Sikkerhedsoversigt

Introduktion

Evernote-brugere stoler på at vi beskytter deres milliarder af noter, projekter og idéer. Den tillid er baseret på, at vi holder disse data både private og sikre. Oplysningerne på denne side er beregnet til at give gennemsigtighed om hvordan vi beskytter disse data. Vi vil fortsætte med at udvide og opdatere disse oplysninger i takt med at vi tilføjer nye sikkerhedsfunktioner og foretager sikkerhedsforbedringer af vores produkter.

Sikkerhedsprogram

Hos Evernote har vi et dedikeret sikkerhedsteam. Missionen for vores sikkerhedsteam er at beskytte de data, du gemmer hos os. Vores sikkerhedsprogram fokuserer på følgende områder: produktsikkerhed, kontrol af infrastruktur (fysisk og logisk), politikker, medarbejderbevidsthed, detektion af indtrængen og vurderingsaktiviteter.

Sikkerhedsteamet kører et internt Incident Response (“IR”)-program og vejleder Evernote-medarbejdere om hvordan man rapporterer mistænkelig aktivitet. Vores IR-team har etableret procedurer og værktøjer for at kunne reagere på sikkerhedsproblemer, og teamet evaluerer løbende nye teknologier for at forbedre vores evne til at opdage angreb mod vores infrastruktur, tjeneste og medarbejdere.

Vi gennemgår med jævne mellemrum vores infrastruktur og applikationer for sårbarheder og afhjælper dem, der kan påvirke sikkerheden for kundedata. Vores sikkerhedsteam evaluerer løbende nye værktøjer for at øge dækningen og dybden af disse vurderinger.

Netværkssikkerhed

Evernote definerer sine netværksgrænser ved hjælp af en kombination af belastningsbalancer, firewalls og VPN. Vi bruger disse til at kontrollere hvilke tjenester vi gør tilgængelige for internettet og til at segmentere vores produktionsnetværk fra resten af vores computerinfrastruktur. Vi begrænser hvem der har adgang til vores produktionsinfrastruktur baseret på virksomhedsbehov, og denne adgang autentificeres på det kraftigste.

Kontosikkerhed

Evernote gemmer aldrig din adgangskode som ej formateret tekst. Når vi skal opbevare din kontoadgangskode på en sikker måde for at autentificere dig bruger vi PBKDF2 (Password Based Key Derivation Function 2) med en unik faktor for alle oplysninger. Vi udvælger antallet af hashing-iterationer på en måde, der skaber balance mellem brugeroplevelsen og adgangskodens kompleksitet.

Selvom vi ikke kræver, at du angiver en kompleks adgangskode, så vil vores adgangskodemåler opfordre dig til at vælge en stærk kode. Vi begrænser både mislykkede loginforsøg pr. konto og pr. IP-adresse for at bremse angreb med gæt af adgangskode.

Evernote tilbyder totrinsbekræftelse (“2SV”), også kendt som to-faktor- eller multi-faktor-godkendelse, for alle konti. Vores 2SV-mekanisme er baseret på en tidsbaseret engangskodeordsalgoritme (TOTP). Alle brugere kan generere koder lokalt ved hjælp af en app på deres mobilenhed eller vælge at få koderne leveret som sms.

E-mailsikkerhed

Evernote giver dig en metode til at oprette noter på din konto ved at sende e-mails til en unik Evernote-mailadresse. For at beskytte dig mod ondsindet indhold scanner vi alle de e-mails vi modtager ved hjælp af en kommerciel anti-virusscanningsmaskine.

Når du modtager en e-mail fra Evernote vil vi gerne have, at du altid kan være sikker på at den virkelig kommer fra os. Vi udgiver derfor en håndhævende DMARC-politik for at forbedre din tillid til, at de e-mails, du modtager fra Evernote, er reelle. Hver e-mail vi sender fra følgende domæner bliver kryptografisk signeret ved hjælp af DKIM og stammer fra en IP-adresse vi offentliggør i vores SPF-record.

Evernote:

  • @evernote.com
  • @emails.evernote.com
  • @comms.evernote.com
  • @discussion-notification.evernote.com
  • @mail-svc.evernote.com
  • @account.evernote.com
  • @notifications.evernote.com
  • @messages.evernote.com

Produktsikkerhed

At sikre vores webtjeneste på internettet er ekstremt vigtigt for at beskytte dine data. Vores sikkerhedsteam kører et sikkerhedsprogram for at forbedre kodesikkerheden og evaluerer regelmæssigt vores tjeneste jf. almindelige sikkerhedsproblemer såsom: CSRF, injektionsangreb (XSS, SQLi), sessionsstyring, URL-omdirigering og clickjacking.

Vores webtjeneste autentificerer alle klient-apps fra tredjeparter ved hjælp af OAuth. OAuth gør at du problemfrit kan knytte en tredjepartsapplikation til din konto uden at skulle videregive dine loginoplysninger til den pågældende app. Når du er blevet godkendt hos Evernote returnerer vi et autentificeringstoken til klienten for at godkende din adgang fra det gældende tidspunkt og fremefter. Dette eliminerer behovet for at en tredjepartsapplikation nogensinde gemmer dit brugernavn og din adgangskode på din enhed.

Hver klientapplikation der kommunikerer med vores tjeneste bruger en veldefineret thrift API til alle handlinger. Ved at formidle al kommunikation gennem denne API er vi i stand til at etablere autorisationskontrol som en grundlæggende konstruktion i app-arkitekturen. Der er ingen direkte objektadgang i tjenesten, og hver klients godkendelsestoken kontrolleres ved hver adgang til tjenesten for at sikre, at klienten er autentificeret og autoriseret til at få adgang til en bestemt note eller notesbog. Se venligst dev.evernote.com for at få mere information.

