Evernoten käyttäjät uskovat miljardit muistiinpanonsa, projektinsa ja ideansa haltuumme. Tämä luottamus perustuu siihen, että pidämme nämä tiedot sekä yksityisinä että turvassa. Tämän sivun tietojen tarkoitus on kertoa selkeästi, miten suojelemme käyttäjien tietoja. Laajennamme ja päivitämme näitä tietoja, kun lisäämme tuotteisiimme uusia tietoturvaominaisuuksia ja -parannuksia.
Evernotella on erillinen tietoturvatiimi. Tietoturvatiimin tarkoitus on suojella palveluumme tallentamiasi tietoja. Vedämme tietoturvaohjelmaa, joka kattaa seuraavat alueet: tuoteturvallisuus, infrastruktuurin hallintakeinot (fyysiset ja loogiset), käytännöt, työntekijöiden tietoisuus, tunkeutumisen havaitseminen ja arviointitoimet.
Tietoturvatiimi suorittaa sisäistä tapauksenkäsittelyohjelmaa ja antaa Evernoten työntekijöille ohjeita siitä, miten epäilyttävät tapahtumat raportoidaan. Tapauksenkäsittelytiimillämme on menettelyt ja työkalut, joilla he voivat reagoida tietoturvaongelmiin. Tiimi arvioi jatkuvasti uusia teknologioita parantaakseen kykyämme havaita infrastruktuuriimme, palveluumme ja työntekijöihimme kohdistuvat hyökkäykset.
Tarkastamme säännöllisesti infrastruktuurimme ja sovelluksemme haavoittuvuuksien varalta ja korjaamme seikat, jotka voisivat vaikuttaa asiakkaiden tietojen turvallisuuteen. Tietoturvatiimimme arvioi jatkuvasti uusia työkaluja parantaakseen näiden tarkastusten katetta ja ulottuvuutta.
Evernote määrittää verkkonsa rajat käyttäen kuormituksen tasaajia, palomuureja ja VPN:iä. Käytämme näitä hallitsemaan, mitä palveluita paljastamme Internetille, ja segmentoimaan tuotantoverkkomme muusta tietokoneinfrastruktuurista. Rajoitamme yritystarpeiden perusteella, kenellä on pääsy tuotantonifrastruktuuriimme, ja todennamme tällaisen käytön tuikasti.
Evernote ei koskaan tallenna salasanojasi tavallisena tekstinä. Kun meidän on tallennettava tilisi salasana turvallisesti voidaksemme todentaa sinut, käytämme PBKDF2 (Password Based Key Derivation Function 2) -ominaisuutta, joka on aina ainutkertainen. Valitsemme hajautusiteraatioiden määrän siten, että se tasapainottaa käyttökokemuksen ja salasanan murtamisen mutkikkuuden.
Vaikka emme vaadi mutkikasta salasanaa, salasanan vahvuusmittari kannustaa valitsemaan vahvan salasanan. Rajoitamme epäonnistuneita kirjautumisyrityksiä sekä tili- että IP-osoiteperustalla hidastaaksemme salasanan arvaushyökkäyksiä.
Evernote käyttää kaikilla tileillä kaksivaiheista todennusta ("2SV"), jota kutsutaan myös kahden tekijän tai usean tekijän todennukseksi. 2SV-mekanismimme perustuu aikapohjaiseen kertasalasana-algoritmiin (TOTP). Kaikki käyttäjät voivat luoda koodeja paikallisesti mobiililaitteensa sovelluksella tai valita saada koodit tekstiviestinä.
Evernote tarjoaa keinon luoda muistiinpanoja tililläsi lähettämällä sähköposteja ainutlaatuiseen Evernote-sähköpostiosoitteeseen. Suojataksemme sinut haitalliselta sisällöltä tarkastamme kaikki saamamme sähköpostit kaupallisella viruksentorjuntaohjelmistolla.
