Sprout Social Security
L'applicazione Sprout Social è una piattaforma di gestione dei social media per le aziende, che offre a brand e agenzie la possibilità di gestire la pubblicazione, il coinvolgimento, l'analisi, l'advocacy e il servizio clienti sui social media su più reti e profili. Ulteriori informazioni, incluso un tour del prodotto, sono disponibili sul nostro sito web qui.
I controlli e le misure di sicurezza documentati di seguito sono specifici per l'applicazione Sprout. Inoltre, si applicano tutte le misure indicate nella pagina Sicurezza.
Controllo degli accessi
Autenticazione
Per impostazione predefinita, gli utenti accedono all'applicazione Sprout utilizzando un nome utente e una password designati, con l'applicazione della verifica in due passaggi tramite e-mail. I clienti possono configurare varie impostazioni della password per il loro account, inclusi forza, cronologia e limiti di frequenza. Le password degli account vengono crittografate e cifrate utilizzando gli algoritmi e le strategie più aggiornate, sottoposti a controlli periodici. Nessuna persona, inclusi i membri del nostro personale, potrà mai visualizzarle. In caso di perdita della password, non sarà possibile recuperarla e dovrà essere reimpostata.
Il Single Sign-on (SSO) tramite SAML 2.0 permette ai clienti di fornire ai propri utenti un unico set di credenziali di accesso per accedere a più applicazioni. Sono disponibili anche il provisioning just-in-time (JIT) e l'impostazione dei ruoli predefiniti per i nuovi utenti. Le istruzioni per configurare l'SSO sono disponibili qui.
Inoltre, i clienti possono sostituire la verifica in due passaggi basata su e-mail con l'autenticazione a più fattori utilizzando un algoritmo TOTP (password univoca basata sul tempo) o un algoritmo One-Time Password (HOTP) basato su HMAC per generare codici di accesso tramite app come Google Authenticator. Le istruzioni per configurare la verifica in due passaggi tramite TOTP o HOTP sono disponibili qui.
Autorizzazione
Sprout offre un modello di autorizzazioni flessibile e completo in cui i proprietari e gli amministratori dell'account possono limitare l'accesso a profili, funzionalità, azioni (inclusi lettura e scrittura) e altri dati applicando controlli granulari agli utenti del proprio account. I gruppi possono essere configurati per organizzare i profili social all'interno di un account Sprout. I clienti possono quindi concedere ai membri del team l'accesso ai singoli gruppi in base a come opera la loro azienda. Le informazioni su come creare gruppi si trovano qui.
Oltre ai gruppi, i clienti possono impostare autorizzazioni specifiche per ciascun utente. Le autorizzazioni aziendali comprendono qualsiasi autorizzazione amministrativa per un utente, mentre le autorizzazioni delle funzionalità si concentrano sull'accesso a particolari schede/funzionalità in Sprout. Puoi trovare le informazioni sulla configurazione dei permessi utente qui.
I proprietari e gli amministratori degli account possono limitare determinate attività, previa approvazione dei flussi di lavoro. Questi flussi di lavoro consentono di suddividere i compiti fra i membri del team, con la tranquillità da parte dei responsabili decisionali centrali di poter rivedere e controllare le azioni rivolte al pubblico.
Sicurezza dell'applicazione
Restrizioni di IP
Sprout Social può essere configurato per limitare l'accesso alle applicazioni e alle API da parte di specifici intervalli IP.
Sospensione della pubblicazione globale
In tempi di crisi, il tuo team ha accesso a un pulsante che disabilita temporaneamente l'invio da parte di Sprout Social di messaggi automatizzati, programmati e in coda. Questa funzione è accessibile dalle nostre applicazioni web e per dispositivi mobili.
Migliori pratiche per la sicurezza
Sprout Social vuole aiutarti a proteggerti dalle minacce alla sicurezza online, per questo abbiamo pubblicato diverse risorse, tra cui gli articoli Migliori pratiche per la sicurezza e Protezione delle informazioni sensibili, per guidare i clienti nell'adempimento delle loro responsabilità condivise in materia di sicurezza.
E-mail con firma digitale
Sprout Social utilizza i metodi di autenticazione Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per garantire che le email che inviamo siano autenticate come provenienti da Sprout Social, contribuendo così ad assicurarne l'autenticità e a prevenire lo spoofing.
