Práticas de segurança

Data de publicação: 24 de abril de 2023

O Slack leva a segurança dos seus dados muito a sério. A transparência é um dos princípios fundamentais da nossa empresa, por isso, nosso objetivo é ser o mais claros e francos possível em relação à maneira como lidamos com a segurança. Se você tiver outras dúvidas sobre segurança, será um prazer solucioná-las. Envie uma mensagem para feedback@slack.com, que vamos responder o mais rápido possível. Esta Página de Práticas de Segurança descreve os controles administrativos, técnicos e físicos aplicáveis ao (a) Slack, incluindo, entre outros, a plataforma do Slack, os fluxos de trabalho do Slack e os apps executados na infraestrutura do Slack, e (b) GovSlack. Esta documentação não se aplica a serviços que podem ser associados ou integrados ao GovSlack.

Controles de plataforma

Arquitetura e segregação de dados

Os serviços do Slack e do GovSlack são operados em uma arquitetura multitenant nas camadas de plataforma e de infraestrutura que é projetada para segregar e restringir o acesso aos dados que você e seus usuários disponibilizam pelos serviços do Slack ou do GovSlack, conforme definido mais especificamente no seu contrato com o Slack ou suas afiliadas corporativas, que cobre o uso dos serviços do Slack ou do GovSlack (“Dados do Cliente”), com base em necessidades comerciais. A arquitetura oferece a cada cliente uma separação de dados lógica por meio de uma ID exclusiva.

Infraestrutura de nuvem pública

Os serviços do Slack e do GovSlack são hospedados na Internet em uma “Nuvem Pública”, que são serviços de computação que provedores terceirizados oferecem para quem quer usar ou comprá-los. Como todos os serviços de nuvem, um serviço de nuvem pública é operado em servidores remotos que um provedor gerencia.

Auditorias

Para verificar se nossas práticas de segurança são consistentes e monitorar novas vulnerabilidades dos serviços do Slack e do GovSlack que a comunidade de pesquisa de segurança descobre, esses serviços passam por avaliações de segurança por pessoal interno e empresas externas de segurança respeitadas que realizam auditorias periódicas dos serviços do Slack; Além das auditorias periódicas e específicas dos serviços e dos recursos do Slack e do GovSlack, usamos análise automatizada, híbrida e contínua da nossa plataforma Web. Os clientes podem baixar uma cópia dos relatórios de auditoria externa aplicáveis aqui.

Certificações

As certificações são realizadas nos serviços do Slack, e os clientes podem baixar uma cópia das certificações aplicáveis disponíveis aqui.

Controles de segurança

O Slack vai implementar e manter medidas técnicas e organizacionais adequadas para proteger seus Dados do Cliente contra a destruição acidental ou ilegal, a perda, a alteração e a divulgação não autorizada dos dados pessoais do Cliente tratados ou transmitidos por meio dos serviços do Slack e do GovSlack ou o acesso a eles. Os serviços do Slack e do GovSlack têm vários controles de segurança, incluindo, entre outros:

