Torna al Trust Center​​ 

Hosting e sicurezza​​ 

Sprout Social mira ad aiutare le aziende di ogni dimensione a diventare marketer migliori, creare relazioni più forti con i propri clienti, prendere decisioni più informate e creare i brand più amati al mondo.​​ 

Attiva dal 2010, Sprout Social conta oltre 30.000 clienti paganti che si affidano a noi per gestire milioni di conversazioni ogni giorno. La nostra tecnologia è progettata e gestita pensando ai nostri clienti e al loro pubblico di centinaia di milioni di persone. Lavoriamo quotidianamente per instaurare relazioni durature attraverso una cultura del successo e di assistenza al cliente.​​ 

Affidabilità e disponibilità​​ 

Sprout Social si impegna a ridurre al minimo le interruzioni di servizio e i problemi da esse causati. I nostri sistemi sono progettati per tollerare guasti ed errori, e i nostri team sono in grado di ripristinarli rapidamente in caso di problemi. Evitare ad ogni costo le interruzioni di servizio, sia programmate che impreviste, è parte della nostra filosofia. Non imponiamo mai interruzioni di manutenzione se possiamo evitarlo, e di solito siamo in grado di farlo. Le nostre procedure e i nostri sistemi prevedono elementi a garanzia della continuità operativa e del ripristino in caso di emergenza. Questi aspetti non vengono considerati un fattore secondario, né un compito relegato a un singolo team.​​ 

Un percorso positivo dimostrato​​ 

Mantenere un livello di operatività pari al 99,99% rappresenta un KPI per il nostro gruppo tecnico. Al momento di pubblicazione di questa pagina abbiamo rilevato un'operatività superiore al 99,95% nel corso dei 6 e 12 mesi precedenti.​​ 

Trasparenza verso i clienti​​ 

La fiducia inizia da una comunicazione aperta. Condividiamo pubblicamente e in tempo reale le metriche e lo stato del sistema sui nostri siti web dedicati, https://www.sproutsocialstatus.com per Sprout Social e https://www.sproutadvocacystatus.com per Employee Advocacy. Qui comunichiamo gli incidenti, la manutenzione programmata e il relativo impatto sul cliente, oltre a mostrare le metriche sullo stato di salute del sistema fornite da provider terzi. I clienti possono iscriversi per ricevere notifiche immediate via SMS o e-mail relative a eventuali incidenti futuri.​​ 

Feed dei social media​​ 

Il nostro livello di inserimento dei dati combina molteplici connessioni alle API dei social network. In qualità di partner, vari social network come Facebook, Twitter, Instagram e LinkedIn ci forniscono un livello superiore di ridondanza e accesso ai loro team di assistenza.​​ 

Backup​​ 

I backup vengono eseguiti frequentemente, con sia i dati statici che quelli in transito crittografati e testati regolarmente. I backup sono archiviati "fuori sede" su Amazon S3, che immagazzina i file su molteplici dispositivi fisici localizzati in più strutture, offrendo così una percentuale di durata pari al 99,999999999% e una disponibilità del 99,99%.​​ 

Trasparenza verso i nostri team​​ 

I nostri team si esercitano eseguendo analisi retrospettive degli imprevisti, e consideriamo ogni guasto un'opportunità per sviluppare ulteriormente il nostro personale, le procedure e i sistemi. La paura è nemica del progresso.​​ 

Isolamento​​ 

La nostra piattaforma di backend altamente distribuita utilizza schemi di progettazione isolati per ridurre i rischi di diffusione di incidenti a più componenti. Il guasto di un componente raramente si ripercuote su altri componenti.​​ 

Recovery point objectives (RPO)​​ 

Le strategie di ripristino sono progettate per fornire RPO aggiornati con Recovery Time Objectives (RTO) ridotti, con dati recuperati meno recenti rispetto a RTO più lunghi. Questo è coerente con le aspettative del cliente rispetto ai social media e gli consente di soddisfare le esigenze immediate dei suoi clienti.​​ 

