Centro sicurezza
Attiva dal 2010, Sprout Social conta oltre 30.000 clienti paganti che si affidano a noi per gestire milioni di conversazioni ogni giorno. La nostra tecnologia è progettata e gestita pensando ai nostri clienti e al loro pubblico di centinaia di milioni di persone. Lavoriamo quotidianamente per instaurare relazioni durature attraverso una cultura del successo e di assistenza al cliente.
Misure di sicurezza del prodotto
Sebbene le misure di sicurezza globali documentate in questa pagina si applichino all'intera organizzazione Sprout Social, ciascuna delle nostre applicazioni include funzionalità di sicurezza specifiche per il prodotto. Le informazioni relative al controllo degli accessi, alla sicurezza delle applicazioni, all'hosting cloud e alla sicurezza dell'infrastruttura nei nostri prodotti si trovano nelle rispettive sezioni sottostanti.
Misure di sicurezza globali
Resilienza operativa
Affidabilità e disponibilità
Sprout Social si impegna a ridurre al minimo le interruzioni di servizio e i problemi da esse causati. I nostri sistemi sono progettati per tollerare guasti ed errori, e i nostri team sono in grado di ripristinarli rapidamente in caso di problemi. Evitare ad ogni costo le interruzioni di servizio, sia programmate che impreviste, è parte della nostra filosofia. Non imponiamo mai interruzioni di manutenzione se possiamo evitarlo, e di solito siamo in grado di farlo. Le nostre procedure e i nostri sistemi prevedono elementi a garanzia della continuità operativa e del ripristino in caso di emergenza. Questi aspetti non vengono considerati un fattore secondario, né un compito relegato a un singolo team.
Il nostro team tecnico si impegna a mantenere un'operatività del 99,9% per ciascuno dei nostri prodotti come indicatore chiave di prestazione (KPI). Condividiamo pubblicamente lo stato del sistema e le metriche in tempo reale sui nostri siti web di stato, dove i clienti possono iscriversi per ricevere notifiche di futuri incidenti:
Integrazioni social
Il nostro livello di inserimento dei dati combina molteplici connessioni alle API dei social network. Grazie ai nostri accordi di partnership formali, i social network come Facebook, Instagram, LinkedIn, Pinterest, Threads, TikTok, X e YouTube forniscono livelli più elevati di ridondanza e accesso diretto ai loro team di supporto.
Tutte le connessioni tra i prodotti Sprout Social e i social network avvengono su reti sicure. Quando i clienti collegano i loro profili social a Sprout Social, inseriscono le credenziali direttamente sul social network; Sprout Social non visualizza, elabora o memorizza mai le credenziali degli account di social network dei clienti.
Backup
I backup vengono eseguiti frequentemente, con sia i dati statici che quelli in transito crittografati e testati regolarmente. Sono archiviati intenzionalmente "off-site," geograficamente separati dalla posizione di hosting principale di ciascuna applicazione, per garantire elevati livelli di durabilità e disponibilità.
Ulteriori informazioni sui data center e sulle posizioni di hosting si possono trovare nelle pagine di sicurezza specifiche del prodotto sopra.
DevOps e monitoraggio
Il nostro team tecnico usa il processo Infrastructure-as-a-code, che garantisce correttezza, coerenza, verificabilità e velocità di ripristino. Ciascun membro del nostro team in servizio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, è autorizzato e in grado di ripristinare sistemi e topologie in maniera ottimale. In caso di perdite di sistema, il nostro team tecnico ricrea rapidamente i sistemi eseguendo il codice dell'infrastruttura. Offriamo un monitoraggio mondiale ininterrotto, visualizzando, inviando avvisi e segnalando in tempo reale su tutto il nostro ambiente tecnico. Il nostro team di supporto clienti collabora con il nostro team tecnico per assistere i clienti. Disponiamo di ingegneri specializzati, in servizio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno.
Quando si verificano problemi, i nostri team vengono prontamente avvisati, forniti automaticamente del contesto e dotati degli strumenti necessari per collaborare in modo efficiente con i colleghi. Utilizziamo un sistema di cercapersone per garantire che gli avvisi raggiungano i tecnici in modo veloce e affidabile.
Sicurezza del personale
Consapevolezza e formazione
Sprout Social ha implementato un solido sistema di gestione della sicurezza delle informazioni attraverso una serie completa di politiche e standard che coprono ogni aspetto della sicurezza e della privacy. Come parte delle loro condizioni di impiego, tutti i dipendenti devono confermare le proprie responsabilità nella protezione dei dati dei clienti.
Oltre agli sviluppatori, che ricevono formazione specifica sul coding sicuro, tutti i dipendenti partecipano a corsi annuali sulla sicurezza generale e sulla privacy dei dati. Eseguiamo periodicamente esercitazioni di phishing e confrontiamo i risultati ai parametri di riferimento del settore.
Organizzazione di sicurezza
Sprout Social si avvale di un team esteso e altamente qualificato dedicato alla sicurezza delle informazioni, guidato dal VP di IT, sicurezza e conformità, con la supervisione del Chief Technology Officer (CTO) e del consiglio di amministrazione di Sprout Social.
In base alle qualifiche e agli interessi professionali, il personale di sicurezza può essere assegnato ad aree funzionali come la sicurezza dei dipendenti, la sicurezza delle applicazioni, la sicurezza delle infrastrutture, il monitoraggio SOC, la conformità e altro ancora.
