Passar para o conteúdo principal

Segurança na Fin

Saiba como protegemos os dados dos clientes com práticas de segurança robustas.

Escrito por Beth-Ann Sher

Manter os dados dos nossos clientes seguros é a coisa mais importante que a Fin faz. Tomamos medidas consideráveis para garantir que todos os dados enviados para a Fin sejam tratados com segurança - manter a Fin segura é fundamental para a natureza do nosso negócio.

Queremos compartilhar alguns detalhes do que fazemos para manter tudo seguro, e parte do trabalho que estamos realizando para melhorar continuamente a segurança dos seus dados. Este documento é dinâmico e será atualizado de tempos em tempos.

Você também pode se interessar em revisar nossos Termos de Uso e Política de Privacidade. Para quaisquer dúvidas ou para acessar a documentação de conformidade, visite nosso Trust Center. Você também pode nos contatar pelo e-mail security@intercom.io, se necessário.

Nossa equipe tem experiência relevante

Nossa equipe inclui pessoas que desempenharam papéis principais no design, construção e operação de sistemas altamente seguros voltados para a Internet, como plataformas de processamento de pagamentos, serviços em nuvem e redes de distribuição de conteúdo em empresas como Amazon e Facebook. Também temos pessoas que construíram com sucesso várias startups do zero, e outras que trabalharam em negócios menores de Internet bem estabelecidos.

Hospedamos em instalações de classe mundial

A grande maioria dos nossos serviços e dados é hospedada nas instalações da Amazon Web Services nos EUA. Mais detalhes sobre as consideráveis medidas que a Amazon toma para garantir a segurança de suas instalações e serviços podem ser encontrados aqui.

Seguimos as melhores práticas

Na Fin, seguimos várias melhores práticas que melhoram nossa postura de segurança.

Aqui estão alguns exemplos:

  • Temos automação confiável e frequentemente usada para que possamos implementar mudanças com segurança e confiabilidade tanto em nossa aplicação quanto na plataforma operacional em minutos. Normalmente, fazemos dezenas de implantações por dia, então temos alta confiança de que podemos lançar uma correção de segurança rapidamente quando necessário.

  • Todos os dados enviados para nós são criptografados em trânsito. Nossa API e pontos finais da aplicação são apenas TLS/SSL e recebem classificação "A+" nos testes do SSL Labs - o que significa que usamos apenas conjuntos de cifras fortes e temos recursos como HSTS e Perfect Forward Secrecy totalmente ativados. Também criptografamos dados em repouso.

  • Regularmente contratamos auditores terceirizados renomados para auditar nosso código e infraestrutura, e trabalhamos com eles para resolver possíveis problemas.

  • Nossa infraestrutura é gerenciada como código com Terraform. Usamos tecnologias como Elasticsearch, AWS CloudTrail e PantherLabs para fornecer um registro de auditoria sobre nossa infraestrutura e o produto Intercom. A auditoria nos permite fazer análises de segurança ad hoc, rastrear mudanças feitas em nossa configuração e auditar o acesso a cada camada da nossa pilha.

  • Usamos autenticação de dois fatores sempre que possível. Pedimos aos fornecedores que exijam autenticação de dois fatores em todas as nossas contas. Desencorajamos o uso de contas compartilhadas em qualquer sistema - quando não temos escolha, usamos 1Password para compartilhar logins com segurança. Revisamos regularmente quais contas podem acessar nossos sistemas e as permissões que possuem.

  • Não confiamos em nossa rede corporativa - ela não tem portas dos fundos para nossos sistemas de produção.

  • Temos um plano documentado de resposta a incidentes e educamos toda a equipe sobre procedimentos e políticas de segurança.

  • Testes de penetração externos duas vezes por ano realizados por parceiros externos dedicados à segurança.

  • Realizamos varreduras contínuas em nossas principais propriedades web usando Detectify.

  • Quaisquer mudanças no código foram revisadas por pares e são automaticamente testadas como parte do nosso processo CI/CD para identificar regressões ou falhas de segurança usando análise estática.

  • Executamos um programa público de recompensa por bugs com Bugcrowd.

  • Mais detalhes estão disponíveis em nossa página Segurança e no nosso Trust Center.

Segurança do produto: como proteger seu workspace

A segurança é uma responsabilidade compartilhada. Você deve ativar os seguintes recursos de segurança do produto para aumentar a segurança do seu workspace.

Proteja seu workspace

Esses recursos ajudam a proteger seu workspace e a proteger seus dados.

  1. ⭐ Use 2FA, Google Sign-On ou SAML SSO para proteger sua conta e desative logins por nome de usuário/senha, para reduzir o risco de ataques de phishing. Isso é fortemente recomendado.

  2. Controles de acesso baseados em função - defina funções e permissões para restringir o acesso a dados e recursos sensíveis.

  3. Lista de permissões de IP - restrinja o acesso ao workspace a endereços IP específicos.

  4. Duração personalizada da sessão - controle por quanto tempo os colegas permanecem autenticados definindo durações personalizadas de sessão.

  5. Logs de atividade dos colegas - monitore e audite ações importantes realizadas pelos colegas no seu workspace.

  6. Segurança de links - proteja os colegas de acessar links maliciosos ativando avisos de links e criando políticas para gerenciar links e domínios no seu workspace.

  7. Redação de PAN - detecte e oculte automaticamente números de cartão de pagamento (PANs) em conversas.

  8. Segurança de anexos - controle como os anexos são usados no seu workspace.

Proteja seu Messenger

Esses recursos protegem sua instalação do Messenger e ajudam a garantir a segurança das comunicações com seus clientes.

  1. Proteja seu Messenger com JWTs - evite que agentes mal-intencionados se passem por seus usuários finais, leiam suas conversas ou obtenham acesso não autorizado a dados. Além disso, usar JWTs permite verificar a identidade do usuário e proteger todos os atributos de dados que você envia sobre eles. Isso é fortemente recomendado.

  2. Adicione uma lista de domínios confiáveis para garantir que o Messenger seja carregado apenas em domínios que você possui e valoriza.

  3. Desative a criação de atributos via Messenger para evitar que agentes mal-intencionados insiram seus próprios dados pelo navegador.

  4. Use o método de encerramento JavaScript para encerrar a sessão de um usuário quando ele sair do seu app.

Você pode aprender mais sobre esses recursos nas seções Segurança e Privacidade e Segurança do Messenger do nosso Help Center.

Não armazenamos detalhes de pagamento

A Fin não atua no armazenamento ou processamento de pagamentos. Todos os pagamentos feitos para a Fin passam pelo nosso parceiro, Stripe. Detalhes sobre a configuração de segurança e conformidade PCI deles podem ser encontrados na página de segurança da Stripe.

Encontrei um bug de segurança!

Se você encontrou uma vulnerabilidade de segurança que deseja nos reportar, pode fazê-lo através do nosso programa público de recompensa por bugs no Bugcrowd. Se estiver dentro do escopo, você pode ser elegível para uma recompensa. Não aceitamos submissões de bug bounty pelo nosso endereço de e-mail, por favor, envie-as apenas pelo Bugcrowd.

Se você é um cliente preocupado com a segurança do seu próprio workspace, entre em contato pelo e-mail security@intercom.io ou pelo time de CS no Messenger.

Artigos relacionados
Como entrar em contato conosco para consultas de dados
Migrando da Verificação de Identidade para Segurança do Messenger com JWTs
Protegendo os dados que você envia via Messenger
Visibilidade do histórico de conversas do usuário
Respondeu à sua pergunta?