Hospedagem de dados e segurança
O Sprout Social visa ajudar empresas de todos os tamanhos a aprimorar as vendas, criar relacionamentos mais fortes com seus clientes, tomar decisões mais informadas e criar as marcas mais amadas do mundo.
Em atividade desde 2010, o Sprout Social tem mais de 30 mil clientes pagantes que confiam em nosso trabalho para ajudá-los a gerenciar milhões de conversas todos os dias. Nossa tecnologia foi desenvolvida pensando nos nossos clientes e seus públicos. Estamos sempre trabalhando para criar relações duradouras, por meio de uma cultura de sucesso e atendimento ao cliente.
Confiabilidade e disponibilidade
O Sprout Social trabalha para minimizar os impactos no serviço e o tempo de inatividade. Projetamos nossos sistemas para tolerância a falhas, e nossas equipes são treinadas para a recuperação rápida em caso de incidentes. Faz parte da nossa ética evitar a todo custo períodos de inatividade, planejados ou não planejados. Nunca instituímos tempo de inatividade por manutenção caso seja evitável—porque, geralmente, é. Os elementos de continuidade de negócios e recuperação de incidentes fazem parte das nossas práticas e sistemas. Eles não ficam em segundo plano nem são uma tarefa relegada a apenas uma equipe.
Um histórico comprovado
99,99% de tempo de atividade é um KPI para o nosso grupo de engenharia. No momento, temos um tempo de atividade superior a 99,95% nos 6 e 12 meses anteriores.
Transparência para os clientes
A confiança começa com uma comunicação aberta. Compartilhamos publicamente o status e as métricas do sistema em tempo real em nossos sites de status: https://status.sproutsocial.com, no caso do Sprout Social, e https://status.advocacy.sproutsocial.com, no caso do Employee Advocacy. Nesses sites, comunicamos incidentes e manutenção planejada, incluindo qualquer impacto para o cliente, e exibimos métricas de integridade do sistema provenientes de provedores independentes terceirizados. Os clientes podem se inscrever para receber SMS instantâneos ou e-mails de notificação de futuros incidentes.
Feeds de redes sociais
Nossa camada de ingestão de dados combina várias conexões com APIs de redes sociais. Temos parceria com redes sociais como Facebook, Twitter, Instagram e Linkedin, que nos oferecem níveis mais altos de redundância e acesso às equipes de suporte.
Backups
Backups são feitos com frequência, criptografados em trânsito e em repouso, e são testados regularmente. Os backups são mantidos remotamente no Amazon S3 que armazena arquivos em vários dispositivos físicos em múltiplas instalações oferecendo durabilidade de 99,999999999% e disponibilidade de 99,99%.
Transparência para nossas equipes
Internamente, praticamos análises retrospectivas multidisciplinares sem culpar ninguém e procuramos ampliar nosso pessoal, processos e sistemas depois de falhas. O medo é o inimigo do progresso.
Isolamento
Nossa plataforma backend altamente distribuída emprega padrões de design de isolamento para mitigar os riscos por meio de componentes. Falhas em um componente raramente afetam outros componentes.
Objetivos de ponto de recuperação (RPOs)
Estratégias de recuperação são projetadas para fornecer RPOs atualizados com baixos objetivos de tempo de recuperação (RTOs), com dados mais antigos recuperados em vez de RTOs mais longos. Isto é consistente com as expectativas do cliente nas redes sociais, permitindo que os clientes atendam às necessidades imediatas dos clientes deles.
Melhores páticas de DevOps
Nossa equipe de engenharia pratica a infraestrutura como código, oferecendo exatidão, consistência, capacidade de teste e velocidade de recuperação. Qualquer integrante da equipe do plantão 24 horas tem condições de reconstruir sistemas e topologias com total consistência. Em caso de perda do sistema, nossa equipe de engenharia pode recriar rapidamente os sistemas executando o código de infraestrutura.
Monitoramento e suporte de plantão
Fazemos o monitoramento constante de todo o mundo, exibindo, alertando e informando sobre todos os nossos ambientes técnicos em tempo real. O suporte aos clientes é uma colaboração entre nossa equipe de suporte ao cliente e nossa equipe de engenharia. Temos engenheiros especializados de plantão 24 horas por dia, todos os dias.
Quando ocorrem problemas, as nossas equipas são prontamente notificadas, automaticamente informadas do contexto e equipadas com ferramentas para ajudar a colaborar de maneira eficiente com os seus colegas. Empregamos um sistema de pager de triagem para assegurar que alertas cheguem aos engenheiros rapidamente e de maneira confiável.
