Hospedagem de dados e segurança

Confiabilidade e disponibilidade

O Sprout Social trabalha para minimizar os impactos no serviço e o tempo de inatividade. Projetamos nossos sistemas para tolerância a falhas, e nossas equipes são treinadas para a recuperação rápida em caso de incidentes. Faz parte da nossa ética evitar a todo custo períodos de inatividade, planejados ou não planejados. Nunca instituímos tempo de inatividade por manutenção caso seja evitável—porque, geralmente, é. Os elementos de continuidade de negócios e recuperação de incidentes fazem parte das nossas práticas e sistemas. Eles não ficam em segundo plano nem são uma tarefa relegada a apenas uma equipe.

Um histórico comprovado

99,99% de tempo de atividade é um KPI para o nosso grupo de engenharia. No momento, temos um tempo de atividade superior a 99,95% nos 6 e 12 meses anteriores.

Transparência para os clientes

A confiança começa com uma comunicação aberta. Compartilhamos, publicamente, o status do sistema em tempo real e métricas em nossos sites de status, https://status.sproutsocial.com para o Sprout Social e https://status.getbambu.com para o Bambu. Lá, comunicamos incidentes e manutenção planejada, incluindo qualquer impacto no cliente, e exibimos métricas de saúde do sistema provenientes de provedores independentes de terceiros. Os clientes podem se inscrever para receberem SMS instantâneos ou e-mail de notificações de incidentes futuros.

Feeds de redes sociais

Nossa camada de ingestão de dados combina várias conexões com APIs de redes sociais. Temos parceria com redes sociais como Facebook, Twitter, Instagram e Linkedin, que nos oferecem níveis mais altos de redundância e acesso às equipes de suporte.

Backups

Backups são feitos com frequência, criptografados em trânsito e em repouso, e são testados regularmente. Os backups são mantidos remotamente no Amazon S3 que armazena arquivos em vários dispositivos físicos em múltiplas instalações oferecendo durabilidade de 99,999999999% e disponibilidade de 99,99%.

Transparência para nossas equipes

Internamente, praticamos análises retrospectivas multidisciplinares sem culpar ninguém e procuramos ampliar nosso pessoal, processos e sistemas depois de falhas. O medo é o inimigo do progresso.

Isolamento

Nossa plataforma backend altamente distribuída emprega padrões de design de isolamento para mitigar os riscos por meio de componentes. Falhas em um componente raramente afetam outros componentes.

Objetivos de ponto de recuperação (RPOs)

Estratégias de recuperação são projetadas para fornecer RPOs atualizados com baixos objetivos de tempo de recuperação (RTOs), com dados mais antigos recuperados em vez de RTOs mais longos. Isto é consistente com as expectativas do cliente nas redes sociais, permitindo que os clientes atendam às necessidades imediatas dos clientes deles.

Melhores páticas de DevOps

Nossa equipe de engenharia pratica a infraestrutura como código, oferecendo exatidão, consistência, capacidade de teste e velocidade de recuperação. Qualquer integrante da equipe do plantão 24 horas tem condições de reconstruir sistemas e topologias com total consistência. Em caso de perda do sistema, nossa equipe de engenharia pode recriar rapidamente os sistemas executando o código de infraestrutura.

Monitoramento e suporte de plantão

Fazemos o monitoramento constante de todo o mundo, exibindo, alertando e informando sobre todos os nossos ambientes técnicos em tempo real. O suporte aos clientes é uma colaboração entre nossa equipe de suporte ao cliente e nossa equipe de engenharia. Temos engenheiros especializados de plantão 24 horas por dia, todos os dias.

Quando ocorrem problemas, as nossas equipas são prontamente notificadas, automaticamente informadas do contexto e equipadas com ferramentas para ajudar a colaborar de maneira eficiente com os seus colegas. Empregamos um sistema de pager de triagem para assegurar que alertas cheguem aos engenheiros rapidamente e de maneira confiável.

Data centers

Os produtos do Sprout Social são hospedados no Amazon Web Services (AWS). O AWS oferece instalações de hospedagem de excelência e seguras, altamente disponíveis e redundantes, em conformidade com o Cloud Security Alliance Star nível 2, ISO 9001, 27001, 27017, 27018, PCI DSS nível 1 e SOC 1, 2, e 3. Para saber mais sobre as certificações e os programas de conformidade do AWS, acesse https://aws.amazon.com/compliance/programs.

Localização de dados

Os dados dos clientes são hospedados nos Estados Unidos, na região us-east-1 do AWS.

