Ikhtisar Keamanan

Perkenalan

Pengguna Evernote mempercayai kami dengan miliaran catatan, proyek, dan ide mereka. Kepercayaan itu didasarkan pada kami menjaga data itu tetap pribadi dan aman. Informasi pada halaman ini dimaksudkan untuk memberikan transparansi tentang bagaimana kami melindungi data tersebut. Kami akan terus memperluas dan memperbarui informasi ini saat kami menambahkan kemampuan keamanan baru dan melakukan peningkatan keamanan pada produk kami.

Program Keamanan

Keamanan adalah tim khusus dalam Evernote. Piagam tim keamanan kami melindungi data yang Anda simpan di layanan kami. Kami menjalankan program keamanan yang mencakup area fokus berikut: keamanan produk, kontrol infrastruktur (fisik dan logis), kebijakan, kesadaran karyawan, deteksi intrusi, dan aktivitas penilaian.

Tim keamanan menjalankan program Incident Response (“IR”) internal dan memberikan panduan kepada karyawan Evernote tentang cara melaporkan aktivitas yang mencurigakan. Tim IR kami memiliki prosedur dan alat untuk menanggapi masalah keamanan dan terus mengevaluasi teknologi baru untuk meningkatkan kemampuan kami dalam mendeteksi serangan terhadap infrastruktur, layanan, dan karyawan kami.

Kami secara berkala menilai kerentanan infrastruktur dan aplikasi kami dan memperbaikinya yang dapat memengaruhi keamanan data pelanggan. Tim keamanan kami terus mengevaluasi alat baru untuk meningkatkan cakupan dan kedalaman penilaian ini.

Keamanan jaringan

Evernote mendefinisikan batas jaringannya menggunakan kombinasi penyeimbang beban, firewall, dan VPN. Kami menggunakan ini untuk mengontrol layanan mana yang kami ekspos ke Internet dan untuk mengelompokkan jaringan produksi kami dari infrastruktur komputasi kami yang lain. Kami membatasi siapa yang memiliki akses ke infrastruktur produksi kami berdasarkan kebutuhan bisnis dan sangat mengautentikasi akses tersebut.

Keamanan Akun

Evernote tidak pernah menyimpan kata sandi Anda dalam plaintext. Ketika kami perlu menyimpan kata sandi akun Anda dengan aman untuk mengautentikasi Anda, kami menggunakan PBKDF2 (Fungsi Turunan Kunci Berbasis Kata Sandi 2) dengan garam unik untuk setiap kredensial. Kami memilih jumlah iterasi hashing dengan cara yang menyeimbangkan antara pengalaman pengguna dan kompleksitas peretasan kata sandi.

Meskipun kami tidak mengharuskan Anda untuk menyetel kata sandi yang rumit, pengukur kekuatan kata sandi kami akan mendorong Anda untuk memilih kata sandi yang kuat. Kami membatasi upaya login yang gagal pada basis per akun dan per alamat IP untuk memperlambat serangan tebak kata sandi.

Evernote menawarkan verifikasi dua langkah (“2SV”), juga dikenal sebagai otentikasi dua faktor atau multifaktor, untuk semua akun. Mekanisme 2SV kami didasarkan pada algoritma kata sandi satu kali (TOTP) berbasis waktu. Semua pengguna dapat membuat kode secara lokal menggunakan aplikasi di perangkat seluler mereka atau dapat memilih agar kode dikirimkan sebagai pesan teks.

Keamanan Email

Evernote memberi Anda cara untuk membuat catatan di akun Anda dengan mengirim email ke alamat email unik Evernote. Untuk melindungi Anda dari konten berbahaya, kami memindai semua email yang kami terima menggunakan mesin pemindai anti-virus komersial.

Saat Anda menerima email dari Evernote, kami ingin Anda yakin bahwa itu benar-benar berasal dari kami. Kami menerbitkan kebijakan DMARC yang berlaku untuk meningkatkan kepercayaan diri Anda bahwa email yang Anda terima dari Evernote adalah sah. Setiap email yang kami kirim dari domain berikut akan ditandatangani secara kriptografis menggunakan DKIM dan berasal dari alamat IP yang kami publikasikan di data SPF kami.

