa data centers com certificação ISO 27001 e FISMA gerenciados pelo Google, que tem muitos anos de experiência em planejamento, construção e operação de data centers de grande porte e empregou os conhecimentos adquiridos na sua própria plataforma e infraestrutura. Os data centers do Google são abrigados em instalações discretas, sendo que as instalações críticas possuem amplo espaço de recuo e bermas de nível militar para controle do perímetro, além de proteção com barreiras naturais. O acesso físico é estritamente controlado no perímetro e nos pontos de entrada do prédio por equipe de segurança profissional com vigilância por vídeo, sistemas de detecção de invasão de última geração e outros recursos eletrônicos.

A equipe autorizada precisa passar por autenticação de dois fatores pelo menos três vezes para acessar os andares do data center. Todos os visitantes e prestadores de serviços são obrigados a apresentar identificação e são continuamente acompanhados por equipes autorizadas.

O Google fornece acesso e informações sobre os data centers apenas a funcionários com necessidades comerciais legítimas. Quando um funcionário não apresenta mais a necessidade comercial para ter privilégio de acesso, o acesso é revogado imediatamente, mesmo que ele continue trabalhando no Google.

Todos os acessos físicos e eletrônicos aos data centers por funcionários do Google são registrados e auditados regularmente.

Para saber mais, consulte

Google:
https://cloud.google.com/security/compliance
https://cloud.google.com/security/whitepaper

Escritórios da Snyk

O acesso aos escritórios da Snyk é restrito e requer um FOB digital para acessar o prédio e uma chave do escritório (sede de Londres); chave do escritório para trabalho em horário comercial (sede de Tel Aviv); chave do portão, do elevador e do escritório para acesso fora do horário comercial (sede de Tel Aviv). Além disso, durante o horário comercial, os visitantes dos escritórios da Snyk precisam ser acompanhados em todos os momentos por funcionários da Snyk. Fora do horário comercial, a área do escritório é protegida por um alarme digital que alerta uma empresa de segurança 24 horas. Fragmentadoras de papel estão disponíveis para os funcionários descartarem informações sensíveis com segurança.

Chaves ou FOBs perdidos ou roubados devem ser relatados imediatamente ao administrador do escritório. Em caso de chave perdida ou roubada, é emitida uma chave de substituição para todas as fechaduras afetadas. Os FOBs perdidos ou roubados são desativados remotamente.

Remoção de dados

As mídias e os dispositivos que deixam as instalações e os controles da Snyk, de forma temporária ou permanente, passam por análise e confirmação do diretor de segurança e estão sujeitos a processos de exclusão de dados com software de depuração de dados, destruição ou outros recursos usados à discrição do oficial de segurança.

O desmantelamento de dispositivos físicos usados no ambiente de produção da Snyk é realizado pelo Google e inclui a destruição dos dados armazenados no dispositivo, conforme detalhado na seção “Rastreamento e descarte de hardware” do documento técnico de segurança do Google (consulte https://cloud.google.com/security/whitepaper).

Convidados

Um convidado é qualquer pessoa que não é funcionário ou prestador de serviços autorizado da Snyk (“Funcionário”), incluindo familiares, amigos etc. Os computadores, laptops e outros dispositivos da Snyk devem ser usados apenas por funcionários da Snyk.

Convidados desconhecidos são identificados com um documento de identificação oficial e devem ser acompanhados a todo momento por um funcionário da Snyk.

Os convidados não podem acessar de forma alguma os dispositivos da Snyk. Eles podem conectar os próprios laptops, tablets e smartphones à rede sem fio para convidados da Snyk para acessarem a internet. O departamento de TI da Snyk não oferece suporte a computadores de convidados. Se um convidado quiser imprimir um documento, deve encaminhá-lo por e-mail a um funcionário, que fará a impressão (após verificações de vírus e malware).

Gerenciamento de operações

Desenvolvimento e testes

A Snyk emprega diversos métodos para garantir um alto padrão de programação e minimizar o número de bugs. Esses métodos incluem um processo obrigatório de análise para cada bloco de código adicionado ao produto, ferramentas de análise automática de código e uma estrutura de integração contínua executada em nível de unidade, bem como testes automáticos em nível de sistema. A Snyk também usa um ambiente de preparação no qual as alterações podem ser submetidas a testes manuais completos antes de serem implantadas no modo de produção.

