Centro de segurança
Em atividade desde 2010, o Sprout Social tem mais de 30 mil clientes pagantes que confiam em nosso trabalho para ajudá-los a gerenciar milhões de conversas todos os dias. Nossa tecnologia foi desenvolvida pensando nos nossos clientes e seus públicos. Estamos sempre trabalhando para criar relações duradouras, por meio de uma cultura de sucesso e atendimento ao cliente.
Medidas de segurança do produto
Embora as Medidas Gerais de Segurança documentadas nesta página cubram toda a organização do Sprout Social, cada um dos nossos aplicativos inclui recursos de segurança específicos do produto. Informações sobre controle de acesso, segurança de aplicativos, hospedagem em nuvem e segurança de infraestrutura nos nossos produtos podem ser encontradas nas respectivas seções abaixo.
Medidas Gerais de Segurança
Resiliência operacional
Confiabilidade e disponibilidade
O Sprout Social trabalha para minimizar os impactos no serviço e no tempo de inatividade. Projetamos nossos sistemas para tolerância a falhas, e nossas equipes são treinadas para a recuperação rápida em caso de incidentes. Faz parte da nossa ética evitar a todo custo períodos de inatividade, planejados ou não planejados. Nunca instituímos tempo de inatividade por manutenção caso seja evitável — porque geralmente é. Os elementos de continuidade de negócios e recuperação de incidentes fazem parte das nossas práticas e sistemas. Eles não ficam em segundo plano nem são relegados a apenas uma equipe.
Nossa equipe de engenharia se esforça para manter 99,9% de tempo de atividade em cada um dos nossos produtos como indicador-chave de desempenho (KPI). Divulgamos o status e as métricas do sistema em tempo real nos nossos sites de status, onde os clientes podem assinar para receber avisos de futuros incidentes:
Integrações sociais
Nossa camada de ingestão de dados combina múltiplas conexões para APIs de rede social. Com nossos acordos de parceria formais, redes sociais como Facebook, Instagram, LinkedIn, Pinterest, Threads, TikTok, X e YouTube nos fornecem níveis mais altos de redundância e acesso direto às as equipes de suporte.
Todas as conexões entre os produtos Sprout Social e as redes sociais ocorrem em redes seguras. Quando conectam os perfis sociais ao Sprout Social, os clientes inserem as credenciais diretamente na rede social; o Sprout Social nunca vê, processa nem armazena as credenciais de conta de rede social dos nossos clientes.
Backups
Backups são feitos com frequência, criptografados em trânsito e em repouso, e testados regularmente. Eles são intencionalmente armazenados "fora do site," geograficamente separados do site de hospedagem principal de cada aplicação, para garantir altos níveis de durabilidade e disponibilidade.
Mais informações sobre data centers e locais de hospedagem podem ser encontradas nas páginas de segurança específicas do produto acima.
DevOps e monitoramento
Nossa equipe de engenharia pratica a infraestrutura como código, oferecendo exatidão, padronização, capacidade de teste e rapidez na recuperação. Qualquer integrante da equipe do plantão 24 horas tem condições de reconstruir sistemas e topologias de forma consistente. Em caso de perda do sistema, nossa equipe de engenharia pode recriar rapidamente os sistemas executando o código de infraestrutura. Monitoramos continuamente em todo o mundo, apresentando, alertando e relatando sobre todo o nosso ambiente técnico em tempo real. Nossa equipe de suporte ao cliente colabora com nossa equipe de engenharia para apoiar os clientes. Temos engenheiros especializados de plantão 24 horas por dia.
Quando ocorrem problemas, nossas equipes são prontamente avisadas, automaticamente informadas do contexto e equipadas com ferramentas para colaborar de maneira eficiente com os colegas. Empregamos um sistema de pager de triagem para assegurar que alertas cheguem aos engenheiros rapidamente e de maneira confiável.
Segurança de pessoal
Conscientização e treinamento
O Sprout Social implementou um avançado sistema de gerenciamento de segurança da informação por meio de um amplo conjunto de políticas e padrões que abrangem todos os aspectos de segurança e da privacidade. Como exigência da função, todos os funcionários devem afirmar as responsabilidades na proteção dos dados dos clientes.
Os desenvolvedores recebem treinamento em programação segura. Além disso, todos os funcionários participam do treinamento anual de segurança geral e de privacidade de dados. Simulações de phishing são rotineiramente administradas e medidas em comparação com os referenciais do setor.
Organização de segurança
O Sprout Social conta com uma equipe ampla e altamente qualificada dedicada à segurança da informação, liderada pelo VP de TI, Segurança e Conformidade, com a supervisão do Diretor de Tecnologia (CTO) e do Conselho de Administração do Sprout Social.
Com base nas qualificações e interesses de carreira, o pessoal de segurança pode ser alocado a áreas funcionais como segurança de funcionários, segurança de aplicações, segurança de infraestrutura, monitoramento de SOC, conformidade e outros.
Hardware e dispositivos
O Sprout Social mantém um inventário de todos os equipamentos e aparelhos de hardware, que é auditado regularmente, tanto automática quanto manualmente. Cada aparelho é gerenciado centralmente em uma solução em gerenciamento de aparelhos móveis (MDM), que aplica configurações centralizadas e permite o monitoramento contínuo do sistema.