Data centers
Os produtos do Sprout Social são hospedados no Amazon Web Services (AWS). O AWS oferece instalações de hospedagem de excelência e seguras, altamente disponíveis e redundantes, em conformidade com o Cloud Security Alliance Star nível 2, ISO 9001, 27001, 27017, 27018, PCI DSS nível 1 e SOC 1, 2, e 3. Para saber mais sobre as certificações e os programas de conformidade do AWS, acesse https://aws.amazon.com/compliance/programs.
Localização de dados
Os dados dos clientes são hospedados nos Estados Unidos, na região us-east-1 do AWS.
Instalações
As centrais de dados da AWS estão equipadas com recursos de hospedagem físicos de excelência. Os edifícios têm monitoramento e gestão de temperatura e umidade, detecção e remoção automática de água e detecção e supressão automática de fogo. Combinações de múltiplas alimentações de energia, sistemas de alimentação de energia ininterrupta (UPS) e geradores elétricos no local fornecem camadas de energia de reserva. Conexões de Internet e telecomunicações são redundantes. Não há dependências de produto nos escritórios corporativos do Sprout Social ou outras instalações que gerenciamos.
Segurança de TI
Segurança adicional é aplicada às salas e aos sistemas de tecnologia da informação, incluindo alarmes de arrombamento de porta, linhas e sistemas de detecção de intrusão eletrônica, autenticação multifator e destruição de meios de comunicação por
NIST 800-88.
Segurança física
Edifícios de centrais de dados possuem um acesso físico rigoroso. Todo acesso físico é monitorado 24 horas por dia por funcionários. Autenticação multifator é necessária para todos os visitantes. Monitoramento contínuo de acesso não autorizado é feito por meio de vigilância de vídeo, detecção de invasão e sistemas de monitoramento de acesso de logs.
Rede de infraestrutura e segurança
O Sprout Social tem uma equipe dedicada à segurança. Todos os sistemas são monitorados, com alertas 24 horas por dia em caso de incidentes de segurança e operacionais. Temos sistemas de deteção de intrusão baseada em host (IDS) em todos os sistemas de produção.
Controles de rede
Nossa rede privada é segmentada em várias zonas de segurança. Elas oferecem maiores níveis de controle nas proximidades dos dados do cliente.
Resposta e gerenciamento de incidente
O planejamento e os procedimentos de resposta a incidentes do Sprout Social são baseados em padrões NIST. Todos os relatórios de incidentes são prontamente investigados, informados e remediados conforme necessário. O plano de resposta e os procedimentos definem todas as etapas para garantir um processo consistente.
Varredura
Sistemas e aplicações são verificados regularmente em busca de vulnerabilidades comuns.
Criptografia em repouso e em trânsito
Todas as comunicações em redes públicas com a API e o aplicativo do Sprout Social utilizam HTTPS com TLS 1.2 ou superior. Todos os dados são armazenados com criptografia em repouso AES-256 ou superior, incluindo os backups.
Administração do sistema
Melhores práticas são utilizadas, como menor privilégio, gerenciamento de configuração central e rigorosas políticas de firewall de host e rede. Os servidores são corrigidos automaticamente em uma programação regular, com patches de alta prioridade aplicados manualmente fora do ciclo.
Gerenciamento de riscos de terceiros
O Sprout Social sempre analisa a postura de segurança de nossos principais fornecedores de produtos e prestadores de serviços terceirizados. Os subprocessadores do Sprout Social são obrigados por contrato a adotar um conjunto estabelecido de medidas de segurança alinhadas às práticas recomendadas do setor.
Segurança de aplicativo
Os desenvolvedores do Sprout Social recebem treinamento anual sobre codificação segura. Todo código de aplicativo é escrito por funcionários do Sprout, e cada mudança é revisada por colegas. Vulnerabilidades de segurança são prontamente triadas e corrigidas.
Testes de penetração de terceiros
O Sprout tem contrato com diversos fornecedores de testes de penetração para realizar vários testes por ano. Relatórios são disponibilizados mediante pedido pelos clientes sob acordo de não divulgação.
Mitigação DDoS
A mitigação DDoS é fornecida por meio da nossa plataforma de hospedagem.
política de divulgação responsável
Os pesquisadores de segurança podem relatar vulnerabilidades por meio do Bug Crowd. (link: https://bugcrowd.com/sproutsocial). Veja mais informações sobre a nossa política em https://sproutsocial.com/responsible-disclosure-policy.
Funcionários e TI interna
A segurança da informação no Sprout Social é conduzida pelo VP de TI, segurança, e conformidade com a supervisão do diretor executivo de tecnologia (CTO) e do conselho de administração do Sprout Social. Os desenvolvedores recebem treinamento em programação segura. Além disso, todos os funcionários participam do treinamento anual de segurança geral e de privacidade de dados. Realizamos simulações de phishing de rotina, que medimos para comparação aos referenciais do setor.