Migliori pratiche DevOps​​ 

Il nostro team di progettazione usa il processo Infrastructure-as-a-code, che garantisce correttezza, coerenza, verificabilità e velocità di ripristino. Ciascun membro del nostro team in servizio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, è autorizzato e in grado di ripristinare sistemi e topologie in maniera ottimale. In caso di perdite di sistema, il nostro team tecnico ricrea rapidamente i sistemi eseguendo il codice dell'infrastruttura.​​ 

Monitoraggio e assistenza reperibile​​ 

Offriamo un monitoraggio globale ininterrotto, controllando, inviando avvisi e creando report in tempo reale su tutti i nostri ambienti tecnici. Forniamo assistenza ai clienti grazie alla collaborazione tra il team di assistenza diretta e il nostro team tecnico. Disponiamo di ingegneri specializzati, in servizio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno.​​ 

Quando si verificano problemi, i nostri team vengono prontamente avvisati, forniti automaticamente del contesto e dotati degli strumenti necessari per collaborare in modo efficiente con i colleghi. Utilizziamo un sistema di cercapersone per garantire che gli avvisi raggiungano i tecnici in modo veloce e affidabile.​​ 

Centri dati​​ 

I prodotti Sprout Social sfruttano il servizio di hosting di Amazon Web Services (AWS). AWS fornisce strutture di hosting di altissimo livello, sicure, sempre disponibili e con server ridondanti, in conformità con i programmi Cloud Security Alliance Star Level 2, ISO 9001, 27001, 27017, 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Per ulteriori informazioni sulle certificazioni e i programmi di conformità AWS, visita il sito https://aws.amazon.com/compliance/programs.​​ 

Sede dei dati​​ 

I dati dei clienti sono conservati negli Stati Uniti, nella regione us-east-1 di AWS.​​ 

Strutture​​ 

I centri dati AWS sono dotati di funzionalità di hosting fisico di altissimo livello. Gli edifici dispongono di un sistema di monitoraggio e gestione della temperatura e dell'umidità, rilevamento e rimozione automatica dell'acqua e rilevamento e soppressione automatica degli incendi. La combinazione di molteplici fonti di alimentazione, sistemi di gruppi di continuità (UPS) e generatori elettrici presenti sul posto fornisce ulteriori livelli di backup dell'alimentazione. Ridondanza dei sistemi di telecomunicazione e delle connessioni internet. Gli uffici aziendali e le altre strutture gestite da Sprout Social non sono dipendenti da singoli prodotti.​​ 

Sicurezza informatica​​ 

Sale e sistemi informatici prevedono ulteriori livelli di sicurezza, tra cui allarmi in caso di apertura forzata delle porte, sistemi di rilevamento di intrusioni elettroniche e nei thread, autenticazione a più fattori e distruzione dei supporti per
NIST 800-88.​​ 

Sicurezza fisica​​ 

Gli edifici che ospitano i centri dati sono sottoposti a rigorosi controlli e verifiche degli accessi fisici. Tutti gli accessi fisici sono monitorati da personale in servizio 24 ore su 24 e 7 giorni su 7. Tutti i visitatori sono sottoposti a un'autenticazione a due fattori. Il monitoraggio costante contro gli accessi non autorizzati avviene attraverso sistemi di videosorveglianza, rilevamento delle intrusioni e monitoraggio dei registri di accesso.​​ 

Sicurezza dell'infrastruttura e del network​​ 

Sprout Social include un team dedicato alla sicurezza. Tutti i sistemi sono monitorati e controllati 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, in caso di problemi operativi o di sicurezza. Tutti i sistemi di produzione implementano sistemi di rilevamento delle intrusioni host-based (IDS).​​ 

Controlli del network​​ 

Il nostro network privato è segmentato in diverse zone di sicurezza, sottoposte a livelli di controllo più stringenti in prossimità dei dati dei clienti.​​ 

Gestione degli incidenti e risposta​​ 

Il piano e le procedure di risposta agli incidenti di Sprout Social si basano sugli standard NIST. Tutti i report degli incidenti vengono prontamente indagati, segnalati e, se necessario, vi viene posto rimedio. Il piano e le procedure di risposta definiscono tutte le fasi necessarie per garantire un processo coerente.​​ 

Scansione​​ 

I sistemi e le applicazioni vengono scansionati regolarmente alla ricerca di vulnerabilità comuni.​​ 

