Visão Geral de Segurança

Introdução

Os usuários do Evernote confiam em nós com bilhões de suas notas, projetos e ideias. Essa confiança é baseada em manter esses dados privados e seguros. As informações desta página destinam-se a prover transparência sobre como proteger os dados. Vamos continuar a expandir e a atualizar essas informações com a inclusão de novos recursos de segurança e a fazer melhorias na segurança de nossos produtos.

Programa de Segurança

Segurança é uma equipe dedicada dentro Evernote. Nossa cartilha para a equipe de segurança protege os dados que você armazena em nosso serviço. Nós conduzimos um programa de segurança que inclui as seguintes áreas de atuação: segurança do produto, controle de infraestrutura (física e lógica), políticas de conscientização dos funcionários, detecção de intrusão e atividades de avaliação.

A equipe de segurança executa um programa interno de Resposta à Incidentes ("IR") e fornece orientação aos funcionários da Evernote sobre como denunciar atividades suspeitas. Nossa equipe de IR possui procedimentos e ferramentas implementadas para responder à questões de segurança e continua a avaliar novas tecnologias para melhorar nossa habilidade de detectar ataques contra nossa infraestrutura, serviços e funcionários.

Periodicamente revisamos nossa infraestrutura e aplicações de vulnerabilidades e corrigimos aqueles que poderiam afetar a segurança dos dados dos clientes. Nossa equipe de segurança avalia continuamente novas ferramentas para aumentar a cobertura e profundidade dessas avaliações.

Segurança de rede

O Evernote define seus limites de rede usando uma combinação de balanceadores de carga, firewalls e VPNs. Nós usamos tudo isso para controlar quais serviços que expomos à Internet e ao segmento de nossa rede de produção das demais infraestruturas de nossa computação. Nós limitamos quem tem acesso a nossa infraestrutura de produção com base nas necessidades da empresa e autenticamos rigorosamente o acesso.

Segurança da Conta

O Evernote nunca armazena sua senha com texto simples. Quando precisamos armazenar com segurança a senha da conta para autenticá-lo, usamos a PBKDF2 (Password Based Key Derivation Function 2 ou Função 2 de Derivação de Chave Baseado em Senha) com um salt exclusivo para cada credencial. Nós selecionamos o número de interações hashing de maneira que se estabelece um equilíbrio entre a experiência do usuário e a complexidade de quebra de senha.

Ainda que não haja exigência de nossa parte para que você configure uma senha complexa, o nosso medidor de força da senha vai encorajá-lo a escolher uma senha forte. Nós limitamos as tentativas falhas de login em uma base por conta e por endereço IP para abrandar os ataques de adivinhação de senha.

O Evernote oferece a verificação em duas etapas ("2SV"), também conhecida como dois fatores ou autenticação multifatorial, para todas as contas. Nosso mecanismo 2SV é baseado em um algoritmo de senha única baseado em tempo (TOTP). Todos os usuários podem gerar códigos de maneira lógica usando um aplicativo nos seus dispositivos móveis ou podem optar por receber os códigos através de SMS.

Segurança de e-mail

O Evernote lhe dá uma maneira de criar notas em sua conta ao enviar e-mails para um endereço de e-mail único do Evernote. Para protegê-lo de algum conteúdo malicioso, digitalizamos todos os e-mails que recebemos através de um mecanismo de varredura antivírus comercial.

Quando você recebe um e-mail da Evernote, queremos que você confie que ele realmente veio de nós. Publicamos uma política de DMARC de cumprimento para melhorar sua confiança que o e-mail que você recebe da Evernote é legítimo. Cada e-mail que mandamos dos seguintes domínios será criptograficamente assinado usando DKIM e terá origem de um endereço de IP que publicamos em nosso registro SPF.

Evernote:

  • @evernote.com
  • @emails.evernote.com
  • @comms.evernote.com
  • @discussion-notification.evernote.com
  • @mail-svc.evernote.com
  • @account.evernote.com
  • @notifications.evernote.com
  • @messages.evernote.com

Segurança de Produto

Proteger nosso serviço web voltado para a Internet é muito importante para proteger seus dados. Nossa equipe de segurança conduz um programa de segurança de aplicativos para melhorar a limpeza do código de segurança e, periodicamente, avaliar o nosso serviço para as questões comuns de segurança do aplicativo, incluindo: CSRF, ataques de injeção (XSS, SQLi), problemas de gerenciamento de sessão, redirecionamento de URL, e clickjacking.

Nosso serviço web autentica todos os aplicativos cliente de terceiros usando o OAuth. O OAuth fornece uma maneira perfeita para que você possa conectar um aplicativo de terceiros à sua conta sem a necessidade de dar ao aplicativo suas credenciais de login. Uma vez que você se autentica no Evernote com sucesso, voltamos um token de autenticação para o cliente autenticar o acesso a partir desse ponto em diante. Isso elimina a necessidade de um aplicativo terceirizado de armazenar para sempre o seu nome de usuário e senha, no seu aparelho.

Cada aplicativo cliente que se comunica com o nosso serviço utiliza um bem definido API parcimônia para todas as ações. Por intermediar todas as comunicações através desta API, nós somos capazes de estabelecer verificações de autorização como uma construção fundamental na arquitetura do aplicativo. Não há acesso direto ao objeto dentro do serviço e o token de autenticação de cada cliente é verificado a cada acesso ao serviço para garantir que o cliente seja autenticado e autorizado a acessar uma nota ou caderno privado. Por favor, veja dev.evernote.com para obter mais informações.