Normas e políticas de segurança de informações
O Sprout Social implementou um avançado sistema de gerenciamento de segurança da informação por meio de um amplo conjunto de políticas e padrões que abrangem todos os aspectos de segurança e da privacidade. Todos os funcionários devem confirmar suas responsabilidades na proteção dos dados do cliente como condição para trabalhar.
Protocolos seguros de suporte
Nossa equipe de suporte de excelência segue protocolos de phishing e resistência a ameaças projetados por nossa equipe de segurança quando realiza ações sigilosas em contas de clientes.
Escritórios
Os escritórios do Sprout Social são protegidos por acesso com leitura de cartão. Redes de escritório são segmentadas, monitoradas por uma central e protegidas por firewalls e dispositivos de prevenção de intrusões. Nossos produtos não têm repartições em escritórios da nossa empresa ou outras instalações que gerenciamos.
Dispositivos
Todos os dispositivos do Sprout Social fazem parte de um inventário com etiquetas de ativos e são gerenciados por uma solução central de MDM.
Endpoints
As estações de trabalho dos funcionários são protegidas com criptografia de disco rígido, antivírus e detecção de malware avançada com gerenciamento e controle centrais.
Verificação de antecedentes
Todos os novos contratados com acesso aos dados dos clientes passam por uma verificação de histórico e antecedentes criminais antes de serem empregados.
Continuidade de negócios
Como no caso da hospedagem dos nossos produtos, embora o Sprout Social mantenha escritórios físicos em todo o mundo, a continuidade do funcionamento dos nossos negócios não depende deles. Nossos produtos, atendimento ao cliente e operações gerais de negócios têm capacidade de continuar sem interrupções por incidentes físicos ou problemas em nossos escritórios. Durante a pandemia de Covid-19 (coronavírus), o Sprout Social fez a transição de toda a equipe para o trabalho remoto sem atrasos nem interrupções, garantindo a continuidade dos serviços para os clientes. Nossa equipe conta com ferramentas em nuvem, acesso remoto e soluções de colaboração, utilizadas diariamente.
Recursos de segurança de produto
Autenticação multifator (MFA)
Os administradores e proprietários de conta podem exigir que seus usuários acrescentem essa camada de segurança adicional. O Sprout Social suporta aplicativos como Google Authenticator e outros que implementam o algoritmo de senha única baseada no tempo (TOTP) ou o algoritmo de senha única baseada em HMAC (HOTP) para a geração de códigos de acesso.
Armazenamento seguro de credenciais
As funções salt e hash são usadas em senhas de contas usando as abordagens e os algoritmos fortes mais recentes que são rotineiramente auditados. Nenhuma pessoa, mesmo que seja da nossa equipe, pode visualizá-las. Se você perder sua senha, ela não poderá ser recuperada e precisará ser redefinida.
Proteções de força bruta
Além de desafiar a função hash pelo computador, nossos serviços de autenticação implementam proteções limitantes adicionais e ReCAPTCHA.
Fluxos de trabalho de aprovação
Proprietários e administradores de conta podem restringir determinadas atividades por trás de fluxos de trabalho de aprovação. Isso permite que tarefas sejam divididas entre uma equipe, com tranquilidade para que os tomadores de decisão centrais possam rever e controlar ações voltados para o público.
Restrições de IP
O Sprout Social pode ser configurado para restringir a aplicação e o acesso à API de intervalos específicos de IP.
Single sign-on (SSO)
Sprout Social offers SAML 2.0 Single sign-on (SSO) for organizations that leverage this authentication service to give employees one set of login credentials to access multiple applications. Our engineering team works with customers to implement custom SSO integrations across both web and mobile.
Assinatura de e-mail
O Sprout Social implementa Sender Policy Framework (SPF ) e
DomainKeys Identified Mail (DKIM) para assegurar que os e-mails que enviamos sejam autenticados como provenientes do Sprout Social, ajudando a evitar fraudes e garantir a autenticidade.
Permissões de acesso
Os proprietários e os administradores de conta podem restringir o acesso a perfis, recursos, ações (incluindo leitura e gravação) e outros dados aplicando controles granulares para usuários em sua conta.
Pausa geral de publicação
Em tempos de crise, sua equipe tem acesso a um botão que desativa temporariamente o envio pelo Sprout Social de quaisquer mensagens automatizadas agendadas e em fila. Isso é acessível a partir de nossos aplicativos para dispositivos móveis e web.
Proteção do cliente
O Sprout Social quer ajudar você a se proteger contra ameaças de segurança online e criou recursos específicos para isso, incluindo práticas recomendadas de segurança e proteção de informações confidenciais.
Conformidade e certificações
As certificações e conformidade de segurança da Sprout Social podem ser encontradas na nossa Central de Confiança.