Práticas de segurança (arquivado)
Em vigor a partir de: 24 de maio de 2018
O Slack leva a segurança dos seus dados muito a sério. A transparência é um dos princípios fundamentais da nossa empresa, por isso, nosso objetivo é ser o mais claros e francos possível em relação à maneira que lidamos com a segurança.
Se você tiver outras dúvidas sobre segurança, será um prazer solucioná-las. Envie uma mensagem para feedback@slack.com e responderemos o mais rápido possível.
Confidencialidade
Controlamos rigorosamente o acesso dos nossos funcionários aos dados que você e seus usuários disponibilizam nos nossos serviços, conforme especificado no acordo que trata do uso dos serviços do Slack ("Dados do Cliente"). Para que os serviços do Slack funcionem, alguns funcionários precisam ter acesso aos sistemas que armazenam e processam os Dados do Cliente. Por exemplo, para diagnosticar um problema com os serviços do Slack, precisamos acessar os Dados do Cliente. Esses funcionários são proibidos de usar essas permissões para ver os Dados do Cliente, a menos que seja necessário. Contamos com controles técnicos e políticas de auditoria para garantir que todos os acessos aos Dados do Cliente sejam registrados.
Todos os nossos funcionários e pessoal contratado têm a obrigação de cumprir as políticas relacionadas com os Dados do Cliente. Essa é uma questão de alta prioridade para a nossa empresa.
Práticas do pessoal
O Slack realiza verificações dos antecedentes de todos os funcionários antes de contratá-los. Além disso, todos eles recebem treinamento sobre privacidade e segurança durante a integração e também de forma contínua. Todos os funcionários precisam ler e assinar nossa política integral de segurança da informação, que abrange a segurança, a disponibilidade e a confidencialidade dos serviços do Slack.
Conformidade
Os serviços do Slack têm as seguintes auditorias e certificados de segurança:
- ISO 27001 e ISO 27018: o Slack está em conformidade com as normas ISO 27001 e ISO 27018. É possível baixar o certificado da norma ISO 27001 aqui e o certificado da norma ISO 27018 aqui. Você pode solicitar uma cópia da Declaração de Aplicabilidade ao gerente de contas.
- Relatórios de Controle de Organização de Serviço (SOC): o Slack passou por uma auditoria SOC 2, e uma cópia do relatório mais recente sobre o Slack está disponível mediante solicitação ao gerente de contas. Além disso, nosso relatório de SOC 3 está disponível para baixar aqui.
- PCI: o Slack é um comerciante PCI nível 4 e concluiu o SAQ-A do Payment Card Industry Data Security Standard. Usamos um terceiro para processar as informações de cartões de crédito de maneira segura. No momento, o Slack não é um provedor de serviços certificados pelo PCI.
O ambiente que hospeda os serviços do Slack tem vários certificados para seus data centers, incluindo a conformidade com a norma ISO 27001, a autorização FedRAMP, o certificado PCI e os relatórios SOC. Para saber mais sobre os certificados e a conformidade, acesse o site de segurança do AWS, o site de conformidade do AWS, o site de segurança do Google e o site de conformidade do Google.
Recursos de segurança para membros e administradores de equipe
Além do trabalho que realizamos no nível da infraestrutura, oferecemos aos administradores de equipe de versões pagas dos serviços do Slack mais ferramentas para que os usuários possam proteger seus próprios Dados do Cliente.
Logs de acesso
Logs de acesso detalhados estão disponíveis para usuários e administradores de equipes pagas. Criamos um log toda vez que uma conta faz login, com o tipo de dispositivo usado e o endereço IP da conexão.
Os administradores e proprietários de equipes pagas podem revisar os logs de acesso consolidados de toda a equipe. Também facilitamos para os administradores a tarefa de encerrar remotamente todas as conexões e sair de todos os dispositivos autenticados nos serviços do Slack a qualquer momento, sob solicitação.
Autenticação de dois fatores para equipes
Os administradores de equipes podem exigir que todos os usuários configurem a autenticação de dois fatores nas suas contas. As instruções sobre como fazer isso estão disponíveis na Central de Ajuda.
Logon único
Os administradores de equipes pagas podem integrar as instâncias dos serviços do Slack com uma variedade de provedores de logon único. É possível ativar os domínios de apps do Google para equipes do plano Padrão e o SSO do SAML para equipes do plano Plus com provedores como SSO do SAML com provedores como OneLogin, Okta, Centrify e Ping Identity.
Retenção de dados
Os proprietários de equipes pagas do Slack podem configurar políticas de retenção de mensagens personalizadas de acordo com o tamanho da equipe e por canal. Definir uma duração personalizada para a retenção significa que, todas as noites, os arquivos e as mensagens mais antigos do que o prazo definido serão eliminados.