O departamento de P&D da Snyk inclui uma equipe de controle de qualidade (CQ), cuja única responsabilidade é garantir que os produtos da empresa mantenham um alto grau de qualidade.

O P&D da Snyk usa um processo de desenvolvimento ágil que permite lançamentos frequentes na produção, mas também mantém a capacidade de reverter alterações em caso de problemas após a implantação no modo de produção. A Snyk realiza avaliações de segurança periódicas em seu ambiente de produção, recorrendo à expertise interna inerente e a ferramentas de terceiros para assegurar que os produtos atendam aos mais altos padrões de segurança. Quando são descobertos problemas, os tíquetes são enviados e a correção é iniciada. Após a implementação das correções relevantes, novos testes são realizados para garantir que as vulnerabilidades foram resolvidas.

A Snyk emprega o poder da comunidade para aumentar ainda mais sua segurança interna e, de tempos em tempos, organiza um programa de recompensas a calçadores de bugs de segurança (https://dev.snyk.io/docs/security), no qual integrantes da comunidade em geral são recompensados por identificar e informar com responsabilidade as vulnerabilidades encontradas à Snyk.

Essas etapas, bem como orientações adicionais criadas para garantir que todos os requisitos de segurança sejam atendidos, são definidas como parte do ciclo de vida do desenvolvimento de sistemas (SDLC) da Snyk.

Testes de penetração

A Snyk emprega os serviços de firmas externas para realizar testes de penetração no aplicativo e na infraestrutura. Os testes de penetração externos são realizados pelo menos uma vez por ano. Além disso, testes de penetração interno são realizados pela nossa experiente equipe de segurança pelo menos duas vezes por ano.

Mitigação de malware

Os departamentos de P&D, operações e suporte da Snyk usam exclusivamente sistemas operacionais Apple OSX. Ainda que malware não seja uma ameaça de segurança significativa a esses sistemas, a Snyk toma medidas proativas para garantir que os computadores dos funcionários não sejam comprometidos. Todos os computadores e laptops dos funcionários são configurados com sistema de proteção de ponto de extremidade SentinelOne, que monitora malware e ameaças de exploit em tempo real.

Notificações à comunidade

O diretor de segurança da Snyk recebe notificações periódicas de segurança de diversos recursos de segurança de informações. Quando uma ameaça é descoberta, ocorrem uma avaliação do impacto e o planejamento das etapas de mitigação. Vulnerabilidades de alto risco são imediatamente comunicadas a todos os funcionários da Snyk, junto com instruções de como corrigi-las. Além disso, os funcionários da Snyk são incentivados a instalar somente softwares de boa reputação, instalar regularmente os patches dos navegadores, usar mecanismos de segurança interna (FileVault, Firewall) e executar regularmente a atualização de software do macOS.

Gerenciamento de fornecedores e subprestadores terceirizados

Todos os subprestadores e fornecedores terceirizados devem ser aprovados pelo CISO antes de começarem a trabalhar. O CISO avalia e aprova o estado de segurança do fornecedor terceirizado, o que abrange a revisão das políticas e dos procedimentos do fornecedor relativos a segurança, dados, privacidade e outros detalhes. Essas revisões são feitas anualmente ou sempre que há uma alteração importante no envolvimento ou nos serviços utilizados. As revisões são registradas e mantidas em um registro separado de avaliação de fornecedores.

Backups de alta disponibilidade, recuperação de desastres e bancos de dados

Cada servidor crítico no ambiente de nuvem da Snyk é protegido por instâncias múltiplas duplicadas (múltiplas zonas de disponibilidade) ou um node slave (para bancos de dados) no qual um failover pode ser realizado, garantindo um tempo de indisponibilidade mínimo do sistema em caso de falha crítica. O processo de failover automático é acionado pela infraestrutura da nuvem associada após ter sido determinado que um componente não consegue responder de forma confiável às solicitações.

O impacto sobre a experiência do usuário final em casos de indisponibilidade também é mínimo. Não há impacto visível sobre a funcionalidade do site da Snyk e as APIs, apenas um atraso ao atender algumas solicitações.