  • Logs de acesso. Logs de acesso detalhados estão disponíveis para usuários e administradores de equipes pagas. Nós criamos um log toda vez que uma conta faz login, com o tipo de dispositivo usado e o endereço IP da conexão. Os administradores e os proprietários de uma equipe paga podem revisar os logs de acesso consolidados dela inteira.
  • Gerenciamento de acesso. Os administradores podem encerrar remotamente todas as conexões e desconectar todos os dispositivos autenticados dos serviços do Slack ou do GovSlack a qualquer momento, sob solicitação.
  • Retenção de dados. Os proprietários de uma equipe paga do Slack podem configurar políticas de retenção de mensagens personalizadas de acordo com o tamanho dela e por canal. Definir uma duração personalizada para retenção significa que, todas as noites, as mensagens ou os arquivos mais antigos do que a duração definida vão ser excluídos dos servidores de produção dos serviços do Slack ou do GovSlack.
  • Gerenciamento de host. Nós realizamos análises automatizadas de vulnerabilidades nos nossos hosts de produção e corrigimos todas as descobertas que representem risco para o ambiente. Recomendamos o bloqueio de tela e o uso de criptografia de disco completo para notebooks da empresa.
  • Proteção de rede. Além do monitoramento sofisticado do sistema e dos acessos, nós implementamos a autenticação de dois fatores para acesso a todos os servidores no nosso ambiente de produção. Os firewalls são configurados de acordo com as boas práticas do setor, usando grupos de segurança da AWS.
  • Práticas de segurança do produto. Novos recursos, funcionalidades significativas e alterações de design passam por um processo de revisão de segurança facilitado pela equipe de segurança. Além disso, nosso código é auditado com um software de análise estática, testado e revisado manualmente por pares antes de ser implantado na produção. A equipe de segurança trabalha em estreita colaboração com as equipes de desenvolvimento para resolver todos os problemas adicionais de segurança que possam surgir durante o desenvolvimento. O Slack também tem um programa de segurança que recompensa a detecção de bugs. Pesquisadores de todo o mundo testam de maneira contínua a segurança dos serviços do Slack e do GovSlack e comunicam os problemas por meio do programa. Veja mais detalhes sobre ele no site de recompensas.
  • Autenticação de dois fatores para equipes. Os administradores de equipes podem exigir que todos os usuários configurem a autenticação de dois fatores nas suas contas. Veja instruções sobre como fazer isso na Central de Ajuda.

O Cliente não pode desativar alguns dos controles, mas há outros cuja segurança dos serviços do Slack ou do GovSlack ele pode personalizar para uso próprio. Assim sendo, proteger os Dados do Cliente é uma responsabilidade conjunta do Cliente e do Slack. No mínimo, o Slack vai se alinhar aos padrões predominantes do setor, como ISO 27001, ISO 27002 e ISO 27018, ou qualquer padrão sucessor ou substituto.

O Slack pode realizar verificações e testes de segurança da plataforma e dos fluxos de trabalho do Slack, bem como dos apps executados na infraestrutura do Slack, para detectar ações ou comportamentos abusivos que violem os termos dos serviços.

Detecção de invasão

O Slack ou uma entidade externa autorizada vai monitorar os serviços do Slack e do GovSlack para detectar invasões não autorizadas.

Logs de segurança

Os sistemas usados na prestação dos serviços do Slack e do GovSlack registram informações nas instalações de log do sistema ou em um serviço de log centralizado para sistemas de rede. O objetivo disso é permitir revisões e análises de segurança. O Slack mantém um amplo ambiente de log centralizado no âmbito de produção que contém informações sobre segurança, monitoramento, disponibilidade, acesso e outras métricas relacionadas com os serviços do Slack e do GovSlack. Os logs são analisados para detecção de eventos de segurança por meio de um software de monitoramento automatizado, sob supervisão da equipe de segurança. Quanto aos serviços do GovSlack, os logs vão ser acessíveis somente no ambiente dele, e somente Cidadãos e Residentes dos EUA Qualificados vão poder acessá-los. “Cidadãos e Residentes dos EUA Qualificados” são pessoas que (a) são cidadãs dos Estados Unidos ou têm residência legal permanente no país; (b) estão fisicamente localizadas nos Estados Unidos enquanto oferecem suporte ao GovSlack; e (C) passaram por uma verificação de antecedentes como condição para trabalhar com o Slack.

