Segurança

Visão geral

A Rock Content tem como prioridade manter os dados dos seus clientes protegidos respeitando, desta forma, a sua privacidade em todos os momentos.

Esta política de segurança fornece uma visão geral de alto nível sobre as práticas de segurança necessárias para atingir esse objetivo.

Você deseja fazer alguma pergunta ou deixar um comentário? Sinta-se à vontade para entrar em contato conosco enviando uma mensagem para [email protected] Nosso security.txt pode ser acessado aqui.

Equipe de Segurança Dedicada

A nossa equipe de segurança é composta por especialistas na área orientados a melhorar a segurança da nossa organização. Para responder aos incidentes de segurança, conta com funcionários treinados disponíveis 24 horas por dia, 7 dias por semana.

O nosso time também é integrado por um Oficial de Proteção de Dados (DPO) dedicado a atender às demandas de segurança e privacidade. Além disso, temos à disposição Líderes de Tecnologia e Chefes de Engenharia comprometidos com as melhores práticas de segurança.

Infraestrutura Cloud

Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos. 

Por certo, o serviço da Rock Content é baseado na Amazon Web Services, visto que eles fornecem robustas medidas de segurança para proteger nossa infraestrutura e são compatíveis com a maioria das certificações. Você pode ler mais sobre suas práticas clicando aqui:

Segurança de data center

Sediado nos Estados Unidos, o nosso data center é uma instalação compatível com Tier IV, PCI DSS e ISO 27001. É importante ressaltar que os nossos servidores estão fisicamente separados dos servidores de outros clientes do data center.

As instalações do data center são protegidas 24 horas por dia, 7 dias por semana, com diferentes medidas de segurança (guardas, CFTV, controle eletrônico de acesso, etc.). O monitoramento e alerta atendem alterações e violações de segurança, energia, HVAC e temperatura.

Monitoramento e proteção de segurança em nível de rede

Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Nós monitoramos e protegemos nossa rede com o objetivo de garantir que não ocorram acessos não autorizados. Para obter esse resultado, adotamos:

  • Uma Nuvem Privada Virtual (VPC), um host bastião ou VPN com listas de controle de acesso à rede (ACLs) e nenhum endereço público de IP.
  • Um firewall que monitora e controla o tráfego de entrada e saída da rede.
  • Uma solução de tecnologias de Detecção e/ ou Prevenção de Intrusão (IDS/ IPS) que monitora e bloqueia pacotes potencialmente maliciosos.
  • Um Filtro de endereço IP.
  • Um Firewall de Aplicativo da Web (WAF) fornecido pelo CloudFlare e StackPath.

Proteção DDoS

Aqui na Rock Content, usamos serviços de proteção de negação de serviço distribuída (DDoS) movidos por uma solução líder do setor.

Criptografia de Dados

Criptografia em trânsito: Todos os dados enviados de ou para nossa infraestrutura são criptografados em trânsito por meio das práticas recomendadas pelo setor usando Transport Layer Security (TLS). Você pode ver nosso relatório SSLLabs clicando aqui.

Criptografia em repouso: Todos os nossos dados de usuário -incluindo senhas- são criptografados mediante o uso de algoritmos à prova de hackers no banco de dados.

Retenção e remoção de dados

Mantemos os seus dados de uso por um período de 90 dias após o seu teste. Logo após esse período, eles são completamente removidos do painel de controle e do servidor.

Os usuários podem solicitar a remoção dos seus dados de uso entrando em contato com o suporte. Conheça mais detalhes sobre as nossas configurações de privacidade acessando rockcontent.com/legal/privacy-policy/.

Continuidade dos negócios e recuperação perante desastres

Fazemos backup de todos os nossos ativos críticos e regularmente tentamos restaurar a cópia de segurança para garantir uma recuperação rápida em caso de desastres/ imprevistos. Todos os nossos backups são criptografados.

Monitoramento de segurança de aplicativos

  • Utilizamos uma solução de monitoramento para obter visibilidade sobre a segurança dos nossos aplicativos, identificar ataques e responder rapidamente a uma violação de dados.
  • Adotamos tecnologias para monitorar exceções, registros e também para detectar anomalias em nossos aplicativos.
  • Coletamos e armazenamos registros para fornecer uma trilha de auditoria da atividade dos nossos aplicativos.
  • Usamos o monitoramento como Open Tracing (rastreamento aberto) em nossos microsserviços.

Proteção de segurança do aplicativo

  • Usamos um sistema de proteção em tempo de execução que identifica e bloqueia OWASP Top 10 e ataques de lógica de negócios em tempo real.
  • Utilizamos cabeçalhos de segurança para proteger nossos usuários contra ataques. Você pode verificar nossa nota neste scanner de segurança.
  • Adotamos recursos de automação de segurança que detectam e respondem automaticamente às ameaças que podem afetar os nossos aplicativos.

Desenvolvimento Seguro

Desenvolvemos seguindo as melhores práticas e medidas de segurança (OWASP Top 10, SANS Top 25). Para alcançar a excelência, executamos diversas ações que possibilitam alcançar o mais alto nível de segurança em nosso software como:

  • Os desenvolvedores participam regularmente de treinamentos de segurança no intuito de aprender mais detalhes sobre vulnerabilidades e ameaças comuns.
  • Revisamos o nosso código para vulnerabilidades de segurança.
  • Utilizamos um software de avaliação de vulnerabilidade para pentest não humano.
  • Atualizamos regularmente as nossas dependências e garantimos que nenhuma delas tenha vulnerabilidades conhecidas.
  • Contamos com o Teste de Segurança de Aplicativos Estáticos (SAST) para detectar vulnerabilidades básicas de segurança em nossa base de código.
  • Usamos o Teste de Segurança de Aplicativos Dinâmicos (DAST) para verificar nossos aplicativos.
  • Anualmente, contratamos especialistas em segurança terceirizados com a finalidade de fazer testes de penetração nos aplicativos da agência.