Crittografia dei dati statici e in transito​​ 

Tutte le comunicazioni su reti pubbliche effettuate tramite l'app e l'API di Sprout Social utilizzano il protocollo HTTPS con crittografia TLS 1.2 o superiore. Tutti i dati, inclusi i backup, sono conservati con crittografia dei dati inattivi AES-256 o superiore.​​ 

Amministrazione del sistema​​ 

Vengono utilizzate procedure consigliate, quali privilegio minimo, gestione della configurazione centralizzata e politiche rigorose di firewall per network e host. I server sono collegati automaticamente secondo una pianificazione periodica, con patch ad alta priorità applicate manualmente fuori dal ciclo previsto.​​ 

Gestione del rischio di terze parti​​ 

Sprout Social esamina regolarmente la sicurezza dei nostri principali fornitori di prodotti e servizi di terzi. I subfornitori di Sprout Social sono contrattualmente tenuti ad aderire a una serie consolidata di misure di sicurezza in linea con le prassi consigliate del settore.​​ 

Sicurezza dell'applicazione​​ 

Gli sviluppatori di Sprout Social ricevono una formazione annuale sulla codifica sicura. Tutti i codici dell'applicazione sono creati dai dipendenti di Sprout e ogni modifica è sottoposta a una revisione tra pari. Le vulnerabilità della sicurezza vengono prontamente valutate e corrette.​​ 

Test di penetrazione di terze parti​​ 

Sprout Social appalta a molteplici fornitori di prove di penetrazione informatica la conduzione di vari test annuali. I report sono disponibili su richiesta dei clienti sotto NDA.​​ 

Prevenzione degli attacchi DDoS​​ 

La prevenzione degli attacchi DDoS (Distributed Denial of Service) viene fornita tramite la nostra piattaforma di hosting.​​ 

Politica di divulgazione responsabile​​ 

Gli esperti di sicurezza possono segnalare le vulnerabilità tramite Bug Crowd al link: https://bugcrowd.com/sproutsocial. Per maggiori informazioni sulla nostra politica, visita https://sproutsocial.com/responsible-disclosure-policy.​​ 

Dipendenti e formazione informatica interna​​ 

La sicurezza delle informazioni in Sprout Social è guidata dal Vicepresidente di IT, Sicurezza e Conformità, con la supervisione del Chief Technology Officer (CTO) e del Consiglio di amministrazione di Sprout Social. Oltre agli sviluppatori, che ricevono formazione specifica sul coding sicuro, tutti i dipendenti partecipano a corsi annuali sulla sicurezza generale e sulla privacy dei dati. Eseguiamo periodicamente esercitazioni di phishing e confrontiamo i risultati ai parametri di riferimento del settore.​​ 

Standard e politiche sulla sicurezza dei dati​​ 

Sprout Social ha implementato un solido sistema di gestione della sicurezza delle informazioni attraverso una serie completa di politiche e standard che coprono ogni aspetto della sicurezza e della privacy. Tutti i dipendenti devono assumersi le proprie responsabilità riguardo alla protezione dei dati dei clienti come parte essenziale dei loro doveri lavorativi.​​ 

Protocolli di supporto sicuri​​ 

Quando conduce operazioni a rischio sugli account dei clienti, il nostro team di supporto di livello mondiale applica protocolli anti-phishing e di opposizione alle minacce progettati dal nostro team dedicato alla sicurezza.​​ 

Uffici​​ 

L'accesso agli uffici di Sprout Social è protetto con tessera magnetica. I network degli uffici sono segmentati, monitorati centralmente e protetti da firewall e dispositivi di prevenzione delle intrusioni. I nostri prodotti non dipendono dagli uffici di altre aziende, né da altre strutture di nostra gestione.​​ 

Dispositivi​​ 

Tutti i dispositivi di Sprout Social sono catalogati con codici univoci e gestiti con una soluzione MDM centralizzata.​​ 

Parametri​​ 

Le postazioni di lavoro dei dipendenti sono protette con crittografia del disco rigido, antivirus e rilevamento dei malware avanzato con gestione e controllo centralizzati.​​ 

