Práticas de segurança
Data de publicação: 23 de maio de 2022
O Slack leva a segurança dos seus dados muito a sério. A transparência é um dos princípios fundamentais da nossa empresa, por isso, nosso objetivo é ser o mais claros e francos possível em relação à maneira que lidamos com a segurança. Se você tiver outras dúvidas sobre segurança, será um prazer solucioná-las. Envie uma mensagem para feedback@slack.com e responderemos o mais rápido possível.
Controles de plataforma
Arquitetura e segregação de dados
Os serviços do Slack funcionam em uma arquitetura multilocatária nas camadas de plataforma e infraestrutura projetada para segregar e restringir o acesso aos dados que você e seus usuários disponibilizam por meio dos serviços do Slack, conforme definido mais especificamente em seu contrato com o Slack (ou sua(s) afiliada(s) corporativa(s)) que cobre o uso dos serviços do Slack (“Dados do Cliente”), com base nas necessidades do negócio. A arquitetura fornece uma separação de dados lógica para cada cliente diferente através de um ID exclusivo.
Infraestrutura de nuvem pública
Os serviços do Slack são hospedados na Internet em uma “Nuvem Pública”, que são serviços de computação oferecidos por provedores terceirizados para quem deseja usá-los ou comprá-los. Como todos os serviços de nuvem, um serviço de nuvem pública é executado em servidores remotos gerenciados por um provedor.
Auditorias
Os serviços do Slack passam por avaliações de segurança por pessoal interno e empresas externas de segurança respeitadas que realizam auditorias regulares dos serviços do Slack para verificar se nossas práticas de segurança são sólidas e para averiguar se há novas vulnerabilidades descobertas pela comunidade de pesquisas em segurança nos serviços do Slack. Além das auditorias periódicas e específicas dos serviços e recursos do Slack, também usamos análise automatizada, híbrida e contínua da nossa plataforma Web. Os clientes podem baixar uma cópia dos relatórios de auditoria externa aplicáveis disponíveis aqui.
Certificações
As certificações são realizadas nos serviços do Slack, e os clientes podem baixar uma cópia das certificações aplicáveis disponíveis aqui.
Controles de segurança
O Slack implementará e manterá medidas técnicas e organizacionais adequadas para proteger seus Dados do Cliente contra destruição acidental ou ilegal, perda, alteração e divulgação não autorizada ou acesso aos dados pessoais do Cliente processados ou transmitidos por meio dos serviços do Slack. Os serviços do Slack têm vários controles de segurança, incluindo, sem limitação:
- Logs de acesso. Logs de acesso detalhados estão disponíveis para usuários e administradores de equipes pagas. Criamos um log toda vez que uma conta faz login, com o tipo de dispositivo usado e o endereço IP da conexão. Os administradores e proprietários de equipes pagas podem revisar os logs de acesso consolidados de toda a equipe.
- Gerenciamento de acesso. Os administradores podem encerrar remotamente todas as conexões e desconectar todos os dispositivos autenticados nos serviços do Slack a qualquer momento, sob solicitação.
- Retenção de dados. Os proprietários de equipes pagas do Slack podem configurar políticas de retenção de mensagens personalizadas de acordo com o tamanho da equipe e por canal. Definir uma duração personalizada para retenção significa que, todas as noites, as mensagens ou os arquivos mais antigos do que a duração definida serão excluídos dos servidores de produção dos serviços do Slack.
- Gerenciamento de host. Realizamos análises automatizadas de vulnerabilidades nos nossos hosts de produção e corrigimos todas as descobertas que representem risco para o ambiente. Recomendamos bloqueios de tela e o uso de criptografia de disco completo para laptops da empresa.
- Proteção de rede. Além do monitoramento sofisticado do sistema e dos acessos, implementamos a autenticação de dois fatores para acesso a todos os servidores no nosso ambiente de produção. Os firewalls são configurados de acordo com as práticas recomendadas do setor, usando grupos de segurança AWS.
- Práticas de segurança do produto. Os novos recursos, funcionalidades significativas e alterações de design passam por um processo de revisão de segurança facilitado pela equipe de segurança. Além disso, nosso código é auditado com um software de análise estática, testado e revisado manualmente por pares antes de ser implantado na produção. A equipe de segurança trabalha em estreita colaboração com as equipes de desenvolvimento para resolver todos os problemas adicionais de segurança que possam surgir durante o desenvolvimento. O Slack também opera um programa de segurança que recompensa pela detecção de bugs. Pesquisadores de todo o mundo testam de maneira contínua a segurança dos serviços do Slack e relatam os problemas por meio do programa. Veja mais detalhes do programa no site de recompensas.
