A Rock Content tem como prioridade manter os dados dos seus clientes protegidos respeitando, desta forma, a sua privacidade em todos os momentos.
Esta política de segurança fornece uma visão geral de alto nível sobre as práticas de segurança necessárias para atingir esse objetivo.
Você deseja fazer alguma pergunta ou deixar um comentário? Sinta-se à vontade para entrar em contato conosco enviando uma mensagem para [email protected]. Nosso security.txt pode ser acessado aqui.
A nossa equipe de segurança é composta por especialistas na área orientados a melhorar a segurança da nossa organização. Para responder aos incidentes de segurança, conta com funcionários treinados disponíveis 24 horas por dia, 7 dias por semana.
O nosso time também é integrado por um Oficial de Proteção de Dados (DPO) dedicado a atender às demandas de segurança e privacidade. Além disso, temos à disposição Líderes de Tecnologia e Chefes de Engenharia comprometidos com as melhores práticas de segurança.
Todos os nossos serviços são executados na nuvem. Não hospedamos ou executamos nossos próprios roteadores, balanceadores de carga, servidores DNS ou servidores físicos.
Por certo, o serviço da Rock Content é baseado na Amazon Web Services, visto que eles fornecem robustas medidas de segurança para proteger nossa infraestrutura e são compatíveis com a maioria das certificações. Você pode ler mais sobre suas práticas clicando aqui:
Sediado nos Estados Unidos, o nosso data center é uma instalação compatível com Tier IV, PCI DSS e ISO 27001. É importante ressaltar que os nossos servidores estão fisicamente separados dos servidores de outros clientes do data center.
As instalações do data center são protegidas 24 horas por dia, 7 dias por semana, com diferentes medidas de segurança (guardas, CFTV, controle eletrônico de acesso, etc.). O monitoramento e alerta atendem alterações e violações de segurança, energia, HVAC e temperatura.
Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Nós monitoramos e protegemos nossa rede com o objetivo de garantir que não ocorram acessos não autorizados. Para obter esse resultado, adotamos:
Aqui na Rock Content, usamos serviços de proteção de negação de serviço distribuída (DDoS) movidos por uma solução líder do setor.
Criptografia em trânsito: Todos os dados enviados de ou para nossa infraestrutura são criptografados em trânsito por meio das práticas recomendadas pelo setor usando Transport Layer Security (TLS). Você pode ver nosso relatório SSLLabs clicando aqui.
Criptografia em repouso: Todos os nossos dados de usuário -incluindo senhas- são criptografados mediante o uso de algoritmos à prova de hackers no banco de dados.
Mantemos os seus dados de uso por um período de 90 dias após o seu teste. Logo após esse período, eles são completamente removidos do painel de controle e do servidor.
Os usuários podem solicitar a remoção dos seus dados de uso entrando em contato com o suporte. Conheça mais detalhes sobre as nossas configurações de privacidade acessando rockcontent.com/legal/privacy-policy/.
Fazemos backup de todos os nossos ativos críticos e regularmente tentamos restaurar a cópia de segurança para garantir uma recuperação rápida em caso de desastres/ imprevistos. Todos os nossos backups são criptografados.
Desenvolvemos seguindo as melhores práticas e medidas de segurança (OWASP Top 10, SANS Top 25). Para alcançar a excelência, executamos diversas ações que possibilitam alcançar o mais alto nível de segurança em nosso software como:
Encorajamos todos os que praticam a divulgação responsável e cumprem nossas políticas e termos de serviço a participar do nosso programa de segurança.
Por gentileza, evite verificações automatizadas e execute testes de segurança apenas com seus próprios dados. Não divulgue nenhuma informação sobre as vulnerabilidades até que possamos consertá-las. As recompensas são feitas de acordo com o nosso critério, dependendo da criticidade da vulnerabilidade relatada.
Você pode relatar vulnerabilidades entrando em contato através do endereço [email protected]. Por gentileza, inclua uma prova de conceito. Responderemos a sua mensagem o mais rápido possível e, se você seguir as regras, não tomaremos medidas legais.
Cobertura:
Exclusões:
São aceitas as seguintes vulnerabilidades:
Este programa de recompensa por bug NÃO inclui:
Por favor, para relatar uma vulnerabilidade, encaminhe um e-mail para o seguinte endereço: [email protected].
Divulgação responsável: Gostaríamos de manter a Rock Content segura e protegida para todos. Por isso, se você descobriu uma vulnerabilidade de segurança, ficaríamos agradecidos que encaminhasse a informação para os nossos especialistas.
Revelar publicamente uma vulnerabilidade pode colocar toda a comunidade Rock Content em risco. Se você descobriu uma possível vulnerabilidade, ficaríamos agradecidos se você enviasse um e-mail para [email protected]. Desta forma, trabalharemos em conjunto para avaliar e compreender o escopo do problema e, desta forma, resolver todos os seus questionamentos.
De fato, os e-mails são enviados imediatamente para nossa equipe de engenharia com o objetivo de garantir que os problemas sejam resolvidos tão logo apareçam. Todos os e-mails de segurança são tratados com a mais alta prioridade, pois a segurança de nosso serviço é nossa principal preocupação.
Autenticação de 2 fatores
Fornecemos um mecanismo de autenticação de 2 fatores para proteger nossos usuários de ataques de controle de conta.
Proteção contra roubo de conta
Protegemos nossos usuários contra violações de dados monitorando e bloqueando ataques de força bruta.
Logon único
O logon único (SSO) está disponível usando sua conta do Google.
Controle de acesso baseado na função
O controle de acesso baseado na função (RBAC) é oferecido em todas as nossas contas e permite que os nossos usuários definam funções e permissões.
SOC2
Nossa empresa é certificada SOC 2 Tipo 2, o que significa que um auditor independente avaliou nosso produto, infraestrutura, assim como as nossas políticas. Deste modo, certifica que atendemos ou excedemos níveis específicos de controles e processos para a segurança dos dados do usuário.
Privacy Shield entre UE-EUA. e Suíça-EUA
Nossa empresa está em conformidade com a Privacy Shield Frameworks entre UE-EUA e Suíça-U.S visando regular a privacidade dos dados entre a União Europeia e os Estados Unidos.
Privacidade (GDPR/ LGPD)
Estamos em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) e a Lei Geral de Proteção de Dados (LGPD). O objetivo do GDPR / LGPD é proteger as informações privadas de cidadãos da UE/ brasileiros e promover mais controle sobre os dados pessoais. Entre em contato conosco para obter mais detalhes sobre como obedecemos às normas GDPR/ LGPD.
Todo o processamento dos métodos de pagamento é terceirizado com segurança para o Stripe, certificado como um provedor de serviços PCI Nível 1. Não coletamos nenhuma informação de pagamento, portanto, não estamos sujeitos às obrigações do PCI.
Topo