Gli utenti di Evernote ci affidano miliardi di note, progetti e idee. Questa fiducia si basa sul fatto che teniamo quei dati privati e al sicuro. Le informazioni in questa pagina hanno lo scopo di fornire trasparenza su come proteggiamo tali dati. Continueremo ad espandere e aggiornare queste informazioni man mano che aggiungeremo nuove funzionalità di sicurezza e apporteremo miglioramenti alla sicurezza dei nostri prodotti.
C'è un team apposito in Evernote dedicato alla sicurezza. Il suo obiettivo è quello di proteggere i dati che memorizzi nel nostro servizio. Gestiamo un programma di sicurezza che include le seguenti aree di interesse: sicurezza del prodotto, controlli dell'infrastruttura (fisici e logici), criteri, consapevolezza dei dipendenti, rilevamento delle intrusioni e attività di valutazione.
Il team di sicurezza gestisce un programma interno di risposta agli incidenti e fornisce indicazioni ai dipendenti di Evernote su come segnalare attività sospette. Il nostro team di risposta agli incidenti dispone di procedure e strumenti per rispondere ai problemi di sicurezza e continua a valutare nuove tecnologie per migliorare il rilevamento degli attacchi contro la nostra infrastruttura, il nostro servizio e i nostri dipendenti.
Valutiamo periodicamente le vulnerabilità della nostra infrastruttura e delle applicazioni e rimediamo a quelle che potrebbero avere un impatto sulla sicurezza dei dati dei clienti. Il nostro team di sicurezza valuta continuamente nuovi strumenti per rendere più preciso e complete queste valutazioni.
Evernote stabilisce i confini della propria rete utilizzando una combinazione di sistemi di bilanciamento del carico, firewall e VPN. Li utilizziamo per controllare quali servizi esponiamo a Internet e per segmentare la nostra rete di produzione dal resto della nostra infrastruttura informatica. Limitiamo chi ha accesso alla nostra infrastruttura di produzione in base alle esigenze aziendali e usiamo l'autenticazione forte per tale accesso.
Evernote non memorizza mai la tua password in chiaro. Quando abbiamo bisogno di memorizzare in modo sicuro la password del tuo account per autenticarti, utilizziamo la funzione PBKDF2 (Password Based Key Derivation Function 2) con un salt univoco per ogni credenziale. Selezioniamo il numero di iterazioni di hashing in modo da trovare un equilibrio tra l'esperienza dell'utente e la complessità di identificazione delle password.
Sebbene non ti chiediamo di impostare una password complessa, il nostro misuratore di sicurezza della password ti incoraggerà a sceglierne una sicura. Limitiamo i tentativi di accesso non riusciti sia per account che per indirizzo IP, per rallentare gli attacchi mirati a indovinare le password.
Evernote offre una verifica in due passaggi, nota anche come autenticazione a due fattori o autenticazione a più fattori, per tutti gli account. Il nostro meccanismo di verifica in due passaggi si basa su un algoritmo di password monouso (TOTP) basato sul tempo. Tutti gli utenti possono generare codici localmente utilizzando un'applicazione sul proprio dispositivo mobile o possono scegliere di ricevere i codici come messaggi di testo.
Evernote ti permette di creare note nel tuo account inviando email a un indirizzo email Evernote univoco. Per proteggerti da contenuti dannosi, eseguiamo la scansione di tutte le email che riceviamo utilizzando un motore di scansione antivirus commerciale.
Quando ricevi un'email da Evernote, vogliamo che tu abbia la certezza che provenga davvero da noi. Pubblichiamo una politica DMARC per l'applicazione, per garantire che l'email che ricevi da Evernote sia legittima. Ogni email che inviamo dai seguenti domini sarà firmata crittograficamente utilizzando DKIM e proviene da un indirizzo IP che pubblichiamo nel nostro record SPF.
Evernote:
Proteggere il nostro servizio web che funziona tramite connessione a Internet è di fondamentale importanza per la tutela dei tuoi dati. Il nostro team guida un programma di sicurezza delle applicazioni allo scopo di migliorare la sicurezza del codice e di valutare periodicamente il nostro servizio rispetto a problemi di sicurezza delle applicazioni comuni, tra cui: CSRF, attacchi injection (XSS, SQLi), gestione delle sessioni, reindirizzamento degli URL e clickjacking.
Il nostro servizio web autentica tutte le applicazioni client di terze parti utilizzando OAuth. OAuth fornisce un modo semplice per connettere un'applicazione di terze parti al tuo account senza dover fornire all'applicazione le tue credenziali di accesso. Una volta eseguita correttamente l'autenticazione su Evernote, restituiamo un token di autenticazione al client per autenticare l'accesso da quel momento in poi. In questo modo, un'applicazione di terze parti non deve memorizzare nome utente e password sul dispositivo.
Ogni applicazione client che comunica con il nostro servizio utilizza un'API thrift ben definita per tutte le azioni. Mediante l'intermediazione di tutte le comunicazioni tramite questa API, siamo in grado di definire controlli di autorizzazione come costrutto fondamentale nell'architettura dell'applicazione. Non esiste un accesso diretto all'oggetto all'interno del servizio e il token di autenticazione di ciascun client viene verificato a ogni accesso al servizio per garantire che il client sia autenticato e autorizzato ad accedere a una nota o a un taccuino specifici. Per ulteriori informazioni, consulta dev.evernote.com.