Hardware e dispositivi
Sprout Social tiene un inventario di tutte le apparecchiature e i dispositivi hardware, che viene regolarmente verificato sia automaticamente che manualmente. Ogni dispositivo è gestito centralmente tramite una soluzione di gestione dei dispositivi mobili (MDM), che applica configurazioni centralizzate e consente il monitoraggio continuo del sistema.
Ogni postazione di lavoro dei dipendenti è protetta con crittografia completa del disco, software antivirus e antimalware di nuova generazione e software per la prevenzione della perdita di dati. Vengono configurati anche controlli hardware, come il blocco dei supporti esterni e delle porte USB.
Screening
I candidati per l'impiego completano diversi cicli di colloqui con stakeholder interfunzionali per verificare le qualifiche. Prima di iniziare a lavorare presso Sprout Social, tutto il personale si deve sottoporre a verifica dell'identità e a un controllo dei precedenti, in conformità con le leggi e le normative locali.
Gestione delle vulnerabilità e dei rischi
Rilevamento e operazioni
Il team di sicurezza interno di Sprout Social monitora i sistemi e registra eventi e anomalie potenziali 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Inoltre, in caso di necessità, è disponibile personale specializzato su chiamata.
I sistemi e le applicazioni vengono scansionati regolarmente alla ricerca di vulnerabilità comuni e i risultati vengono corretti in base al rischio. I fornitori terzi di test qualificati eseguono test di penetrazione ai livelli applicativo e di rete più volte all'anno.
Gestione degli incidenti e risposta
La pianificazione e le procedure di risposta agli incidenti di Sprout Social si basano sugli standard NIST, incorporando le fasi di preparazione, rilevamento e analisi, contenimento, eradicazione, recupero e attività post-incidente. Questi sono ulteriormente rafforzati dai requisiti di gestione degli incidenti di sicurezza delle informazioni previsti dallo standard ISO 27001.
Quando vengono identificati potenziali incidenti tramite i nostri sistemi di monitoraggio, strumenti di rilevamento delle minacce o report degli stakeholder, si procede a una valutazione e classificazione iniziali prima di passare rapidamente alle azioni di risposta e contenimento. Gli stakeholder vengono aggiornati regolarmente durante l'indagine, e vengono raccolti e conservati registri e prove completi. Dopo che l'incidente è stato risolto, si identifica la causa principale e, nello spirito del miglioramento continuo, si implementano modifiche per prevenire incidenti simili in futuro.
Gestione della catena di approvvigionamento
Sprout Social utilizza metodi automatizzati e manuali per esaminare e monitorare regolarmente tutti i fornitori critici di prodotti e servizi nella nostra catena di approvvigionamento. I nostri subfornitori di sono contrattualmente tenuti ad aderire a una serie consolidata di misure di sicurezza in linea con le prassi consigliate del settore.
Data l'importanza del monitoraggio dei rischi di terze parti, prestiamo molta attenzione alle librerie e ad altre dipendenze di terze parti utilizzate nel nostro ambiente per garantire che siano sempre aggiornate e completamente corrette da patch.
Controllo delle modifiche
Tutti i team tecnici di Sprout Social seguono le metodologie di sviluppo software Agile, che includono fasi formali del ciclo di vita dello sviluppo del software (SDLC), come pianificazione, sviluppo, revisione del codice, test, distribuzione e monitoraggio continuo.
Tutte le modifiche al codice e alla configurazione passano attraverso diversi passaggi di revisione e test prima della distribuzione. I nostri ambienti di produzione applicano il codice approvato tramite strumenti di gestione della configurazione, e qualsiasi modifica diretta apportata a tali sistemi verrà sovrascritta dalla configurazione approvata per garantire la coerenza. Ogni sviluppatore di Sprout Social deve completare una formazione annuale sugli argomenti relativi al coding sicuro.
Protezione fisica e ambientale
Sicurezza fisica dell'ufficio
Tutti gli uffici di Sprout Social sono dotati di porte a più livelli protette da sistemi elettronici di controllo degli accessi. L'accesso fisico è limitato al personale di Sprout Social e a visitatori autorizzati e scortati. Gli uffici sono dotati di telecamere di sorveglianza che monitorano l'ingresso e l'uscita.
Sicurezza dell'ufficio digitale
Tutti gli uffici dispongono di sale dati sicure contenenti apparecchiature di rete, inclusi firewall, switch e punti di accesso, che possediamo e gestiamo. Le reti degli uffici sono segmentate e monitorate centralmente. Poiché i nostri servizi sono ospitati tramite data center di terze parti, non ci sono dipendenze di prodotto dagli uffici aziendali di Sprout Social o da altre strutture che gestiamo.
Sicurezza personale
Ogni ufficio di Sprout Social contiene le planimetrie interne, comprese le posizioni delle uscite, degli estintori, dei defibrillatori e di altre risorse per la salute e il benessere. I sistemi di allarme di emergenza vengono installati e testati regolarmente. Le procedure di emergenza per i disastri vengono aggiornate e gli esercizi di prova vengono eseguiti almeno una volta all'anno.
Continuità aziendale
Sebbene Sprout Social gestisca diversi uffici fisici, il funzionamento continuo della nostra azienda non dipende da tali uffici. Durante la pandemia COVID-19 (Coronavirus), l'intero team di Sprout Social ha continuato a lavorare da remoto senza ritardi o interruzioni. Da allora molti dipendenti sono tornati in ufficio, ma l'organizzazione rimane ibrida, con personale che lavora da remoto in tutto il mondo. Pertanto, i nostri prodotti, servizi e operazioni aziendali complessive possono continuare 24 ore su 24, indipendentemente da eventuali interruzioni delle operazioni in ufficio.