Instalações

As centrais de dados da AWS estão equipadas com recursos de hospedagem físicos de excelência. Os edifícios têm monitoramento e gestão de temperatura e umidade, detecção e remoção automática de água e detecção e supressão automática de fogo. Combinações de múltiplas alimentações de energia, sistemas de alimentação de energia ininterrupta (UPS) e geradores elétricos no local fornecem camadas de energia de reserva. Conexões de Internet e telecomunicações são redundantes. Não há dependências de produto nos escritórios corporativos do Sprout Social ou outras instalações que gerenciamos.

Segurança de TI

Segurança adicional é aplicada às salas e aos sistemas de tecnologia da informação, incluindo alarmes de arrombamento de porta, linhas e sistemas de detecção de intrusão eletrônica, autenticação multifator e destruição de meios de comunicação por
NIST 800-88.

Segurança física

Edifícios de centrais de dados possuem um acesso físico rigoroso. Todo acesso físico é monitorado 24 horas por dia por funcionários. Autenticação multifator é necessária para todos os visitantes. Monitoramento contínuo de acesso não autorizado é feito por meio de vigilância de vídeo, detecção de invasão e sistemas de monitoramento de acesso de logs.

Rede de infraestrutura e segurança

O Sprout Social tem uma equipe dedicada à segurança. Todos os sistemas são monitorados, com alertas 24 horas por dia em caso de incidentes de segurança e operacionais. Temos sistemas de deteção de intrusão baseada em host (IDS) em todos os sistemas de produção.

Controles de rede

Nossa rede privada é segmentada em várias zonas de segurança. Elas oferecem maiores níveis de controle nas proximidades dos dados do cliente.

Resposta e gerenciamento de incidente

O planejamento e os procedimentos de resposta a incidentes do Sprout Social são baseados em padrões NIST. Todos os relatórios de incidentes são prontamente investigados, informados e remediados conforme necessário. O plano de resposta e os procedimentos definem todas as etapas para garantir um processo consistente.

Varredura

Sistemas e aplicações são verificados regularmente em busca de vulnerabilidades comuns.

Criptografia em repouso e em trânsito

Todas as comunicações em redes públicas com a API e o aplicativo do Sprout Social utilizam HTTPS com TLS 1.2 ou superior. Todos os dados são armazenados com criptografia em repouso AES-256 ou superior, incluindo os backups.

Administração do sistema

Melhores práticas são utilizadas, como menor privilégio, gerenciamento de configuração central e rigorosas políticas de firewall de host e rede. Os servidores são corrigidos automaticamente em uma programação regular, com patches de alta prioridade aplicados manualmente fora do ciclo.

Segurança de aplicativo

Os desenvolvedores do Sprout Social recebem treinamento anual sobre codificação segura. Todo código de aplicativo é escrito por funcionários do Sprout, e cada mudança é revisada por colegas. Vulnerabilidades de segurança são prontamente triadas e corrigidas.

Testes de penetração de terceiros

O Sprout tem contrato com diversos fornecedores de testes de penetração para realizar vários testes por ano. Relatórios são disponibilizados mediante pedido pelos clientes sob acordo de não divulgação.

Mitigação DDoS

A mitigação DDoS é fornecida por meio da nossa plataforma de hospedagem.

política de divulgação responsável

Pesquisadores de segurança podem relatar vulnerabilidades por meio do Bug Crowd. (link: https://bugcrowd.com/sproutsocial). Saiba mais sobre a nossa política em https://sproutsocial.com/responsible-disclosure-policy.

Funcionários e TI interna

Os desenvolvedores recebem treinamento sobre programação segura. Além disso, todos os funcionários participam da formação anual de segurança geral e privacidade de dados. Realizamos simulações de phishing de rotina, medidas em comparação aos referenciais da indústria.

Normas e políticas de segurança de informações

O Sprout Social tem um conjunto abrangente de políticas e normas que cobrem todos os aspectos de segurança e privacidade. Todos os funcionários devem confirmar suas responsabilidades na proteção dos dados do cliente como condição para trabalhar.

Protocolos seguros de suporte

Nossa equipe de suporte de excelência segue protocolos de phishing e resistência a ameaças projetados por nossa equipe de segurança quando realiza ações sigilosas em contas de clientes.

Escritórios

Os escritórios do Sprout Social são protegidos por acesso com leitura de cartão. Redes de escritório são segmentadas, monitoradas por uma central e protegidas por firewalls e dispositivos de prevenção de intrusões. Nossos produtos não têm repartições em escritórios da nossa empresa ou outras instalações que gerenciamos.

Dispositivos

Todos os dispositivos do Sprout Social fazem parte de um inventário com etiquetas de ativos e são gerenciados por uma solução central de MDM.