Evernote:

  • @evernote.com
  • @emails.evernote.com
  • @comms.evernote.com
  • @discussion-notification.evernote.com
  • @mail-svc.evernote.com
  • @account.evernote.com
  • @notifications.evernote.com
  • @messages.evernote.com

Keamanan Produk

Mengamankan layanan web kami yang terhubung ke Internet sangat penting untuk melindungi data Anda. Tim keamanan kami menjalankan program keamanan aplikasi untuk meningkatkan kebersihan keamanan kode dan secara berkala menilai layanan kami untuk masalah keamanan aplikasi umum termasuk: CSRF, serangan injeksi (XSS, SQLi), manajemen sesi, pengalihan URL, dan clickjacking.

Layanan web kami mengotentikasi semua aplikasi klien pihak ketiga menggunakan OAuth. OAuth menyediakan cara yang mulus bagi Anda untuk menghubungkan aplikasi pihak ketiga ke akun Anda tanpa perlu memberikan kredensial login Anda kepada aplikasi tersebut. Setelah Anda berhasil mengautentikasi ke Evernote, kami mengembalikan token autentikasi ke klien untuk mengautentikasi akses Anda sejak saat itu. Ini menghilangkan kebutuhan aplikasi pihak ketiga untuk menyimpan nama pengguna dan kata sandi Anda di perangkat Anda.

Setiap aplikasi klien yang berbicara dengan layanan kami menggunakan thrift API yang terdefinisi dengan baik untuk semua tindakan. Dengan menengahi semua komunikasi melalui API ini, kami dapat menetapkan pemeriksaan otorisasi sebagai konstruksi dasar dalam arsitektur aplikasi. Tidak ada akses objek langsung dalam layanan dan setiap token otentikasi klien diperiksa pada setiap akses ke layanan untuk memastikan klien diautentikasi dan diberi wewenang untuk mengakses catatan atau buku catatan tertentu. Silakan lihat dev.evernote.com untuk informasi lebih lanjut.

Segregasi Pelanggan

Layanan Evernote adalah multi-penyewa dan tidak menyegmentasikan data Anda dari data pengguna lain. Data Anda mungkin berada di server yang sama dengan data pengguna lain. Kami menganggap data Anda pribadi dan tidak mengizinkan pengguna lain untuk mengaksesnya kecuali Anda membagikannya secara eksplisit.

Retensi dan Penghapusan Data

Evernote menyimpan konten Anda kecuali Anda mengambil langkah eksplisit untuk menghapus catatan dan/atau buku catatan. Untuk informasi tentang cara menghapus catatan, lihat artikel pusat bantuan ini. Untuk informasi tentang kebijakan penyimpanan kami, silakan merujuk ke bagiankebijakan privasikami, berjudul “Penghapusan Informasi”.

Pembuangan dan Penghancuran Media

Kami menghapus atau menghancurkan semua media penyimpanan dengan aman jika pernah digunakan untuk menyimpan data pengguna. Kami mengikuti panduan NIST dalam publikasi khusus 800-88 untuk mencapai ini. Untuk contoh bagaimana kami menghancurkan hard drive yang rusak dengan aman, silakan lihat artikel blog ini.

Kami menggunakan berbagai opsi penyimpanan di Google Cloud Platform (“GCP”), termasuk disk lokal, persistent disk, dan bucket Google Cloud Storage. Kami memanfaatkan proses penghapusan kriptografis Google untuk memastikan bahwa penggunaan ulang penyimpanan tidak mengakibatkan terbukanya data pribadi pelanggan.

Pencatatan Aktivitas

Layanan Evernote melakukan pencatatan sisi server dari interaksi klien dengan layanan kami. Ini termasuk pencatatan akses server web, serta pencatatan aktivitas untuk tindakan yang diambil melalui API kami. Kami juga mengumpulkan data acara dari aplikasi klien kami. Anda dapat melihat waktu akses dan alamat IP terkini untuk setiap aplikasi yang terhubung ke akun Anda di bagian Riwayat Akses di Pengaturan Akun Anda.