Segregação de Cliente

O serviço Evernote é multi-tenant e não segmenta seus dados dos dados de outros usuários. Seus dados podem morar nos mesmos servidores que os dados de outro usuário. Consideramos seus dados privados e não permitimos que outro usuário o acesse a não ser que você compartilhe explicitamente.

Retenção e Exclusão de Dados

A Evernote retém seu conteúdo a não ser que você dê passos explícitos para excluir notas e/ou cadernos. Para informações sobre como excluir notas, por favor veja este artigo do centro de ajuda. Para informações sobre nossas políticas de retenção, por favor consulte a seção de nossa política de privacidade, intitulada "Exclusão de Informações". 

Eliminação e destruição de mídia

Apagamos ou destruímos de maneira segura, todas as mídias de armazenamento se elas já foram usadas para armazenar dados de usuários. Seguimos a orientação do NIST feita na publicação especial 800-88 para realizar isso. Para exemplificar como destruímos discos rígidos quebrados, por favor verifique este artigo do blog.

Utilizamos uma variedade de opções de armazenamento na Google Cloud Platform ("GCP"), incluindo discos locais, discos persistentes e lotes da Google Cloud Storage. Aproveitamos os processos de exclusão criptográfica da Google para garantir que reutilizar o armazenamento não resulta em expor dados privados de clientes.

Registro de atividades

O serviço Evernote executa registros no servidor de interações de clientes com nossos serviços. Isso inclui registros de acesso ao servidor web, bem como qualquer registro de atividades para ações executadas através de nosso API. Também coletamos dados de eventos de nossos aplicativos clientes. Você pode visualizar os momentos de acesso recentes e endereços IP para cada aplicativo conectado à sua conta na seção Histórico de Acesso nas suas Configurações de Conta.

Criptografia de Transporte

A Evernote usa criptografia padrão da indústria para proteger seus dados em trânsito. Isso é normalmente referido como tecnologia transport layer security ("TLS") ou secure socket layer ("SSL"). Além disso, suportamos o HTTP Strict Transport Security ("HSTS") para o serviço Evernote (www.evernote.com). Suportamos uma mistura de conjuntos de criptografia e protocolos TLS para fornecer um equilíbrio de criptografia forte para navegadores e clientes que o suportam, e compatibilidade retroativa para clientes legado que precisam disso. Planejamos continuar a melhorar nossa postura de segurança de transporte para suportar nosso compromisso com a proteção dos seus dados.

Suportamos o STARTTLS tanto para e-mail de entrada quanto de saída. Se o seu provedor de serviços de e-mail suporta o TLS, seu e-mail será criptografado em trânsito, de e para o serviço Evernote.

Protegemos todos os dados de nossos clientes que estão fluindo entre nosso centro de dados e a Google Cloud Platform usando o IPSEC com a criptografia GCM-AES-128 ou TLS.

Criptografia em Descanso

No final de 2016, começamos a migrar o serviço Evernote para a Google Cloud Platform ("GCP"). Dados de clientes que armazenamos na GCP serão protegidos usando os recursos embutidos de criptografia em descanso da Google. Mais tecnicamente, usamos o recurso de criptografia do servidor da Google com chaves de criptografia gerenciadas pela Google para criptografar todos os dados em descanso usando AES-256, de maneira transparente e automática. Você pode encontrar informações adicionais sobre como a criptografia em descanso protege seus dados aqui.

Resiliência / Disponibilidade

Operamos uma arquitetura tolerante a falhas para garantir que o Evernote está lá quando você precisar dele.

Tanto nos nossos data centers físicos como na nossa infraestrutura na nuvem, isso inclui:

  • Conexões diversas e redundantes com a Internet
  • Infraestrutura de rede redundante que inclui switches, roteadores e firewalls
  • Balanceadores de carga de aplicativos redundantes
  • Servidores e instâncias virtuais redundantes
  • Armazenamento subjacente redundante

Tanto a Google quando o nosso fornecedor de colocation fornecem serviços de tolerância de falha nas instalações, incluindo: energia, climatização e supressão de incêndio.

Fornecemos atualizações de status sobre nossa disponibilidade de serviço ao vivo e históricas em: https://twitter.com/evernotestatus e http://status.evernote.com.

Fazemos back up de todos os conteúdos de clientes pelo menos uma vez por dia. Não utilizamos mídias portáteis ou removíveis para backups.

Segurança Física

Operamos o serviço Evernote usando uma combinação de serviços na nuvem e data centers físicos. 

Para nossos data centers, protegemos nossa infraestrutura em uma gaiola privada e trancada que inclui monitoramento 24 horas por dia, 7 dias por semana, 365 dias ao ano. O acesso a estes data centers requer pelo menos, dois fatores de autenticação, mas também pode incluir biometria como um terceiro fator. Cada um de nossos data centers passou por uma auditoria SOC-1 Tipo 2, garantindo sua capacidade de proteger fisicamente nossa infraestrutura. Somente o pessoal de operações do Evernote e a equipe do data center possui acesso físico a esta infraestrutura e nossa equipe de operações é alertada todas as vezes que alguém acessa nossa gaiola, incluindo uma gravação em vídeo do evento.

Para nossos serviços na nuvem, usamos a Google Cloud Platform. A Google passou por diversas certificações para garantir sua capacidade de proteger fisicamente os dados do Evernote. Você pode ler mais sobre a segurança da Google Cloud Platform aqui.

Todos os dados do Evernote residem dentro dos Estados Unidos.

Privacidade e Conformidade

Por favor, veja nossa política de privacidade para informações. Não publicamos um relatório de Controle de Serviço Organizacional ("SOC").