Kundeadskillelse

Evernote-tjenesten er multi-tenant og segmenterer ikke dine data fra andre brugeres data. Dine data findes på samme servere som andre brugeres data. Vi betragter dine data som værende private og tillader ikke en anden bruger at få adgang til dem, medmindre du udtrykkeligt deler dem.

Opbevaring og sletning af data

Evernote lagrer dit indhold medmindre du udtrykkeligt sletter noter og/eller notesbøger. Se venligst denne hjælpecenterartikelfor at få information om hvordan du sletter noter. For information om vores politik vedr. opbevaring af data henvises til afsnittet i voresPolitik om beskyttelse af personlige oplysninger med titlen “Sletning af information”. 

Mediebortskaffelse og destruktion

Vi sørger på en sikker måde for at slette eller ødelægge alle lagringsmedier, der nogensinde er blevet brugt til at gemme brugerdata. Vi følger NISTs vejledning i specialpublikation 800-88 for at gennemføre denne handling. Et eksempel på hvordan vi på en sikker måde kan ødelægge ødelagte harddiske kan findes i denne blogartikel.

Vi anvender en række forskellige lagringsmuligheder i Googles Cloud Platform ("GCP"), herunder lokale diske, bestandige diske og Google Cloud Storage buckets. Vi drager fordel af Googles kryptografiske sletningsprocesser for at sikre, at genanvendelse af lagerplads ikke medfører videregivelse af private kundedata.

Aktivitetslogning

Evernote-tjenesten logger klientinteraktioner med vores tjenester på serversiden. Det inkluderer logning af webserveradgang og aktivitetslogning af handlinger, der udføres via vores API. Vi indsamler ligeledes hændelsesdata fra vores klientapps. Du kan se de seneste adgangstider og IP-adresser for hver app, der er knyttet til din konto, i afsnittet Adgangshistorik under dine kontoindstillinger.

Transportkryptering

Evernote bruger standard industrikryptering til at beskytte dine data under transit. Dette omtales almindeligvis som Transport Layer Security (“TLS”) eller Secure Sockets Layer (“SSL”) teknologi. Derudover understøtter vi HTTP Strict Transport Security (“HSTS”) til Evernote-tjenesten (www.evernote.com). Vi understøtter en blanding af krypteringspakker og TLS-protokoller for at skabe balance mellem stærk kryptering til browsere og klienter, der understøtter dette, og bagudkompatibilitet for ældre klienter der behøver det. Vi har planer om at fortsætte med at forbedre vores transportsikkerhed for at understøtte vores forpligtelse til at beskytte dine data.

Vi understøtter STARTTLS for både indgående og udgående e-mail. Hvis din e-mailudbyder understøtter TLS bliver din e-mail krypteret under overførsel, både til og fra Evernote-tjenesten.

Vi beskytter alle kundedata der overføres mellem vores datacenter og Google Cloud Platform ved hjælp af IPSEC med GCM-AES-128-kryptering eller TLS.

Kryptering i dvale

I slutningen af 2016 begyndte vi at migrere Evernote-tjenesten til Google Cloud Platform (“GCP”). Kundedata som vi gemmer i GCP vil blive beskyttet ved hjælp af Googles indbyggede funktioner for kryptering i dvale. Rent teknisk bruger vi Googles krypteringsfunktion på serversiden med Google-administrerede krypteringsnøgler til at kryptere alle data i dvale ved hjælp af AES-256, der sker gennemsigtigt og automatisk. Du kan finde mere information om hvordan kryptering i dvale beskytter dine data lige her.

Resiliens/tilgængelighed

Vi har en fejltolerant arkitektur for at sikre, at Evernote er der når du har brug for det.

I vores både vores fysiske datacentre og vores cloud-infrastruktur omfatter dette:

  • Forskellige og overskydende internetforbindelser
  • Overskydende netværksinfrastruktur inklusive switches, routere og firewalls
  • Overskydende app-belastningsbalancer
  • Overskydende servere og virtuelle instanser
  • Overskydende underliggende lagring

Både Google og vores colocation vendor leverer fejltolerante tjenester, herunder: strøm, HVAC og brandslukning.

Vi leverer aktuelle og historiske statusopdateringer om tjenestens tilgængelighed her: https://twitter.com/evernotestatus og http://status.evernote.com.

Vi sikkerhedskopierer alt kundeindhold mindst én gang dagligt. Vi anvender ikke bærbare eller flytbare medier til sikkerhedskopiering.

Fysisk sikkerhed

Vi driver Evernote-tjenesten med en kombination af cloud-tjenester og fysiske datacentre. 

I vores datacentre sikrer vi vores infrastruktur i et privat og aflåst bur, der inkluderer overvågning 24x7x365. Adgang til disse datacentre kræver som minimum godkendelse i to faktorer men kan ligeledes inkludere biometri som en tredje faktor. Hvert af vores datacentre har gennemgået en SOC-1 Type 2-audit, der attesterer evnen til fysisk at sikre vores infrastruktur. Kun Evernote driftspersonale og datacenterpersonale har fysisk adgang til denne infrastruktur, og vores driftsteam bliver advaret hver gang en person får adgang til vores bur (inklusive en videooptagelse af begivenheden).

Til vores skytjenester bruger vi Google Cloud Platform. Google har gennemgået flere certificeringer, der attesterer evnen til fysisk at sikre Evernotes data. Du kan læse mere om sikkerheden på Google Cloud Platform her.

Alle Evernote-data findes i USA.

Personlige oplysninger og Compliance

Se venligst vores center for personlige oplysninger for at få mere information. Vi udgiver ikke en Service Organization Control (“SOC”)-rapport.