Políticas de segurança e informações

Transcrição

1 Whitepaper Políticas de segurança e informações

2 VISÃO GERAL Este documento fornece uma visão de alto nível das políticas de segurança da New Relic, além de uma descrição geral dos recursos e das funcionalidades de segurança dos serviços e aplicativos da New Relic. Ele aborda as preocupações mais comuns que os clientes costumam ter sobre segurança e privacidade, ao mesmo tempo em que delineia os controles de segurança disponíveis nas ofertas da New Relic. SUMÁRIO VISÃO GERAL 2 1. VISÃO GERAL DO PROGRAMA DE SEGURANÇA 3 2. VISÃO GERAL DO PRODUTO 3 3. DADOS PROCESSADOS 4 4. PRIVACIDADE 4 5. SEGURANÇA E LOCALIZAÇÃO DO CENTRO DE DADOS 4 6. RECURSOS TÉCNICOS 4 7. SEGURANÇA DE APLICATIVOS E TREINAMENTO 5 8. POLÍTICAS DE SEGURANÇA 5 9. AUDITORIAS E CERTIFICAÇÕES GERENCIAMENTO DE USUÁRIOS CONFIGURAÇÕES DE SEGURANÇA RECUPERAÇÃO DE DESASTRES CONSIDERAÇÕES ADICIONAIS 6 2

3 1. VISÃO GERAL DO PROGRAMA DE SEGURANÇA A New Relic se compromete com a segurança dos dados de desempenho do seu aplicativo. Nós usamos diversas tecnologias e procedimentos de segurança padrões do setor para ajudar a proteger suas informações contra acesso, uso ou divulgação não autorizados, como parte desse comprometimento. O programa de segurança da New Relic é liderado pelo Diretor de segurança da informação que é responsável pelas seguintes áreas: Segurança de aplicativos Segurança de infraestrutura e rede Conformidade Privacidade Segurança corporativa Segurança física Os funcionários da New Relic participam de treinamentos de conscientização de segurança anuais quando são informados e atualizados sobre suas responsabilidades sobre a segurança. 2. VISÃO GERAL DO PRODUTO Os serviços da New Relic são usados por nossos clientes para processar pontos de dados de desempenho de aplicativos e sistemas. Isto é alcançado ao permitir que os clientes transmitam esses pontos de dados para os serviços da New Relic, que apresentam as informações de desempenho do aplicativo por meio de um site e uma interface de usuário segura. A New Relic funciona basicamente assim: Um cliente instala um agente da New Relic em seus aplicativos e/ou servidores em um centro de dados, na nuvem ou em ambientes híbridos. O agente da New Relic transmite os pontos de dados de desempenho para o serviço da New Relic. Os serviços da New Relic agregam e armazenam as informações de desempenho e os pontos de dados do aplicativo em nosso centro de dados com certificação SOC 2, Type II (anteriormente, Type II SSAE). Disponibilizamos as visualizações dos dados de desempenho do aplicativo pelo site da New Relic com criptografia SSL e proteção por senha ( newrelic.com) ou pelos aplicativos móveis da New Relic. 3

4 3. DADOS PROCESSADOS A New Relic processa apenas dados de desempenho dos aplicativos e/ou servidores nos quais o cliente instalou um agente da New Relic. Geralmente, isso inclui medidas de tempo agregadas para transações de aplicativos e carga de páginas da web, erros de aplicativo e rastreamentos de transações, além de estatísticas de utilização de recursos de servidores. Por padrão, mascaramos os parâmetros GET em chamadas HTTP e os valores literais nas cláusulas de filtro das instruções SQL. Por padrão, o agente de monitoramento de aplicativos da New Relic processa: Atividades de solicitação de aplicativo, incluindo detalhes de visualização e controle Atividades de consulta a banco de dados, incluindo detalhes de criação, atualização e exclusão Atividades de visualização Solicitações que resultam em erro Memória de processo e uso de CPU Além do que foi mencionado acima, os clientes Pro e Enterprise da New Relic têm a opção de configurarem o agente de monitoramento de aplicativos para processar erros de aplicativos e rastreamentos de transação. Por padrão, o agente de monitoramento de servidores da New Relic coleta os seguintes dados de utilização de servidores: Utilização de CPU Utilização de memória Utilização e uso de disco Utilização de rede Por padrão, a New Relic não tem configurações de processamento de quaisquer parâmetros HTTP nem quaisquer valores literais nas cláusulas de filtro de instruções SQL. Esses valores são removidos antes de serem enviados para a New Relic. Contudo, uma variedade mais ampla de dados (incluindo dados pessoais) pode ser processada se for configurada pelos clientes conforme a necessidade do negócio. 4. PRIVACIDADE A New Relic se compromete em proteger a privacidade de nossos clientes. Nós ganhamos o selo de privacidade da TRUSTe, o que significa que nossa política e práticas de privacidade foram analisadas pela TRUSTe, uma entidade independente fornecedora de certificados. Os dados de aplicativos que nós processamos como parte do nosso provisionamento de serviços são usados primariamente para divulgar informações de desempenho de aplicativos de volta para a conta de usuário da New Relic do cliente. Mais informações sobre nossas práticas de privacidade estão disponíveis em 5. SEGURANÇA E LOCALIZAÇÃO DO CENTRO DE DADOS A New Relic fica hospedada nos Estados Unidos, em nosso centro de dados seguro com certificação SOC 2 Type II (anteriormente, Type II SSAE) com sistemas de respaldo com alimentação totalmente redundante, sistemas de supressão de fogo, guardas de segurança e sistemas de autenticação biométrica. 6. RECURSOS TÉCNICOS A New Relic tem certos recursos técnicos embutidos em suas ofertas para que os clientes tenham opções de segurança flexíveis: A New Relic criptografa os dados de desempenho em trânsito. A criptografia SSL é habilitada por padrão para os dados que são enviados para a New Relic em trânsito. O agente da New Relic não abre um buraco no firewall do cliente. A comunicação dos agentes da New Relic com os servidores da New Relic é enviada pela porta 80 ou 443 e pode ser configurada para usar um servidor proxy. Os agentes da New Relic não recebem comunicações de entrada. A New Relic não tem a capacidade de atualizar automaticamente os agentes da New Relic instalados em seus servidores. Todas as atualizações devem ser instaladas manualmente pelos nossos clientes. Retenção de dados limitada. Em caso de cessação dos serviços da New Relic, todos os dados expirarão nos sistemas da New Relic (incluindo os backups) em até 90 dias. 4