Registro della traccia di controllo
L'applicazione Sprout include registri di tracce di controllo rivolti ai clienti che forniscono informazioni sull'attività degli utenti all'interno di un account. Oltre cinquanta eventi e azioni vengono registrati nella traccia di controllo, documentando l'attività e l'utente che l'ha eseguita. Le informazioni sui registri delle tracce di controllo sono reperibili qui.
Protezione contro gli attacchi a forza bruta
Oltre a un hashing computazionalmente complesso, il nostri servizi di autenticazione implementano ulteriori protezioni con limitazioni della banda e ReCAPTCHA.
Hosting cloud
Centri dati
L'applicazione Sprout Social e l'infrastruttura associata sono ospitate da Amazon Web Services (AWS). AWS fornisce strutture di hosting di altissimo livello, sicure, sempre disponibili e con server ridondanti, in conformità con gli standard Cloud Security Alliance STAR Level 2, ISO/IEC 9001, 27001, 27017, 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Per ulteriori informazioni sulle certificazioni e i programmi di conformità AWS, visita il sito https://aws.amazon.com/compliance/programs.
Per una ridondanza ottimale, Sprout Social utilizza anche Google Cloud Platform (GCP) come fornitore di hosting per il ripristino di emergenza e il backup. Per ulteriori informazioni sulle certificazioni e sui programmi di conformità di GCP, visita il sito https://cloud.google.com/trust-center.
Localizzazione dei dati
Sprout Social comprende l'importanza della residenza dei dati e si impegna a fornire informazioni accurate e complete su dove i dati dei clienti vengono elaborati e archiviati. Attualmente, tutti i componenti dell'applicazione Sprout Social - inclusi l'infrastruttura, il software applicativo e i dati dei clienti - sono ospitati in più zone di disponibilità negli Stati Uniti.
Le posizioni specifiche sono reperibili qui sotto:
- Primario - AWS us-east-1 (N. Virginia)
- Secondario - AWS us-west-2 (Oregon)
- Disaster Recovery/Backup - GCP us-central1 (Iowa)
Sicurezza dell'infrastruttura
Crittografia
Tutte le comunicazioni su reti pubbliche effettuate tramite l'app e l'API di Sprout utilizzano il protocollo HTTPS con crittografia TLS 1.2 o superiore. Tutti i dati, inclusi i backup, sono crittografati e conservati a riposo con AES-256 o superiore.
Tutte le chiavi delle applicazioni sono gestite nativamente tramite un sistema di gestione dei segreti. Le chiavi vengono ruotate regolarmente secondo le politiche e gli standard del settore.
Sicurezza cloud
L'applicazione Sprout è progettata nativamente per AWS e utilizza in modo sicuro decine di servizi AWS. Guide prescrittive e benchmark garantiscono che tutti i servizi siano configurati secondo le migliori pratiche di sicurezza del produttore e del settore. La scansione regolare conferma che queste migliori pratiche rimangono in vigore in ogni momento.
Durante la gestione di un ambiente cloud multi-tenant, Sprout Social garantisce che i dati di ciascun cliente siano separati logicamente, in modo che ogni cliente possa accedere solo ai propri dati. Varie misure di verifica front-end e back-end operano continuamente per applicare questa separazione.
Sicurezza della rete
L'infrastruttura di Sprout è configurata in un Virtual Private Cloud (VPC), con segmentazione in più zone di sicurezza. Queste zone offrono livelli di controllo più stringenti in prossimità dei dati dei clienti.
I server sono segmentati logicamente in base alle liste di controllo degli accessi alla rete, ai gruppi di sicurezza e alle regole del firewall. Ogni server è dedicato e progettato per una singola funzione. Porte e servizi non necessari sono disabilitati.
Cloudflare, insieme al Web Application Firewall (WAF) di AWS, protegge l'infrastruttura da attacchi automatizzati e manuali. Tutti i sistemi di produzione implementano sistemi di rilevamento delle intrusioni host-based (IDS).
Manutenzione
L'infrastruttura è sviluppata e gestita seguendo l'approccio dell'architettura Zero Trust. Al personale viene concesso l'accesso ai sistemi esclusivamente in base alle necessità del loro ruolo, seguendo il principio del privilegio minimo. Gli individui che eseguono la manutenzione del sistema devono connettersi all'infrastruttura tramite una VPN e vengono applicati più livelli di verifica e autenticazione.
Le attività di manutenzione vengono eseguite senza impatto o interruzioni per i clienti.