Controllo dei precedenti​​ 

Tutti i nuovi assunti con accesso ai dati dei clienti vengono sottoposti al controllo della fedina penale e dei precedenti giudiziari.​​ 

Continuità aziendale​​ 

Come per l'hosting dei nostri prodotti, le attività della nostra azienda non dipendono dalle sedi fisiche che Sprout ha in tutto il mondo. I nostri prodotti, il servizio di assistenza ai clienti e le attività aziendali in generale possono proseguire senza interruzione anche in caso di incidenti fisici o problemi presso le nostre sedi. Durante la pandemia COVID-19 (Coronavirus), l'intero team di Sprout Social ha continuato a lavorare da remoto senza ritardi o interruzioni per garantire la continuità dei servizi offerti ai nostri clienti. Il nostro team è dotato di strumenti basati sul cloud, nonché soluzioni di accesso e collaborazione in remoto il cui utilizzo è prassi quotidiana.​​ 

Funzionalità per la sicurezza del prodotto​​ 

Autenticazione a più fattori (MFA)​​ 

I proprietari e gli amministratori degli account possono richiedere che gli utenti utilizzino questo livello di sicurezza aggiuntivo. Sprout Social supporta app quali Google Authenticator e altre che applicano l'algoritmo Time-based One-time Password (TOTP) o quello HMAC-based One-time Password (HOTP) per la generazione di codici di accesso.​​ 

Archiviazione sicura delle credenziali​​ 

Le password degli account vengono crittografate e cifrate utilizzando gli algoritmi e le strategie più aggiornate, sottoposti a controlli periodici. Nessuna persona, incluso il nostro staff, potrà mai visualizzarle. In caso di perdita della password, non sarà possibile recuperarla e dovrà essere reimpostata.​​ 

Protezione contro gli attacchi a forza bruta​​ 

Oltre a un hashing computazionalmente complesso, il nostri servizi di autenticazione implementano ulteriori protezioni con limitazioni della banda e ReCAPTCHA.​​ 

Flussi di approvazione​​ 

I proprietari e gli amministratori degli account possono limitare determinate attività, previa approvazione dei flussi di lavoro. Così facendo, i compiti saranno suddivisi fra i membri del team, con la tranquillità da parte dei responsabili decisionali centrali di poter rivedere e controllare le azioni rivolte al pubblico.​​ 

Restrizioni di IP​​ 

Sprout Social può essere configurato per limitare l'accesso alle applicazioni e alle API da parte di specifici intervalli IP.​​ 

Single sign-on (SSO)​​ 

Sprout Social offre il servizio Single Sign-On (SSO) SAML 2.0 alle organizzazioni che sfruttano questo servizio di autenticazione per fornire ai dipendenti una serie di credenziali di accesso a più applicazioni. Il nostro team di progettazione collabora con i clienti per implementare integrazioni SSO personalizzate sia sul web che sui dispositivi mobili.​​ 

E-mail con firma digitale​​ 

Sprout Social utilizza i metodi di autenticazione Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per garantire che le email che inviamo siano autenticate come provenienti da Sprout Social, contribuendo così ad assicurarne l'autenticità e a prevenire lo spoofing.​​ 

Permessi di accesso​​ 

I proprietari e gli amministratori degli account possono limitare l'accesso a profili, funzionalità, azioni (incluso scrivere e leggere) e ulteriori dati applicando controlli granulari agli utenti del proprio account.​​ 

Sospensione della pubblicazione globale​​ 

In tempi di crisi, il tuo team ha accesso a un pulsante che disabilita temporaneamente l'invio da parte di Sprout Social di messaggi automatizzati, programmati e in coda. Questa funzione è accessibile dalle nostre applicazioni web e per dispositivi mobili.​​ 

Tutela del cliente​​ 

Sprout Social vuole aiutarti a proteggerti dalle minacce alla sicurezza online e ha creato delle risorse apposite, tra cui le Prassi consigliate per la sicurezza e la Protezione dei dati sensibili.​​ 

Conformità e certificazioni​​ 

La conformità e le certificazioni di sicurezza di Sprout Social sono disponibili nel nostro Trust Center.​​