Gerenciamento de incidentes

O Slack mantém políticas e procedimentos de gerenciamento de incidentes de segurança. O Slack notifica os clientes afetados sem atrasos injustificados sobre qualquer divulgação não autorizada de seus respectivos Dados do Cliente pelo Slack ou seus agentes, dos quais o Slack toma conhecimento na medida permitida por lei. O Slack publica informações de status do sistema no site Salesforce Trust e/ou na página Status do Sistema Slack. O Slack geralmente notifica os clientes por e-mail sobre incidentes de sistema significativos. Além disso, no caso de incidentes que duram mais de uma hora, os clientes afetados poderão ser convidados a participar de uma teleconferência sobre o incidente e a resposta da plataforma. Quem gerencia os incidentes de segurança do GovSlack são os Cidadãos e os Residentes dos EUA Qualificados.

Criptografia de dados

Os serviços do Slack e do GovSlack usam produtos de criptografia aceitos pelo setor para proteger os Dados do Cliente (1) durante as transmissões entre a rede do cliente e os serviços do Slack e do GovSlack; e (2) quando em repouso. Os serviços do Slack e do GovSlack são compatíveis com os pacotes e os protocolos de criptografia para segurança mais recentes, recomendados para criptografar todo o tráfego em trânsito. Nós monitoramos de perto os avanços da tecnologia de criptografia e nos empenhamos para aprimorar o serviço, responder às novas vulnerabilidades criptográficas conforme elas são descobertas e implementar as práticas recomendadas à medida que elas evoluem. Para a criptografia em trânsito, fazemos isso enquanto equilibramos a necessidade de compatibilidade com clientes mais antigos.

Confiabilidade, backup e continuidade de negócios

Entendemos que você conta com os serviços do Slack e do GovSlack para trabalhar. Por isso, temos o compromisso de disponibilizar os serviços do Slack e do GovSlack de modo que você possa confiar neles. Nossa infraestrutura é operada em sistemas tolerantes a falhas, para falhas de servidores individuais ou até mesmo de data centers inteiros. Nossa equipe de operações testa periodicamente medidas de recuperação de desastres e trabalha 24 horas por dia para resolver rapidamente incidentes inesperados. As práticas recomendadas do setor no quesito confiabilidade e backup ajudaram a moldar o design dos serviços do Slack e do GovSlack. O Slack realiza backups periódicos, facilita reversões de software e alterações de sistema quando necessário, assim como replicação de dados conforme necessário. Sempre que possível, o Slack ajudará o Cliente na recuperação de dados em Grandes Eventos Catastróficos, conforme limitado pelos requisitos de residência de dados da localidade e recursos na região. “Grandes Eventos Catastróficos” significa três amplos tipos de ocorrências: (1) eventos naturais como inundações, furacões, tornados, terremotos e epidemias; (2) eventos tecnológicos, como falhas de sistemas e estruturas, como explosões de dutos, acidentes de transporte, interrupções de serviços públicos, falhas em barragens e liberação acidental de materiais perigosos; e (3) eventos causados por humanos, como ataques agressivos ativos, ataques químicos ou biológicos, ataques cibernéticos contra dados ou infraestrutura e sabotagem. Grandes Eventos Catastróficos não incluem bugs, problemas operacionais ou outros erros comuns relacionados ao software.

Os Dados do Cliente são armazenados de maneira redundante em vários locais nos data centers dos nossos provedores de hospedagem, a fim de garantir a disponibilidade. Temos procedimentos comprovados de backup e restauração que permitem recuperar em caso de um grande desastre. Os Dados do Cliente e nosso código-fonte são salvos em backup automaticamente todas as noites. A equipe de operações recebe um alerta caso ocorram falhas no sistema. Os backups são avaliados pelo menos a cada 90 dias para confirmar se os nossos processos e ferramentas estão funcionando conforme o esperado.

Dados em repouso

O Slack vai armazenar os Dados do Cliente em repouso em determinadas áreas geográficas principais, salvo contrário no seu Formulário de Pedido.

Devolução dos Dados do Cliente

Dentro de 30 dias após a rescisão do contrato, os clientes podem solicitar a devolução dos respectivos Dados do Cliente enviados aos serviços do Slack e do GovSlack, desde que não tenham excluído esses dados. É possível encontrar informações sobre as funcionalidades de exportação dos serviços do Slack e do GovSlack na Central de Ajuda do Slack.

Exclusão dos Dados do Cliente

Os serviços do Slack e do GovSlack oferecem aos proprietários principais de workspaces a opção de excluir os Dados do Cliente a qualquer momento durante o período da assinatura. Dentro de 24 horas após o proprietário principal do workspace realizar a exclusão, o Slack exclui para sempre todas as informações dos sistemas de produção em execução no momento, exceto nomes de equipe e termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web. Os backups dos serviços do Slack e do GovSlack são destruídos no prazo de 14 dias, exceto durante a investigação de um incidente. Nesse caso, o prazo pode ser temporariamente estendido.

Quando um cliente encerra uma assinatura paga do Enterprise Grid ou dos serviços do GovSlack e não exclui a própria conta, o Slack faz isso dentro de 90 dias após o encerramento da assinatura. Além disso, a plataforma garante que todas as suas Afiliadas e provedores de hospedagem de terceiros aplicáveis excluam todas as cópias dos Dados do Cliente (exceto nomes de equipe e termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web) dentro de 14 dias após iniciar a exclusão da conta do cliente. Quando um cliente encerra qualquer assinatura paga dos serviços do Slack que não seja do Enterprise Grid ou dos serviços do GovSlack, a assinatura do cliente continua na modalidade gratuita, sujeita aos Termos de Serviço do Cliente on-line então vigentes ou outro contrato principal de assinatura on-line aplicável ao uso gratuito ("Termos de Assinatura Gratuita"), e os Dados do Cliente não são excluídos até que (i) o próprio Cliente exclua o workspace, (ii) o Cliente instrua o Slack a excluir seus Dados do Cliente ou (iii) qualquer uma das partes encerre os Termos de Assinatura Gratuita. Após a ocorrência desses eventos, o Slack deve, dentro de 14 dias, excluir e garantir que todas as suas Afiliadas e provedores de hospedagem de terceiros autorizados excluam todas as cópias dos Dados do Cliente, exceto nomes de equipe e termos de pesquisa incluídos em URLs nos logs de acesso do servidor Web.

Confidencialidade

Aplicamos controles rigorosos ao acesso dos nossos funcionários aos Dados do Cliente. Para que os serviços do Slack e do GovSlack funcionem, alguns funcionários precisam ter acesso aos sistemas que armazenam e tratam os Dados do Cliente. Por exemplo, para diagnosticar um problema com os serviços do Slack e do GovSlack, precisamos acessar os Dados do Cliente. Esses funcionários são proibidos de usar essas permissões para ver os Dados do Cliente, a menos que seja necessário. Nós contamos com controles técnicos e políticas de auditoria para garantir que todos os acessos aos Dados do Cliente sejam registrados.

Todos os nossos funcionários e pessoal contratado têm a obrigação de cumprir as políticas relacionadas com os Dados do Cliente. Essa é uma questão de alta prioridade para a nossa empresa.

Práticas do pessoal

O Slack realiza verificações dos antecedentes de todos os funcionários antes de contratá-los. Além disso, todos eles recebem treinamento sobre privacidade e segurança durante a integração e também de forma contínua. Todos os funcionários precisam ler e assinar nossa política integral de segurança da informação, que abrange a segurança, a disponibilidade e a confidencialidade dos serviços do Slack e do GovSlack.

Infraestrutura

O Slack usa a infraestrutura que a Amazon Web Services, Inc. (“AWS”) oferece para hospedar ou tratar os Dados do Cliente enviados aos serviços do Slack e do GovSlack. As informações sobre a segurança que a AWS oferece estão disponíveis na página Segurança na Nuvem AWS. As informações sobre as auditorias e as certificações relacionadas à segurança e à privacidade que a AWS recebeu, incluindo informações sobre a certificação ISO 27001 e relatórios SOC, estão disponíveis na página Conformidade da AWS.