Os backups de bancos de dados do sistema de produção da Snyk são realizados diariamente e antes de qualquer evento importante de upgrade ou mudança de configuração no ambiente de produção da Snyk. Esses backups permitem, em caso de desastre, criar uma réplica do ambiente em um curto período.

As restaurações de dados são feitas a cada três meses para garantir que os dados e processos estejam intactos.

Retenção e destruição de dados

A Snyk retém backups de bancos de dados por um período mínimo de 90 dias, sendo que os backups diários são armazenados pelos últimos 7 dias, os semanais pelas últimas 4 semanas, e os mensais pelos últimos 3 meses. Registros de produção detalhados, incluindo registros de acesso ao servidor de gerenciamento, são retidos por 30 dias.

O registro das atividades dos usuários finais é mantido por um período de pelo menos 6 meses para permitir análise de ameaças anteriores.

O desmantelamento de hardware é gerenciado pelo Google usando um processo projetado para impedir a exposição de dados dos clientes e que segue as técnicas descritas no DoD 5220.22-M (“Manual de operação de programas de segurança industriais dos EUA“) e NIST 800-88 (“Diretrizes para sanitização de mídias”) para a destruição de dados.

Arquivamento de dados

As regras a seguir se aplicam a dados que não são mais usados, mas precisam ser mantidos para auditoria, escrituração contábil, requisitos regulatórios (como requisitos de autoridades fiscais), defesa contra possíveis reivindicações e outras finalidades legítimas e legais:

  1. Os dados são marcados como dados de arquivamento;

  2. O acesso a dados arquivados é limitado somente a funcionários relevantes (por exemplo, CEO, CFO, VP de produtos, gerente de TI, gerente de P&D e consultor jurídico);

  3. Quando o propósito para manter os dados é concluído, ou se passam sete anos desde que os dados foram arquivados, o que ocorrer primeiro, os dados são removidos do sistema da Snyk.

Segurança de rede

O cluster de aplicativos da Snyk é hospedado no ambiente de nuvem do Google. Nesse modelo, a plataforma de nuvem associada oferece controles de segurança de rede, enquanto os arquitetos de rede e sistema da Snyk configuram os diversos grupos de roteamento e segurança em colaboração com a equipe de operações.

O cluster de aplicativos da Snyk é protegido por um grupo de segurança, que fornece filtragem de acesso à rede a partir da internet. A filtragem é mantida para permitir conexões recebidas apenas em portas e protocolos específicos necessários para a operação padrão do cluster.

As portas dos bancos de dados não são expostas à internet. Além disso, a Snyk usa um firewall configurado com base no host para isolar ainda mais o tráfego em instâncias individuais.

Alterações nos grupos de segurança, layout da rede, portas, firewalls, roteadores ou outros elementos da infraestrutura da rede precisam ser aprovadas pelo chefe de TI e executadas por ao menos dois técnicos, seguidas por uma verificação manual para assegurar consistência.

Para mitigar a negação de serviço distribuído (DDoS), a Snyk usa as técnicas de mitigação de DDoS proprietárias do Google, que reduzem a exposição a ataques de DDoS bem-sucedidos e fornecem acesso diversificado à internet usando um grande número de ISPs.

O Google também mantém a capacidade e responsabilidade de detectar varredura ilícita de portas no ambiente de nuvem da Snyk. Ainda que a varredura de portas seja ineficaz em geral conta o ambiente de nuvem da Snyk devido ao número mínimo de portas de entrada abertas, quando uma varredura de portas não autorizada é detectada, a atividade é bloqueada e as equipes da Snyk são notificadas.

Endurecimento do sistema

A Snyk implementa práticas recomendadas referentes ao endurecimento dos servidores de produção para minimizar superfícies de risco e se manter atualizada com os padrões de segurança mais recentes.

Todos os servidores de hardware da Snyk são virtuais e provisionados a partir de imagens certificadas e confiáveis. O CISO e o chefe de TI recebem os feeds de atualização de segurança dos sistemas operacionais relevantes, e os patches de segurança são aplicados regularmente. As atualizações críticas são aplicadas em até 24 horas após o lançamento.

As permissões do sistema de arquivos seguem uma abordagem de privilégio em que pastas e arquivos são atribuídos cuidadosamente a grupos e usuários que precisam do acesso relevante de leitura ou gravação.