Exclusão dos Dados do Cliente
O Slack oferece aos proprietários principais de workspace a opção de excluir os Dados do Cliente a qualquer momento durante o período da assinatura. Após 24 horas da exclusão por parte do proprietário principal do workspace, o Slack exclui de forma definitiva todas as informações dos sistemas de produção em execução no momento (exceto nomes de equipe e canais e os termos de pesquisa incluídos nos URLs nos logs de acesso do servidor Web). Os backups dos serviços do Slack são destruídos no prazo de 14 dias.*
Devolução dos Dados do Cliente
É possível encontrar informações sobre as funcionalidades de exportação dos serviços do Slack na Central de Ajuda.
Criptografia de dados em trânsito e em repouso
Os serviços do Slack são compatíveis com os pacotes e protocolos de criptografia para segurança mais recentes, para criptografar todo o tráfego em trânsito. Os Dados do Cliente são criptografados em repouso.
Monitoramos de perto o progresso do panorama criptográfico e trabalhamos rapidamente para aprimorar o serviço, responder às novas vulnerabilidades da criptografia conforme elas são descobertas e implementar as práticas recomendadas à medida que elas evoluem. Para a criptografia em trânsito, fazemos isso enquanto equilibramos a necessidade de compatibilidade com clientes mais antigos.
Disponibilidade
Entendemos que você precisa dos serviços do Slack para trabalhar. Estamos comprometidos em fazer do Slack um serviço de alta disponibilidade com que você pode contar. Nossa infraestrutura é executada em sistemas tolerantes a falhas, para falhas de servidores individuais ou até mesmo data centers inteiros. Nossa equipe de operações testa medidas de recuperação de desastres frequentemente e trabalha 24 horas por dia para resolver de modo rápido os incidentes inesperados.
Recuperação de desastres
Os Dados do Cliente são armazenados de maneira redundante em vários locais dos data centers dos nossos provedores de hospedagem, a fim de garantir a disponibilidade. Temos procedimentos comprovados de backup e restauração, que permitem recuperar em caso de um grande desastre. Os Dados do Cliente e nosso código-fonte são salvos em backup durante a noite. A equipe de operações recebe um alerta caso ocorram falhas no sistema. Os backups são avaliados pelo menos a cada 90 dias para confirmar se os nossos processos e ferramentas estão funcionando conforme o esperado.
Proteção de rede
Além do monitoramento sofisticado do sistema e dos acessos, implementamos a autenticação de dois fatores para acesso a todos os servidores no nosso ambiente de produção. Os firewalls são configurados de acordo com as práticas recomendadas do setor e as portas desnecessárias são bloqueadas pela configuração com o AWS Security Groups.
Gerenciamento de host
Realizamos análises automatizadas de vulnerabilidades nos nossos hosts de produção e corrigimos todas as descobertas que representem risco para o ambiente. Recomendamos o bloqueio de tela e o uso de criptografia de disco completa para laptops da empresa.
Acesso
O Slack tem um ambiente de acesso amplo e centralizado no ambiente de produção, que contém informações sobre segurança, monitoramento, disponibilidade, acesso e outras métricas relacionadas com os serviços do Slack. Os acessos são analisados em relação aos eventos de segurança por meio de um software de monitoramento automatizado, supervisionado pela equipe de segurança.
Gerenciamento e resposta a incidentes
No caso de uma violação de segurança, o Slack notificará imediatamente sobre qualquer acesso não autorizado aos Dados do Cliente. O Slack tem políticas e procedimentos de gerenciamento de incidentes para lidar com eventos desse tipo.
Auditorias de segurança externas
Temos contratos com empresas externas de segurança respeitadas que realizam auditorias regulares dos serviços do Slack para verificar se nossas práticas de segurança são sólidas e averiguar se há novas vulnerabilidades descobertas pela comunidade de pesquisas em segurança nos serviços do Slack. Além das auditorias periódicas e específicas dos serviços e recursos do Slack, também usamos análise automatizada, híbrida e contínua da nossa plataforma Web.
Práticas de segurança do produto
Os novos recursos, funcionalidades e alterações no design passam por um processo de revisão de segurança facilitado pela equipe de segurança. Além disso, nosso código é auditado com um software de análise estática, testado e revisado manualmente por pares antes de ser implantado na produção. A equipe de segurança trabalha em estreita colaboração com as equipes de desenvolvimento para resolver todos os problemas adicionais de segurança que possam surgir durante o desenvolvimento.
O Slack também opera um programa de segurança que recompensa pela detecção de bugs. Pesquisadores de todo o mundo testam de maneira contínua a segurança dos serviços do Slack e relatam os problemas por meio do programa. Veja mais detalhes do programa no site de recompensas.
*Os backups dos serviços do Slack são destruídos no prazo de 14 dias, exceto durante a investigação de um incidente. Nesse caso, o prazo pode ser temporariamente estendido.