5 7. SEGURANÇA DE APLICATIVOS E TREINAMENTO Os desenvolvedores da New Relic recebem treinamento de segurança de aplicativos em iniciativas de segurança de ponta, incluindo o OWASP Top 10. Além disso, os projetos de desenvolvimento de produtos passam por uma análise de segurança obrigatória pela equipe de segurança da New Relic, na qual contínuas verificações de vulnerabilidade do aplicativo são executadas em ambientes de testes e produção. Análises estáticas de código automatizadas foram implementadas e verificações de segurança regulares por terceiros são realizadas. 8. POLÍTICAS DE SEGURANÇA A New Relic mantém um conjunto robusto de políticas de segurança que são atualizadas pelo menos uma vez ao ano. Elas abrangem as seguintes áreas: Gerenciamento do programa de segurança da informação Gerenciamento da política de segurança da informação Conformidade da segurança da informação Gerenciamento dos ativos de informação Segurança pessoal Segurança física Segurança de dispositivos móveis Segurança de redes, sistemas e operações Gerenciamento de acesso Ciclo de vida de sistemas e softwares Gerenciamento de vulnerabilidade Monitoramento de segurança Eventos e incidentes de segurança Continuidade de negócios e recuperação de desastres 9. AUDITORIAS E CERTIFICAÇÕES A New Relic passa por auditorias SOC 2 Type II anuais para nos fornecer e a nossos clientes a garantia de terceiros independentes de que estamos, de fato, tomando as medidas adequadas para proteger nossos sistemas e os dados de nossos clientes. Além disso, os dados são armazenados em um centro de dados com certificação SOC 2 Type-II. A New Relic também é membro da Cloud Security Alliance (CSA) e orgulhosamente publicou os resultados de nossa auto-verificação de Security, Trust & Assurance Registry (STAR) no site da CSA. Esses resultados, que incluem informações detalhadas sobre os controles de segurança da New Relic, podem ser encontrados em cloudsecurityalliance.org/star/. 10. GERENCIAMENTO DE USUÁRIOS Os usuários da New Relic acessam os serviços através de um endereço de e uma senha. Essas senhas devem ter, no mínimo, oito caracteres e incluir, pelo menos, um número ou caractere especial. Requisitos de expiração de senha e autenticação multifatorial também são exigidos. As senhas de usuário são armazenadas em um formato hash criptografado padrão do setor. A New Relic oferece suporte para Single Sign-On (SSO) por SAML. Provedores de identidade suportados incluem Ping Identity, Okta, OneLogin, Auth0, SiteMinder, Bitium, Salesforce, ADFS e Azure AD. A New Relic permite que um número ilimitado de usuários autorizados seja associados a uma conta individual, com permissões Administrativa, Normal e Restrita. Os clientes são responsáveis por gerenciar as próprias contas, incluindo o provisionamento e o desprovimento de seus próprios usuários. 5

6 11. CONFIGURAÇÕES DE SEGURANÇA A New Relic oferece as seguintes opções de configuração de segurança: Os rastreamentos de transação podem ser configurados para ofuscar (remover) valores literais nas cláusulas filtro das instruções SQL (esse é o padrão) ou não enviar nenhuma instrução SQL. Por padrão, os agentes não estão configurados para acessar parâmetros HTTP em chamadas GET. O Modo de alta segurança pode ser configurado para forçar o ofuscamento do SQL, forçar a filtragem dos parâmetros HTTP e forçar o uso de SSL. Quando configurado, o Modo de alta segurança só pode ser desativado pela equipe de suporte da New Relic. Isso é para evitar que os usuários desativem acidentalmente esses controles de segurança. 12. RECUPERAÇÃO DE DESASTRES A New Relic mantém um plano de recuperação de desastres para nosso serviço SaaS. Esse plano é atualizado e testado anualmente. 13. CONSIDERAÇÕES ADICIONAIS O agente da New Relic pode ser instalado em ambientes onde os clientes têm certas restrições reguladoras ou de segurança, incluindo as relacionadas aos padrões de segurança de dados de cartões de pagamento (PCI/DSS). Por padrão, a New Relic não recebe nenhum dado do titular do cartão. Além disso, o agente da New Relic pode ser configurado para ser executado por trás de um proxy, para satisfazer requisitos de conformidade de PCI/ DSS, proibindo quaisquer conexões diretas entre a internet e o ambiente dos dados do titular do cartão. Os clientes com preocupações específicas de segurança ou conformidade devem levar em consideração o uso das configurações de segurança descritas acima ou mais detalhadas na documentação da New Relic, disponível aqui. Para entender melhor como gerenciar a segurança e a privacidade, os clientes são encorajados a ler os materiais, as práticas recomendadas e outras diretrizes disponibilizados no site da New Relic. Caso deseje mais informações, entre em contato com o Executivo da sua conta da New Relic ou visite Copyright 2016, New Relic, Inc. Todos os direitos reservados. Todas as marcas registradas, nomes registrados, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas