Relatório técnico

Segurança dos serviços de nuvem da Claris

Visão geral

A Claris International Inc. tem um compromisso com a excelência dos seus produtos e do atendimento aos clientes. Nossos produtos são desenvolvidos para ajudar os clientes a melhorar seus negócios com soluções seguras, de alto desempenho e alta disponibilidade. E a Claris valoriza a confiança. Para demonstrar isso, aplicamos as práticas de segurança líderes do setor em nossas próprias práticas de maneira consistente. Esses valores são a base do que fazemos na Claris.

Os produtos da Plataforma Claris, como o Claris FileMaker Server e o Claris FileMaker Pro, foram projetados há muito tempo com a tecnologia de segurança padrão do setor. E os produtos novos na plataforma, como o Claris FileMaker Cloud e o Claris Connect, também foram desenvolvidos para adotar os protocolos e padrões mais recentes de segurança.

A infraestrutura de produção do FileMaker Cloud e do Claris Connect fica hospedada na Amazon Web Services (AWS). Os data centers e serviços da AWS fornecem a infraestrutura física, os controles do ambiente, os mecanismos de controle de acesso e os sistemas de monitoramento para permitir as ofertas de alta segurança e alta disponibilidade da Claris. Além disso, a Apple fornece serviços de data center da Claris de suporte para a rede, as plataformas de identidade e os sistemas de segurança física.

Por meio do nosso compromisso contínuo com a excelência e o relacionamento com a AWS e a Apple, a Claris consegue oferecer ofertas de nível corporativo a organizações de todos os tamanhos, na busca pela transformação digital.

Governança da segurança

Ambiente de segurança e controle

A Equipe de Segurança da Informação é responsável por garantir a confidencialidade, a integridade e a disponibilidade de todas as informações da Apple e da Claris nas instalações, nos equipamentos ou nas redes de trânsito de propriedade da Apple e da Claris ou em parceria direta com elas. Os métodos específicos para atingir esses objetivos incluem: desenvolvimento e distribuição de políticas e procedimentos de segurança, avaliações de segurança, monitoramento e processamento de alertas de segurança e reposta aos incidentes de segurança.

Pessoas, políticas e treinamento

A Claris tem o compromisso de contratar pessoas que são profissionais de classe mundial em sua área e estão comprometidas com os princípios fundamentais da organização de honestidade, respeito, confidencialidade e conformidade.

Para guiar seus profissionais, a Claris mantém um conjunto de políticas, padrões e diretrizes que atuam como um acervo de requisitos e orientações para a implementação de sistemas altamente seguros e disponíveis.

Com base nas políticas, padrões e diretrizes da organização, os funcionários devem fazer treinamentos de integração e treinamentos anuais de conscientização sobre segurança. Os funcionários com responsabilidades que afetam a segurança dos produtos e os esforços de conformidade da Claris recebem treinamento adicional sobre diversos tópicos.

Segurança técnica

A Claris usa estruturas de segurança global para orientar seus processos e controles de segurança. Os principais tópicos, como segurança física, autenticação, criptografia, segurança de rede e proteção do sistema, são detalhados abaixo.

Controles de segurança física e do ambiente

A Claris usa a Amazon Web Services (AWS) para as necessidades de hospedagem. A AWS obteve uma certificação SOC 2 Tipo II pelos serviços usados pela Claris, incluindo o controle de segurança física e do ambiente de seus data centers.

Além disso, a Claris, como subsidiária integral da Apple, aproveita os serviços de TI da Apple. A Apple se mantém no mais alto padrão, e isso reflete na forma de desenvolver, criar e operar os data centers. A Apple implementou controles de segurança para limitar o acesso físico às instalações e aos sistemas críticos, incluindo, entre outros, data centers, ambientes de POD e salas de telecomunicações. Esses controles incluem sistema de acesso com crachá de proximidade (que limita estritamente o acesso ao necessário para cumprir as responsabilidades do trabalho de um indivíduo), leitores biométricos, sistemas de câmeras no local e registros de visitantes.

Controles de autenticação

A segurança de sistemas, dispositivos e contas da Claris começa com a criação e o gerenciamento de credenciais protegidas.

Autenticação de vários fatores

O acesso administrativo aos ambientes da Claris é limitado aos administradores por meio da autenticação de vários fatores. Em seu ambiente, a Claris usa o conceito de menor privilégio. Por meio dos recursos de controle de acesso com base na função da AWS, a Claris pode fornecer permissões altamente granulares para diferentes tipos de administradores na Claris (como administração de servidor, administração de banco de dados, administração de rede).

ID Claris

O ID Claris é um sistema de login integrado para autenticar os usuários dos produtos e serviços da Claris. Ele também oferece suporte para autenticação via provedores de identidade externos, como Okta e Microsoft Active Directory.

Autenticação via provedor de identidade OAuth

O OAuth 2.0 é usado para autenticar os usuários Claris que acessam aplicativos personalizados por meio de um provedor de identidade de terceiros, como Amazon, Google ou Microsoft Azure.

Administração

Claris Customer Console

O Claris Customer Console é um aplicativo da web usado para trabalhar com apps personalizados hospedados pelo FileMaker Cloud e para gerenciar equipes do FileMaker Cloud e do Claris Connect. O console também é usado para gerenciar usuários, grupos, hosts, configurações e contas do ID Claris, bem como assinaturas do FileMaker Cloud e do Claris Connect.

Criptografia de dados

A proteção de informações confidenciais faz parte do DNA da Claris. Criptografar os dados em trânsito e em repouso é uma das principais ferramentas que a Claris emprega como parte essencial do seu compromisso com os clientes.

FileMaker Cloud:

  • Em trânsito: as conexões dos clientes exigem o uso do protocolo TLS 1.2.
  • Em repouso: o FileMaker Cloud usa vários ambientes de armazenamento de dados da AWS para persistência de dados. Nessas plataformas de dados, a Claris usa o AWS Key Management Service (KMS) para a criptografia dos dados em repouso.
  • Disco: a Claris usa o AWS KMS com criptografia AES de 256 bits.

Claris Connect:

  • Em trânsito: as conexões dos clientes exigem o uso do protocolo TLS 1.2. Certificados e uma chave efêmera de PFS TLS 1.2 são necessários entre os hosts (por exemplo, entre a camada de aplicativo e a camada de banco de dados).
  • Em repouso: os dados em repouso são armazenados em soluções empresariais de armazenamento com no mínimo criptografia AES de 256 bits.
  • Disco: a Claris usa o AWS KMS com criptografia AES de 256 bits.

Segurança da rede

Os firewalls são uma parte importante de qualquer esforço de segurança. Em termos genéricos, firewall é um controle que pode ser usado para impedir que determinado tráfego de rede entre em uma rede privada. A Claris usa firewalls em toda a rede e entre diferentes zonas da rede, incluindo firewalls de aplicativos, firewalls de aplicativos da web e firewalls da camada de rede.

E o tráfego da rede é monitorado continuamente. Consulte a seção Registros e monitoramento para obter mais informações.

Proteção do sistema

As configurações básicas reforçadas ajudam a promover a consistência no ambiente operacional e fornecem garantias de que os sistemas são construídos usando o software aprovado pela Claris, e minimizam a superfície de ataque a ser explorada por um possível evento com códigos maliciosos.

Como parte de uma configuração básica, as ferramentas aprovadas pela equipe de Segurança da Informação para detecção de softwares maliciosos são requisitos padrão nas linhas de base de configuração. Esses aplicativos fornecem detecção, monitoramento, detecção e alerta de possíveis eventos de segurança no nível do sistema, e podem impedir a execução de códigos maliciosos. Essas ferramentas também definiram caminhos de integração para os recursos de monitoramento corporativo e gerenciamento de eventos, o que permite à Equipe de Segurança da Informação agregar temas e atividades ao ambiente, invocar ações de resposta a incidentes e colaborar com investigações forenses.

Avaliações de segurança e gerenciamento de vulnerabilidades

As avaliações de segurança, realizadas pela Equipe de Segurança da Informação, acontecem antes da implementação em produção de recursos, serviços, configurações ou alterações de código novos ou atualizados.

O teste de segurança da infraestrutura, incluindo dispositivos de rede e sistemas operacionais, é suportado por meio de verificação de vulnerabilidades e correção subsequente.

Gerenciamento de ameaças e resposta a incidentes

Processos e fluxo de registro

O registro é uma parte crítica do gerenciamento de segurança da informação feito na Claris, porque eles ajudam a garantir a segurança dos sistemas da Claris. A Equipe de Segurança da Informação fornece métodos e ferramentas para as equipes de produção. Com isso, elas podem transmitir facilmente os registros de qualquer sistema na Claris para a Equipe de Segurança da Informação. O fluxo de eventos recebe registros de diferentes fontes e os agrega em um único local disponível globalmente para a equipe autorizada de resposta a incidentes.

Equipe de resposta a incidentes

A equipe de resposta a incidentes é uma equipe 24/7 que monitora sistemas e alertas para identificar inicialmente eventos de segurança e fazer a triagem de alertas de entrada. Os eventos são monitorados em uma ferramenta centralizada de monitoramento, na qual as informações do evento e o possível impacto comercial do evento são capturados. Equipes adicionais são incluídas para correção de eventos por meio de um processo padronizado e simplificado.

Gerenciamento de incidentes

A Claris conta com o programa de gerenciamento de incidentes da Apple. A Apple implementou um programa de gerenciamento de incidentes que inclui políticas e procedimentos para gerenciar riscos de maneira rápida e eficaz. Com base no plano documentado de resposta a incidentes, os eventos de segurança são atribuídos ao pessoal correto para análise antes de um evento ser identificado como um incidente. Depois de identificado como um incidente, a Apple aplica uma abordagem padronizada de atribuição de nível de gravidade ao incidente para classificar, priorizar e responder adequadamente ao incidente. Além disso, a organização criou um plano de comunicação de incidentes para documentar e definir as funções, responsabilidades, obrigações de conformidade e procedimentos de comunicação de um incidente.

Continuidade de negócios e recuperação de desastres

A Claris usa a Amazon Web Services (AWS) para as necessidades de hospedagem. A Claris criou seu ambiente para ser altamente redundante e fornecer alta disponibilidade aos seus clientes.

Além disso, a Claris, como subsidiária integral da Apple, aproveita os serviços de TI da Apple em determinadas áreas. Como parte do processo de certificação ISO 27001 da Apple, os data centers da empresa são auditados quanto à resiliência e continuidade das operações.

Gerenciamento e privacidade de dados

Retenção de dados

A organização desenvolveu políticas e cronogramas de retenção e cronogramas para descrever os períodos necessários de retenção dos registros.

O conteúdo do cliente criado nos produtos Claris fica disponível por 45 dias após o término ou vencimento da assinatura do cliente. Após esse período, todo o conteúdo é excluído.

Os dados do cliente usados para gerenciar o usuário (nome, e-mail e número de telefone) são retidos a critério do cliente e em conformidade com a Política de Privacidade da Claris.

Política de privacidade

A Claris tem um compromisso com a privacidade do cliente e está em conformidade com os regulamentos de privacidade aplicáveis em relação aos nossos produtos e serviços. A Claris coleta apenas a quantidade mínima de dados necessária para fornecer os serviços aos clientes.

Os dados coletados do cliente são tratados a todo momento de acordo com a Política de privacidade da Claris.

GDPR: a Claris segue o GDPR; no entanto, nossos clientes são responsáveis por garantir a criação de aplicativos e a manipulação dos dados de acordo com as disposições do GDPR. Para obter mais informações sobre a conformidade da Claris com o GPDR ou para solicitações referentes ao GDPR, acesse aqui.

HIPAA: a Claris não reivindica a conformidade com a HIPAA. Se você for uma entidade coberta, um parceiro de negócios ou representante de uma entidade ou parceiro de negócios coberto, concorda que não usará qualquer componente, função ou outro recurso do Claris FileMaker Cloud ou do Claris Connect para criar, receber, manter ou transmitir qualquer informação de saúde protegida.

PCI: a Claris segue o padrão da PCI no processamento dos cartões de crédito de seus clientes. No entanto, os produtos da Claris não foram submetidos a uma auditoria da PCI, então os dados do cartão de crédito não devem ser armazenados nos produtos da Claris.