- Autenticação de dois fatores para equipes. Os administradores de equipes podem exigir que todos os usuários configurem a autenticação de dois fatores nas suas contas. Veja instruções sobre como fazer isso na Central de Ajuda.
O Cliente não pode desativar alguns dos controles, já outros fornecem personalização da segurança dos serviços do Slack pelos clientes para seu próprio uso. Assim sendo, proteger os Dados do Cliente é uma responsabilidade conjunta do Cliente e do Slack. No mínimo, o Slack se alinhará aos padrões predominantes do setor como ISO 27001, ISO 27002 e ISO 27018, ou qualquer padrão sucessor ou substituto.
Detecção de invasão
O Slack, ou uma entidade externa autorizada, monitorará os serviços do Slack em busca de invasões não autorizadas.
Logs de segurança
Os sistemas usados na prestação dos serviços do Slack registram informações em suas respectivas instalações de log do sistema ou em um serviço de log centralizado (para sistemas de rede) a fim de permitir revisões e análises de segurança. O Slack mantém um amplo ambiente de log centralizado no ambiente de produção que contém informações sobre segurança, monitoramento, disponibilidade, acesso e outras métricas relacionadas com os serviços do Slack. Os logs são analisados em relação aos eventos de segurança por meio de um software de monitoramento automatizado, supervisionado pela equipe de segurança.
Gerenciamento de incidentes
O Slack mantém políticas e procedimentos de gerenciamento de incidentes de segurança. O Slack notifica os clientes afetados sem atrasos injustificados sobre qualquer divulgação não autorizada de seus respectivos Dados do Cliente pelo Slack ou seus agentes, dos quais o Slack toma conhecimento na medida permitida por lei. O Slack publica informações de status do sistema no site Salesforce Trust e/ou na página Status do Sistema Slack. O Slack geralmente notifica os clientes por e-mail sobre incidentes de sistema significativos. Além disso, no caso de incidentes que duram mais de uma hora, os clientes afetados poderão ser convidados a participar de uma teleconferência sobre o incidente e a resposta da plataforma.
Criptografia de dados
Os serviços do Slack usam produtos de criptografia aceitos pelo setor para proteger os Dados do Cliente (1) durante as transmissões entre a rede do cliente e os serviços do Slack; e (2) quando em repouso. Os serviços do Slack são compatíveis com os pacotes e protocolos de criptografia para segurança mais recentes, recomendados para criptografar todo o tráfego em trânsito. Monitoramos de perto o progresso do panorama criptográfico e trabalhamos rapidamente para aprimorar o serviço, responder às novas vulnerabilidades da criptografia conforme elas são descobertas e implementar as práticas recomendadas à medida que elas evoluem. Para a criptografia em trânsito, fazemos isso enquanto equilibramos a necessidade de compatibilidade com clientes mais antigos.
Confiabilidade, backup e continuidade de negócios
Entendemos que você precisa dos serviços do Slack para trabalhar. Estamos comprometidos em tornar os serviços do Slack um serviço altamente disponível em que você possa confiar. Nossa infraestrutura é executada em sistemas tolerantes a falhas, para falhas de servidores individuais ou até mesmo data centers inteiros. Nossa equipe de operações testa medidas de recuperação de desastres frequentemente e trabalha 24 horas por dia para resolver incidentes inesperados rapidamente. As práticas recomendadas padrão do setor para confiabilidade e backup ajudaram a moldar o design dos serviços do Slack. O Slack realiza backups regulares, facilita reversões de software e alterações de sistema quando necessário e replicação de dados conforme necessário. Sempre que possível, o Slack ajudará o Cliente na recuperação de dados em Grandes Eventos Catastróficos, conforme limitado pelos requisitos de residência de dados da localidade e recursos na região. “Grandes Eventos Catastróficos” significa três amplos tipos de ocorrências: (1) eventos naturais como inundações, furacões, tornados, terremotos e epidemias; (2) eventos tecnológicos, como falhas de sistemas e estruturas, como explosões de dutos, acidentes de transporte, interrupções de serviços públicos, falhas em barragens e liberação acidental de materiais perigosos; e (3) eventos causados por humanos, como ataques agressivos ativos, ataques químicos ou biológicos, ataques cibernéticos contra dados ou infraestrutura e sabotagem. Grandes Eventos Catastróficos não incluem bugs, problemas operacionais ou outros erros comuns relacionados ao software.