Serviços antigos, como telnet-server; rsh, rlogin, rcp; ypserv, ypbind; tftp, tftp-server; talk, talk-server, são removidos. Outros serviços/daemons são executados apenas quando necessários em portas não padronizadas.

Todos os servidores são instalados com OSSec para monitoramento em nível de servidor.

O usuário raiz é definido como “nologin”, e qualquer acesso à máquina precisa ser feito com contas pessoais para permitir a possibilidade de auditoria. O acesso via SSH requer chave e senha.

Todos os dispositivos virtuais de hardware são rotineiramente reconfigurados a partir da imagem certificada para impedir violações ou vazamentos de dados de longa duração.

Rede, roteamento e outros elementos da infraestrutura são todos virtuais e gerenciados pela nossa plataforma de nuvem (Google Cloud Platform), que é responsável por mantê-los corretamente atualizados e com os devidos patches.

Monitoramento

A Snyk usa diversas ferramentas internas e de terceiros para monitorar seu ambiente de produção e protegê-lo contra possíveis ameaças ou erros:

  • Um mecanismo de notificações internas está em vigor para alertar as equipes de operações e suporte da Snyk caso anomalias diferentes sejam detectadas no modo de produção.

  • A ferramenta de análise Google Cloud Monitoring é configurada para monitorar continuamente o status do ambiente de produção da Snyk, incluindo disponibilidade do servidor, CPU, memória, espaço de disco e outras métricas cruciais. A ferramenta também envia alertas à equipe de operações da Snyk com base em políticas pré-configuradas.

  • A ferramenta de monitoramento de sites Pingdom é usada para rastrear de forma mais abrangente o tempo de disponibilidade e o desempenho do site.

  • Logz.io é usado no registro contínuo das atividades de monitoramento e arquivamento.

  • Sentry é usado no rastreamento de bugs em produção e testes de regressão.

Um painel interno de monitoramento de produção agrega informações de diversos sistemas da Snyk e oferece à equipe de operações uma visão clara do status do ambiente de produção.

A Snyk também opera um sistema de tíquetes de suporte que permite aos administradores e usuários finais relatar problemas ou erros encontrados durante a utilização da solução de web da Snyk.

Gerenciamento de segurança de sistemas de informação

Controles de segurança de laptops

Os departamentos de P&D, operações e suporte da Snyk usam exclusivamente sistemas operacionais Apple OSX. Para manter a segurança dos dados da Snyk em computadores e laptops, a empresa implementou os seguintes controles:

  • Requisitos padronizados de autenticação de senha, com exigência de senha com pelo menos 8 caracteres

  • Bloqueio de tela após 10 minutos de inatividade

  • Criptografia de disco rígido (FDE) usando FileVault

  • Utilização do firewall incorporado do OSX

Além disso, os funcionários da Snyk são incentivados a instalar somente software de boa reputação, instalar regularmente os patches dos navegadores e executar regularmente a atualização de software do macOS.

Gerenciamento de vulnerabilidades

Os servidores de nuvem da Snyk usam a distribuição Ubuntu Linux. A Fundação Ubuntu demonstra seu compromisso com a segurança ao atualizar frequentemente seu sistema de operação de hospedagem para abordar problemas de segurança.

O diretor de segurança da Snyk recebe notificações periódicas de diferentes recursos de segurança de informações. Quando uma ameaça é descoberta, a equipe de P&D da Stripe faz uma avaliação do impacto e se encarrega do planejamento e da execução das etapas de mitigação. As vulnerabilidades críticas são mitigadas em um período de 30 dias.

Controles de código-fonte

A Snyk mantém seu código-fonte em repositórios privados no GitHub. O acesso aos repositórios relevantes está restrito aos funcionários da Snyk que precisam ter acesso ao código-fonte para realizarem suas funções e requer autenticação multifatorial (MFA) de todos os funcionários e contribuintes.

Relatórios e gerenciamento de incidentes

A Snyk está comprometida em relatar o quanto antes qualquer incidente que possa impactar seus clientes, especialmente quando dados de clientes possam estar envolvidos. Os clientes são notificados pela Snyk assim que há confirmação de um incidente que possa afetá-los. À medida que a investigação do incidente prossegue, os clientes recebem atualizações proativas relacionadas à natureza dos incidentes e ao impacto sobre eles.