Il servizio Evernote è multi-tenant e non segmenta i tuoi dati dai dati di altri utenti. I tuoi dati potrebbero risiedere sugli stessi server dei dati di un altro utente. Consideriamo i tuoi dati privati e non permettiamo ad altri utenti di accedervi a meno che tu non li condivida esplicitamente.
Evernote conserva i tuoi contenuti a meno che non adotti misure esplicite per eliminare note e/o taccuini. Per informazioni su come eliminare le note, consulta questo articolo di assistenza. Per informazioni sulle nostre politiche di conservazione, fai riferimento alla sezione della nostraInformativa sulla privacy, intitolata "Cancellazione delle informazioni".
Cancelliamo o distruggiamo in modo sicuro tutti i supporti di memorizzazione, se sono mai stati utilizzati per memorizzare i dati dell'utente. A tale scopo ci atteniamo alla guida del NIST nella pubblicazione speciale 800-88. Per sapere come distruggiamo in modo sicuro i dischi rigidi rotti, consulta questo articolo del blog.
Utilizziamo diverse opzioni di archiviazione nella piattaforma cloud di Google ("GCP"), inclusi dischi locali, dischi permanenti e bucket di Google Cloud Storage. Sfruttiamo i processi di cancellazione crittografica di Google per garantire che il riutilizzo dello spazio di archiviazione non comporti l'esposizione dei dati dei clienti privati.
Il servizio Evernote esegue la registrazione lato server delle interazioni dei client con i nostri servizi. Ciò include la registrazione dell'accesso al server web, nonché la registrazione delle attività per le azioni intraprese tramite la nostra API. Raccogliamo anche dati sugli eventi dalle nostre applicazioni client. Puoi visualizzare gli ultimi accessi e gli indirizzi IP per ogni applicazione collegata al tuo account nella sezione Storico degli accessi delle impostazioni dell'account.
Evernote utilizza la crittografia standard del settore per proteggere i tuoi dati in transito, comunemente nota come tecnologia Transport Layer Security ("TLS") o Secure Socket Layer ("SSL"). Inoltre, supportiamo HTTP Strict Transport Security ("HSTS") per il servizio Evernote (www.evernote.com). Supportiamo un mix di suite di crittografia e protocolli TLS che offrono un equilibrio tra crittografia avanzata per browser e client che la supportano e compatibilità con le versioni precedenti per i client legacy che ne hanno bisogno. Abbiamo in programma di continuare a migliorare la nostra posizione di sicurezza dei trasporti per tener fede al nostro impegno di protezione dei tuoi dati.
Supportiamo STARTTLS sia per la posta in entrata che in uscita. Se il tuo provider di servizi di posta supporta TLS, la tua email verrà crittografata in transito, sia da che verso il servizio Evernote.
Proteggiamo tutti i dati dei clienti che fluiscono tra il nostro data center e la piattaforma Google Cloud utilizzando IPSEC con crittografia GCM-AES-128 o TLS.
Alla fine del 2016, abbiamo iniziato a migrare il servizio Evernote su Google Cloud Platform ("GCP"). I dati dei clienti che memorizziamo in GCP saranno protetti utilizzando le funzionalità di crittografia dei dati inattivi integrate di Google. Più tecnicamente, utilizziamo la funzione di crittografia lato server di Google con chiavi di crittografia gestite da Google per crittografare tutti i dati inattivi utilizzando AES-256, in modo trasparente e automatico. Puoi trovare ulteriori informazioni su come la crittografia dei dati inattivi protegge i tuoi dati qui.
Operiamo con un'architettura a tolleranza d'errore per assicurarti assistenza quando ne hai bisogno.
Nei nostri data center fisici e nella nostra infrastruttura cloud, ciò include:
Sia Google che il nostro fornitore di colocation forniscono servizi di strutture a tolleranza d'errore, tra cui: alimentazione, HVAC e soppressione degli incendi.
Forniamo aggiornamenti sullo stato in tempo reale e storico sulla disponibilità del nostro servizio qui: https://twitter.com/evernotestatus e http://status.evernote.com.
Eseguiamo il backup di tutti i contenuti dei clienti almeno una volta al giorno. Non utilizziamo supporti portatili o rimovibili per i backup.
Gestiamo il servizio Evernote utilizzando una combinazione di servizi cloud e data center fisici.
Per i nostri data center, proteggiamo la nostra infrastruttura in una gabbia privata e chiusa a chiave monitorata 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. L'accesso a questi data center richiede almeno due fattori di autenticazione, ma può includere la biometria come terzo fattore. Ciascuno dei nostri data center è stato sottoposto a un audit SOC-1 di tipo 2, che ne attesta la capacità di proteggere fisicamente la nostra infrastruttura. Solo il personale operativo di Evernote e il personale del data center hanno accesso fisico a questa infrastruttura; il nostro team operativo viene avvisato ogni volta che qualcuno accede alla gabbia, inclusa una registrazione video dell'evento.
Per i nostri servizi cloud utilizziamo la piattaforma Google Cloud. Google ha ottenuto diverse certificazioni che attestano la sua capacità di proteggere fisicamente i dati di Evernote. Puoi leggere ulteriori informazioni sulla sicurezza di Google Cloud Platform qui.
Tutti i dati di Evernote risiedono negli Stati Uniti.
Consulta il nostro centro per la privacy per ulteriori informazioni. Non pubblichiamo un rapporto sul controllo dell'organizzazione dei servizi ("SOC").