Enkripsi Transportasi

Evernote menggunakan enkripsi standar industri untuk melindungi data Anda saat transit. Ini biasanya disebut sebagai teknologi transport layer security (“TLS”) atau secure socket layer (“SSL”). Selain itu, kami mendukung HTTP Strict Transport Security (“HSTS”) untuk layanan Evernote (www.evernote.com). Kami mendukung campuran cipher suite dan protokol TLS untuk memberikan keseimbangan enkripsi yang kuat untuk browser dan klien yang mendukungnya dan kompatibilitas mundur untuk klien lama yang membutuhkannya. Kami berencana untuk terus meningkatkan postur keamanan transportasi kami untuk mendukung komitmen kami dalam melindungi data Anda.

Kami mendukung STARTTLS untuk email masuk dan keluar. Jika penyedia layanan email Anda mendukung TLS, email Anda akan dienkripsi saat transit, baik ke maupun dari layanan Evernote.

Kami melindungi semua data pelanggan yang mengalir antara pusat data kami dan Google Cloud Platform menggunakan IPSEC dengan enkripsi atau TLS GCM-AES-128.

Enkripsi saat Istirahat

Pada akhir 2016, kami mulai memigrasikan layanan Evernote ke Google Cloud Platform (“GCP”). Data pelanggan yang kami simpan di GCP akan dilindungi menggunakan fitur enkripsi diam bawaan Google. Secara lebih teknis, kami menggunakan fitur enkripsi sisi server Google dengan kunci enkripsi yang dikelola Google untuk mengenkripsi semua data saat istirahat menggunakan AES-256, secara transparan dan otomatis. Anda dapat menemukan informasi tambahan tentang bagaimana enkripsi saat istirahat melindungi data Anda di sini.

Ketahanan / Ketersediaan

Kami mengoperasikan arsitektur yang toleran terhadap kesalahan untuk memastikan bahwa Evernote ada saat Anda membutuhkannya.

Di pusat data fisik dan infrastruktur cloud kami, ini termasuk:

  • Koneksi Internet yang beragam dan redundan
  • Infrastruktur jaringan redundan termasuk sakelar, router, dan firewall
  • Penyeimbang beban aplikasi yang berlebihan
  • Server redundan dan instans virtual
  • Penyimpanan dasar yang berlebihan

Baik Google dan vendor colocation kami menyediakan layanan fasilitas toleransi kesalahan termasuk: daya, HVAC, dan pemadaman kebakaran.

Kami menyediakan pembaruan status langsung dan historis tentang ketersediaan layanan kami di sini: https://twitter.com/evernotestatus dan http://status.evernote.com.

Kami mencadangkan semua konten pelanggan setidaknya sekali sehari. Kami tidak menggunakan media portabel atau yang dapat dipindahkan untuk pencadangan.

Keamanan fisik

Kami mengoperasikan layanan Evernote menggunakan kombinasi layanan cloud dan pusat data fisik.

Untuk pusat data kami, kami mengamankan infrastruktur kami di kandang pribadi yang terkunci yang mencakup pemantauan 24x7x365. Akses ke pusat data ini membutuhkan setidaknya dua faktor otentikasi, tetapi mungkin termasuk biometrik sebagai faktor ketiga. Setiap pusat data kami telah menjalani audit SOC-1 Tipe 2, yang membuktikan kemampuannya untuk mengamankan infrastruktur kami secara fisik. Hanya personel operasi Evernote dan staf pusat data yang memiliki akses fisik ke infrastruktur ini dan tim operasi kami diperingatkan setiap kali seseorang mengakses kandang kami, termasuk rekaman video acara tersebut.

Untuk layanan cloud kami, kami menggunakan Google Cloud Platform. Google telah menjalani beberapa sertifikasi yang membuktikan kemampuannya untuk mengamankan data Evernote secara fisik. Anda dapat membaca lebih lanjut tentang keamanan Google Cloud Platform di sini.

Semua data Evernote berada di dalam Amerika Serikat.

Privasi dan Kepatuhan

Silakan lihat pusat privasi kami untuk informasi lebih lanjut. Kami tidak menerbitkan laporan Kontrol Organisasi Layanan (“SOC”).