Endpoints

As estações de trabalho dos funcionários são protegidas com criptografia de disco rígido, antivírus e detecção de malware avançada com gerenciamento e controle centrais.

Verificação de antecedentes

Todos os novos contratados com acesso aos dados dos clientes passam por uma verificação de histórico e antecedentes criminais antes de serem empregados.

Continuidade de negócios

Como no caso da hospedagem dos nossos produtos, embora o Sprout Social mantenha escritórios físicos em todo o mundo, a continuidade do funcionamento dos nossos negócios não depende deles. Nossos produtos, atendimento ao cliente e operações gerais de negócios têm capacidade de continuar sem interrupções por incidentes físicos ou problemas em nossos escritórios. Durante a pandemia de Covid-19 (coronavírus), o Sprout Social fez a transição de toda a equipe para o trabalho remoto sem atrasos nem interrupções, garantindo a continuidade dos serviços para os clientes. Nossa equipe conta com ferramentas em nuvem, acesso remoto e soluções de colaboração, utilizadas diariamente.

Recursos de segurança de produto

Autenticação multifator (MFA)

Os administradores e proprietários de conta podem exigir que seus usuários acrescentem essa camada de segurança adicional. O Sprout Social suporta aplicativos como Google Authenticator e outros que implementam o algoritmo de senha única baseada no tempo (TOTP) ou o algoritmo de senha única baseada em HMAC (HOTP) para a geração de códigos de acesso.

Armazenamento seguro de credenciais

As funções salt e hash são usadas em senhas de contas usando as abordagens e os algoritmos fortes mais recentes que são rotineiramente auditados. Nenhuma pessoa, mesmo que seja da nossa equipe, pode visualizá-las. Se você perder sua senha, ela não poderá ser recuperada e precisará ser redefinida.

Proteções de força bruta

Além de desafiar a função hash pelo computador, nossos serviços de autenticação implementam proteções limitantes adicionais e ReCAPTCHA.

Fluxos de trabalho de aprovação

Proprietários e administradores de conta podem restringir determinadas atividades por trás de fluxos de trabalho de aprovação. Isso permite que tarefas sejam divididas entre uma equipe, com tranquilidade para que os tomadores de decisão centrais possam rever e controlar ações voltados para o público.

Restrições de IP

O Sprout Social pode ser configurado para restringir a aplicação e o acesso à API de intervalos específicos de IP.

Single sign-on (SSO)

Sprout Social offers SAML 2.0 Single sign-on (SSO) for organizations that leverage this authentication service to give employees one set of login credentials to access multiple applications. Our engineering team works with customers to implement custom SSO integrations across both web and mobile.

Assinatura de e-mail

O Sprout Social implementa Sender Policy Framework (SPF ) e
DomainKeys Identified Mail (DKIM) para assegurar que os e-mails que enviamos sejam autenticados como provenientes do Sprout Social, ajudando a evitar fraudes e garantir a autenticidade.

Permissões de acesso

Os proprietários e os administradores de conta podem restringir o acesso a perfis, recursos, ações (incluindo leitura e gravação) e outros dados aplicando controles granulares para usuários em sua conta.

Pausa geral de publicação

Em tempos de crise, sua equipe tem acesso a um botão que desativa temporariamente o envio pelo Sprout Social de quaisquer mensagens automatizadas agendadas e em fila. Isso é acessível a partir de nossos aplicativos para dispositivos móveis e web.

Conformidade e certificações

Regulamento Geral de Proteção de Dados (RGPD)

O Sprout Social está em conformidade com o RGPD como controlador e também como processador de dados pessoais nos termos do Regulamento Geral sobre a Proteção de Dados.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

O Sprout Social está em conformidade com a CCPA, oferecendo aos clientes na Califórnia mais controle sobre seus dados pessoais coletados.

Conformidade com Payment Card Industry (PCI)

O Sprout Social está em conformidade com a PCI SAQ-A. As transações de pagamento são terceirizadas para processadores de pagamento em conformidade com a PCI-DSS nível 1.

Fornecedor da Crown Commercial Service (CCS)

O Sprout Social é fornecedor de software de nuvem pelo mercado digital G-Cloud 12 da Crown Commercial Service (CCS). A estrutura de aquisições G-Cloud ajuda os clientes do setor público do Reino Unido (RU) a encontrar e comprar serviços de nuvem, sabendo que cada fornecedor foi submetido à avaliação da CCS.

Parcerias oficiais com redes sociais

O Sprout Social foi reconhecido como parceiro oficial do Twitter, Facebook, Instagram, LinkedIn, Pinterest e Google My Business.