Kun saat sähköpostin Evernotelta, haluamme sinun tietävän, että se todella tuli meiltä. Julkistamme tätä tukevan DMARC-käytännön kasvattaaksemme luottamustasi siihen, että Evernotelta saamasi sähköposti on aito. Kaikki seuraavista verkkotunnuksista lähettämämme sähköpostit allekirjoitetaan kryptografisesti DKIM-menetelmällä, ja ne lähetetään IP-osoitteesta, jonka julkaisemme SPF-tiedoissa.
Evernote:
Internet-pohjaisen verkkopalvelumme suojaaminen on olennaista tietojesi suojelemiselle. Tietoturvatiimimme vetää sovellusten tietoturvaohjelmaa parantaakseen kooditurvallisuushygieniaa ja arvioi säännöllisesti palvelumme yleisten sovellustietoturvaongelmien varalta. Tällaisia ovat mm. CSRF, tunkeutumishyökkäykset (XSS, SQLi), istunnonhallinta, URL-ohjaus ja napsautuskaappaus.
Verkkopalvelumme todentaa kaikki kolmannen osapuolen asiakassovellukset OAuthilla. OAuth tarjoaa saumattoman tavan yhdistää kolmannen osapuolen sovellus tiliisi tarvitsematta antaa sovellukselle kirjautumistietojasi. Kun todennat Evenroteen, palautamme asiakassovellukselle todennustunnuksen todentaaksemme käyttösi siitä hetkestä lähtien. Näin kolmannen osapuolen ei koskaan tarvitse tallentaa käyttäjätunnustasi ja salasanaasi laitteellesi.
Jokainen palvelumme kanssa puhuva asiakassovellus käyttää hyvin määriteltyä thrift APIa kaikissa toiminnoissa. Välittämällä kaiken kommunikaation tämän APIn kautta pystymme käyttämään todennustarkastuksia perustavanlaatuisena rakenteena sovellusarkkitehtuurissa. Palvelu ei käytä objekteja suoraan, ja asiakassovelluksen kaikki todennustunnukset tarkistetaan palvelun jokaisella käyttökerralla, jotta voidaan taata, että asiakassovellus on todennettu ja valtuutettu tiettyä muistiinpanoa tai muistikirjaa. Lisätietoja on osoitteessa dev.evernote.com.
Evernote-palvelussa on lukuisia asiakkaita, eikä se segmentoi tietojasi toisten käyttäjien tiedoista. Tietosi ovat samoilla palvelimilla kuin muiden käyttäjien tiedot. Pidämme tietojasi yksityisinä emmekä anna muiden käyttäjien käyttää niitä, paitsi jos nimenomaisesti jaat ne.
Evernote säilyttää sisältösi, ellet nimenomaisesti poista muistiinpanoja ja/tai muistikirjoja. Lisätietoja muistiinpanojen poistamisesta on tässä ohjekeskuksen artikkelissa. Lisätietoja säilytyskäytännöistämme on tietosuojakäytäntömme osiossa nimeltä Tietojen poistaminen.
Pyyhimme tai tuhoamme turvallisesti kaikki tallennuslaitteet, joita on koskaan käytetty käyttäjätietojen tallennukseen. Noudatamme tällöin NISTin ohjeita erityisjulkaisusta 800-88. Esimerkki rikkoutuneiden kiintolevyjen turvallisesta tuhoamisesta löytyy tästä blogiartikkelista.
Käytämme erilaisia tallennusvaihtoehtoja Googlen pilvialustalla ("GCP"), mukaan lukien paikallisia levyjä, pysyviä levyjä ja Google Cloud Storage -säiliöitä. Hyödynnämme Googlen kryptografista poistoprosessia varmistaaksemme, että tallennustilan uudelleenkäyttö ei johda asiakkaiden yksityistietojenpaljastamiseen.
Evernote-palvelu kirjaa palvelimelle asiakassovellusten toiminnan palveluissamme. Tämä sisältää verkkopalvelimen käytön kirjaamisen sekä APIn kautta suoritettujen toimintojen kirjaamisen. Lisäksi keräämme tapahtumatietoja asiakassovelluksista. Näet äskettäiset käyttöajat ja IP-osoitteet kaikille tiliisi yhdisteytille sovelluksille tiliasetusten Käyttöhistoria-osiossa.