Os clientes também podem usar o sistema de tíquetes de suporte da Snyk para relatar qualquer incidente de segurança suspeito.

Se ocorrer de fato uma violação de segurança, as ações a seguir serão realizadas:

  1. O acesso público ao sistema violado será desconectado.

  2. Todos os registros de acesso e auditoria dos 30 dias anteriores serão copiados para outro local.

  3. O CEO, o diretor de segurança e o consultor jurídico serão notificados imediatamente.

  4. Os detalhes da violação serão investigados, e todas as medidas necessárias serão tomadas para identificar a causa da violação e impedir violações similares no futuro.

  5. As partes afetadas, incluindo clientes, se houver, serão notificadas, conforme às cláusulas das legislação aplicável e de acordo com as obrigações contratuais da Snyk.

  6. O sistema violado será submetido a uma cuidadosa verificação de segurança.

  7. O diretor de segurança emitirá um relatório do incidente e das medidas tomadas para resolvê-lo.

Após a conclusão do incidente, uma sessão será conduzida com as equipes relevantes da Snyk para avaliar as causas associadas, determinar as necessidades em longo prazo e aprimorar os processos de gerenciamento de riscos e incidentes da Snyk.

Notificações externas para relatos de incidentes:

Quem

E-mail

Google/Apigee

external-incidents@google.com

The Guardian

infosec@theguardian.com

Ações disciplinares

 Ações disciplinares podem ser tomadas contra pessoas que violarem ou desrespeitarem as regras e diretrizes contidas nesta Política de Segurança de Informações.

Revisão de políticas

O diretor de segurança da Snyk revisará esta política pelo menos a cada 6 meses e após cada incidente de segurança importante, fará alterações quando necessário, enviará novas versões da política para a
aprovação do CEO da Snyk e as distribuirá a todos os funcionários da Snyk.

Snyk é uma plataforma de segurança para desenvolvedores. Integrando-se diretamente a ferramentas de desenvolvimento, fluxos de trabalhos e pipelines de automação, a Snyk possibilita que as equipes encontrem, priorizem e corrijam mais facilmente vulnerabilidades em códigos, dependências, contêineres e infraestrutura como código. Com o suporte do melhor aplicativo do setor e inteligência em segurança, a Snyk coloca a experiência em segurança no kit de ferramentas de todo desenvolvedor.

Comece grátisAgende uma demonstração ao vivo

Produto

O que é a Snyk?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerInfraestrutura como Código da SnykSnyk AppRisk (ASPM)Plataforma de Segurança para o DesenvolvedorSegurança de aplicativosSegurança da cadeia de suprimentos de softwareProteja o código gerado por IA DeepCode AIPreçosOpções de implantaçãoIntegraçõesPlugins de IDESegurança GitSegurança de pipelines de CI/CDSnyk CLISnyk LearnSnyk para JavaScript

Recursos

DocumentaçãoDocumentação da API da SnykStatus APIVulnerabilidades reveladasPortal de suporte e perguntas frequentesBlogElementos básicos da segurançaRecursos para líderes de segurançaRecursos para hackers éticosBanco de dados de vulnerabilidadesSnyk OSS AdvisorSnyk Top 10VídeosRecursos do clienteSecurity LabsThe Secure Developer Podcast

Empresa

SobreClientesCarreirasEventosSnyk para governoSegurança e confiançaTermos jurídicosPrivacidadePara os residentes na Califórnia: Não vender minhas informações pessoaisTermos de uso do siteProcurement

Conecte-se

Agende uma demonstração ao vivoFale conoscoSuporteRelatar nova vulnerabilidade

Segurança

Segurança de aplicativosSegurança de contêineresSegurança da cadeia de suprimentosSegurança JavaScriptSegurança de código abertoSegurança AWSSDLC protegidoPostura de segurançaCódigo protegidoHacking éticoIA em cibersegurançaVerificador de códigoPythonCibersegurança para grandes empresasJavaScriptSnyk com GitHubSnyk vs VeracodeSnyk vs. CheckmarxSnyk vs Synopsys

© 2024 Snyk Limited
Registrada na Inglaterra e País de Gales

logo-devseccon