Divulgação Responsável

Encorajamos todos os que praticam a divulgação responsável e cumprem nossas políticas e termos de serviço a participar do nosso Bug Bounty Program ou programa de recompensa por bug.

Por gentileza, evite verificações automatizadas e execute testes de segurança apenas com seus próprios dados. Não divulgue nenhuma informação sobre as vulnerabilidades até que possamos consertá-las. As recompensas são feitas de acordo com o nosso critério, dependendo da criticidade da vulnerabilidade relatada.

Você pode relatar vulnerabilidades entrando em contato através do endereço [email protected]. Por gentileza, inclua uma prova de conceito. Responderemos a sua mensagem o mais rápido possível e, se você seguir as regras, não tomaremos medidas legais.

Cobertura:

  • * .rockcontent.com


Exclusões:

  • rockcontent.com/blog
  • docs.rockcontent.com
  • status.rockcontent.com
  • support.rockcontent.com


São aceitas as seguintes vulnerabilidades:

  • Execução de comandos em sites cruzados (XSS).
  • Redirecionamento aberto.
  • Falsificação de solicitações entre sites (CSRF).
  • Inclusão de comando/ arquivo /URL.
  • Problemas de autenticação.
  • Execução de código.
  • Injeções de código ou banco de dados.


Este programa de recompensa por bug NÃO inclui:

  •  Logout CSRF.
  • Enumerações de conta/ e-mail.
  • Negação de serviço (DoS).
  • Ataques que podem prejudicar a confiabilidade e integridade do nosso negócio.
  • Ataques de spam.
  • Clickjacking em páginas sem autenticação e/ ou alterações sensíveis de estado.
  • Avisos de conteúdo misto.
  • Falta de DNSSEC.
  • Falsificação/ injeção de conteúdo de texto.
  • Ataques cronometrados.
  • Engenharia social.
  • Phishing.
  • Cookies inseguros para cookies não sensíveis ou cookies de terceiros.
  • Vulnerabilidades que exigem uma improvável interação do usuário.
  • Exploits que exigem acesso físico à máquina de um usuário.

Como relatar uma vulnerabilidade

Por favor, para relatar uma vulnerabilidade, encaminhe um e-mail para o seguinte endereço: [email protected].

Divulgação responsável: Gostaríamos de manter a Rock Content segura e protegida para todos. Por isso, se você descobriu uma vulnerabilidade de segurança, ficaríamos agradecidos que encaminhasse a informação para os nossos especialistas.

Revelar publicamente uma vulnerabilidade pode colocar toda a comunidade Rock Content em risco. Se você descobriu uma possível vulnerabilidade, ficaríamos agradecidos se você enviasse um e-mail para [email protected]. Desta forma, trabalharemos em conjunto para avaliar e compreender o escopo do problema e, desta forma, resolver todos os seus questionamentos. 

De fato, os e-mails são enviados imediatamente para nossa equipe de engenharia com o objetivo de garantir que os problemas sejam resolvidos tão logo apareçam. Todos os e-mails de segurança são tratados com a mais alta prioridade, pois a segurança de nosso serviço é nossa principal preocupação.

Proteção do usuário

Autenticação de 2 fatores

Fornecemos um mecanismo de autenticação de 2 fatores para proteger nossos usuários de ataques de controle de conta.

Proteção contra roubo de conta

Protegemos nossos usuários contra violações de dados monitorando e bloqueando ataques de força bruta.

Logon único

O logon único (SSO) está disponível usando sua conta do Google.

Controle de acesso baseado na função

O controle de acesso baseado na função (RBAC) é oferecido em todas as nossas contas e permite que os nossos usuários definam funções e permissões.

Compliance

SOC2

Nossa empresa é certificada SOC 2 Tipo 2, o que significa que um auditor independente avaliou nosso produto, infraestrutura, assim como as nossas políticas. Deste modo, certifica que atendemos ou excedemos níveis específicos de controles e processos para a segurança dos dados do usuário.

Privacy Shield entre UE-EUA. e Suíça-EUA

Nossa empresa está em conformidade com a Privacy Shield Frameworks entre UE-EUA e Suíça-U.S visando regular a privacidade dos dados entre a União Europeia e os Estados Unidos.

Privacidade (GDPR/ LGPD)

Estamos em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) e a Lei Geral de Proteção de Dados (LGPD). O objetivo do GDPR / LGPD é proteger as informações privadas de cidadãos da UE/ brasileiros e promover mais controle sobre os dados pessoais. Entre em contato conosco para obter mais detalhes sobre como obedecemos às normas GDPR/ LGPD.

Informação de pagamento

Todo o processamento dos métodos de pagamento é terceirizado com segurança para o Stripe, certificado como um provedor de serviços PCI Nível 1. Não coletamos nenhuma informação de pagamento, portanto, não estamos sujeitos às obrigações do PCI.

Acesso de Funcionário

  • Nosso rígido procedimento interno impede que qualquer funcionário ou administrador tenha acesso aos dados do usuário. No entanto, é possível que ocorram exceções para o suporte ao cliente.
  • Quando entram no time da empresa, os novos contratados assinam um Acordo de Não Divulgação e Confidencialidade com a finalidade de proteger as informações confidenciais de nossos clientes.