Evernote käyttää alan standardin mukaista salausta suojellakseen tietojasi niitä siirrettäessä. Tätä kutsutaan yleisesti TLS:ksi (Transport Layer Security) tai SSL:ksi (Secure Socket Layer). Lisäksi tuemme HSTS:ää (HTTP Strict Transport Security) Evernote-palvelulle (www.evernote.com). Tuemme erilaisia salausohjelmistoja ja TLS-protokollia tasapainottaaksemme vahvan salauksen selaimille ja niitä tukeville asiakassovelluksille, ja ne ovat taaksepäin yhteensopivia sitä tarvitsevien vanhempien asiakassovellusten kanssa. Aiomme jatkaa siirtosuojauksen parantelua tukeaksemme sitoumustamme suojella tietojasi.
Tuemme STARTTLS:ää sekä saapuville että lähteville sähköposteille. Jos sähköpostipalveluntarjoajasi tukee TLS:ää, sähköpostisi salataan siirron ajaksi sekä Evernote-palveluun että sieltä ulos.
Suojelemme kaikkia asiakastietoja, jotka kulkevat palvelinkeskumselle ja Google Cloud Platform -alustan välillä, käyttäen IPSECiä GCM-AES-128 -salauksella tia TLS:llä.
Aloitimme Evernote-palvelun siirron Google Cloud Platform -alustalle ("GCP") vuonna 2016. GCP:ssä säilyttämämme asiakastiedot suojataan Googlen kiinteillä salaus levossa -ominaisuuksilla. Teknisemmin sanottuna käytämme Googlen palvelinpuolen salasominaisuutta Googlen hallinnoimilla salausavaimilla salataksemme kaikki levossa olevat tiedot AES-256-salauksella läpinäkyvästi ja automaattisesti. Lisätietoja siitä, miten salaus levossa suojelee tietojasi, on täällä.
Käytämme vikasietoista arkkitehtuuria taataksemme, että Evernote on aina valmiina käytettäväksi.
Tämä kattaa niin fyysisissä palvelinkeskuksissamme että pilvi-infrastruktuurissamme seuraavat:
Niin Google kuin samanpaikkaisuuspalvelun tarjoajamme toimittavat vikasietoisia laitospalveluita, kuten sähkö, LVI ja palontorjunta.
Annamme tosiaikaisia ja histroallisia tilapäivityksiä palvelumme käytettävyydestä täällä: https://twitter.com/evernotestatus ja http://status.evernote.com.
Varmuuskopioimme kaikki asiakkaiden sisällöt vähintään kerran päivässä. Emme käytä varmuuskopiointiin kannettavia tai irrotettavia tallennusvälineitä.
Evernote-palvelu perustuu pilvipalvleuiden ja fyysisten palvelinkeskusten yhdistelmään.
Palvelinkeskuksissamme suojelemme infrastruktuuriamme yksityisillä lukituilla häkeillä, joilla on 24x7x365 valvonta. Pääsy näihin palvelinkeskuksiin vaatii vähintään kaksivaiheisen varmennuksen, mutta useimmiten sisältää biometrian kolmantena vaiheena. Kukin palvelukeskuksemme on läpäissyt SOC-1 Type 2 -tarkastuksen, mikä on todiste niiden kyvystä suojata infrastruktuurimme fyysisesti. Vain Evernote, tuotantohenkilöstöllä ja palvelinkeskuksen henkilöstöllä on fyysinen pääsy tähän infrastruktuuriin, ja tuotantotiimimme saa hälytyksen aina, kun joku menee häkkiin. Tämä sisältää videotallenteen tapahtumasta.
Pilvipalveluissa käytämme Google Cloud Platform -alustaa. Google on saanut lukuisia sertifikaatioita, mikä on todiste sen kyvystä turvata Evernoten tiedot fyysisesti. Lisätietoja Google Cloud Platform -alustan turvallisuudesta on täällä.
Kaikkia Evernoten tietoja säilytetään Yhdysvalloissa.
Lisätietoja on tietosuojakeskuksessamme. Emme julkaise SOC-raporttia (Service Organization Control).