Os Dados do Cliente são armazenados de maneira redundante em vários locais nos data centers dos nossos provedores de hospedagem, a fim de garantir a disponibilidade. Temos procedimentos comprovados de backup e restauração que permitem recuperar em caso de um grande desastre. Os Dados do Cliente e nosso código-fonte são salvos em backup automaticamente todas as noites. A equipe de operações recebe um alerta caso ocorram falhas no sistema. Os backups são avaliados pelo menos a cada 90 dias para confirmar se os nossos processos e ferramentas estão funcionando conforme o esperado.
Dados em repouso
O Slack armazenará os Dados do Cliente em repouso dentro de determinadas áreas geográficas principais, exceto conforme indicado de outra forma em seu Formulário de Pedido.
Devolução dos Dados do Cliente
Dentro de 30 dias após a rescisão do contrato, os clientes podem solicitar a devolução de seus respectivos Dados do Cliente enviados aos serviços do Slack (desde que esses dados não tenham sido excluídos pelo Cliente). É possível encontrar informações sobre as funcionalidades de exportação dos serviços do Slack na Central de Ajuda do Slack.
Exclusão dos Dados do Cliente
Os serviços do Slack oferecem aos proprietários principais de workspaces a opção de excluir os Dados do Cliente a qualquer momento durante o período da assinatura. Após 24 horas da exclusão por parte do proprietário principal do workspace, o Slack elimina para sempre todas as informações dos sistemas de produção em execução no momento, exceto nomes de equipe e os termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web. Os backups dos serviços do Slack são destruídos no prazo de 14 dias, exceto durante uma investigação de um incidente. Nesse caso, o prazo pode ser temporariamente estendido.
Quando um cliente encerra uma assinatura paga do Enterprise Grid e não exclui a própria conta, o Slack faz isso dentro de 90 dias após o encerramento da assinatura. Além disso, a plataforma garante que todas as suas Afiliadas e provedores de hospedagem de terceiros aplicáveis excluam todas as cópias dos Dados do Cliente (exceto nomes de equipe e termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web) dentro de 14 dias após iniciar a exclusão da conta do cliente. Quando um cliente encerra qualquer assinatura paga dos serviços do Slack que não seja do Enterprise Grid, a assinatura do cliente continua na modalidade gratuita, sujeita aos Termos de Serviço do Cliente on-line então vigentes ou outro contrato principal de assinatura on-line aplicável ao uso gratuito ("Termos de Assinatura Gratuita"), e os Dados do Cliente não são excluídos até que (i) o próprio Cliente exclua o workspace, (ii) o Cliente instrua o Slack a excluir seus Dados do Cliente ou (iii) qualquer uma das partes encerre os Termos de Assinatura Gratuita. Após a ocorrência desses eventos, o Slack deve, dentro de 14 dias, excluir e garantir que todas as suas Afiliadas e provedores de hospedagem de terceiros autorizados excluam todas as cópias dos Dados do Cliente, exceto nomes de equipe e termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web.
Confidencialidade
Aplicamos controles rigorosos sobre o acesso de nossos funcionários aos Dados do Cliente. Para que os serviços do Slack funcionem, alguns funcionários precisam ter acesso aos sistemas que armazenam e processam os Dados do Cliente. Por exemplo, para diagnosticar um problema com os serviços do Slack, precisamos acessar os Dados do Cliente. Esses funcionários são proibidos de usar essas permissões para ver os Dados do Cliente, a menos que seja necessário. Contamos com controles técnicos e políticas de auditoria para garantir que todos os acessos aos Dados do Cliente sejam registrados.
Todos os nossos funcionários e pessoal contratado têm a obrigação de cumprir as políticas relacionadas com os Dados do Cliente. Essa é uma questão de alta prioridade para a nossa empresa.
Práticas do pessoal
O Slack realiza verificações dos antecedentes de todos os funcionários antes de contratá-los. Além disso, todos eles recebem treinamento sobre privacidade e segurança durante a integração e também de forma contínua. Todos os funcionários precisam ler e assinar nossa política integral de segurança da informação, que abrange a segurança, a disponibilidade e a confidencialidade dos serviços do Slack.
Infraestrutura
O Slack usa a infraestrutura fornecida pela Amazon Web Services, Inc. (“AWS”) para hospedar ou processar os Dados do Cliente enviados aos serviços do Slack. As informações sobre segurança fornecidas pela AWS estão disponíveis no site Segurança AWS. As informações sobre auditorias e certificações relacionadas à segurança e privacidade recebidas pela AWS, incluindo informações sobre a certificação ISO 27001 e relatórios SOC, estão disponíveis no site Conformidade AWS.