Cada estação de trabalho dos funcionários é protegida com criptografia de disco completo, antivírus e antimalware de última geração, e software de prevenção de perda de dados. Os controles de hardware, como o bloqueio de mídia externa e portas USB, também podem ser configurados.
Triagem
Os candidatos a emprego passam por várias rodadas de entrevistas com stakeholders multifuncionais para confirmar as qualificações. Antes de começar a trabalhar no Sprout Social, todo o pessoal passa pela confirmação da identidade e checagem de antecedentes, sujeita às leis e regulamentações.
Gerenciamento de vulnerabilidade e risco
Deteção e operações
A equipe de segurança interna do Sprout Social monitora os sistemas e registros 24 horas por dia em busca de possíveis eventos e anomalias. Além disso, há pessoal especializado de plantão, caso necessário.
Sistemas e aplicativos são varridos regularmente em busca de vulnerabilidades comuns, e as conclusões são corrigidas de acordo com o risco. Fornecedores qualificados de testes de terceiros realizam testes de penetração nas camadas de aplicativo e rede várias vezes ao ano.
Resposta e gerenciamento de incidente
O planejamento e os procedimentos de resposta a incidentes do Sprout Social são baseados nos padrões do NIST, incorporando as fases de preparação, detecção e análise, contenção, erradicação, recuperação e atividade pós-incidente. Eles são reforçados pelos requisitos de gestão de incidentes de segurança da informação da norma ISO 27001.
Quando possíveis incidentes são identificados pelos nossos sistemas de monitoramento, ferramentas de detecção de ameaças ou relatórios de stakeholders, ocorre uma avaliação e classificação inicial antes de rapidamente ter as ações de resposta e contenção. As partes interessadas são atualizadas regularmente durante a investigação, e registros e evidências abrangentes são coletados e preservados. Após o incidente ser resolvido, a causa-raiz é identificada, e, no espírito de melhoria contínua, mudanças são implementadas para prevenir incidentes semelhantes no futuro.
Gestão da cadeia de suprimentos
O Sprout Social utiliza métodos automatizados e manuais para avaliar e monitorar regularmente todos os fornecedores críticos de produtos e serviços na cadeia de suprimentos. Nossos subprocessadores são contratualmente obrigados a aderir a um conjunto estabelecido de medidas de segurança que se alinham com as recomendações do setor.
Dada a importância do monitoramento de risco de terceiros, prestamos muita atenção às bibliotecas e outras dependências de terceiros usadas no nosso ambiente para que permaneçam corrigidas e totalmente atualizadas.
Controle de mudanças
Todas as equipes de engenharia do Sprout Social seguem metodologias ágeis de desenvolvimento de software, que incorporam fases formais do Ciclo de Vida de Desenvolvimento de Software (SDLC), incluindo Planejamento, Desenvolvimento, Revisão de Código, Testes, Implantação e Monitoramento Contínuo.
Todas as alterações de código e configuração passam por várias etapas de análise e teste antes da implantação. Nossos ambientes de produção aplicam o código aprovado via ferramentas de gerenciamento de configuração, e quaisquer modificações diretas feitas nesses sistemas serão sobrescritas pela configuração aprovada para assegurar a consistência. Todo desenvolvedor do Sprout Social deve concluir o treinamento anual sobre tópicos de codificação segura.
Proteção física e ambiental
Segurança física do escritório
Todos os escritórios do Sprout Social têm portas de múltiplas camadas protegidas por sistemas eletrônicos de controle de acesso. O acesso físico é restrito ao pessoal do Sprout Social e aos visitantes autorizados e acompanhados. Os escritórios estão equipados com câmeras de vigilância que fazem o monitoramento das entradas e saídas.
Segurança digital de escritório
Todos os escritórios possuem salas de dados seguras com equipamentos de rede, incluindo firewalls, switches e pontos de acesso, que são de nossa propriedade e gestão. As redes de escritório são segmentadas e monitoradas centralmente. Como nossos serviços são hospedados em data centers de terceiros, não há dependências de produto nos escritórios corporativos do Sprout Social nem outras instalações que gerenciamos.
Segurança da vida
Cada filial do Sprout Social mantém plantas internas, incluindo as localizações das saídas, extintores de incêndio, desfibriladores e outros recursos de saúde e bem-estar. Sistemas de alarme de emergência são instalados e testados regularmente. Os procedimentos de emergência para desastres são atualizados, e os exercícios de teste são realizados pelo menos uma vez por ano.
Continuidade de negócios
Embora o Sprout Social tenha vários escritórios físicos, a continuidade do funcionamento dos nossos negócios não depende deles. Durante a covid-19, o Sprout Social fez a transição de toda a equipe para o trabalho remoto sem atrasos nem interrupções. Desde então, muitos funcionários voltaram ao escritório, mas a organização permanece híbrida, com pessoal trabalhando remotamente em todo o mundo. Portanto, nossos produtos, serviços e operações gerais de negócios podem continuar 24 horas por dia, independentemente de quaisquer interrupções no escritório.