Os utilizadores do Evernote confiam a nós os seus biliões de notas, projectos e ideias. Essa confiança é baseada em nós mantermos esses dados privados e seguros. As informações desta página destinam-se a proporcionar um clima de transparência revelando-lhe como protegemos os seus dados. Iremos continuar a expandir e a actualizar esta informação à medida que vamos adicionando novos recursos de segurança e a fazer melhorias de segurança para os nossos produtos.
A segurança tem uma equipa dedicada dentro do Evernote. A função da nossa equipa de segurança é proteger os dados armazenados pelo nosso serviço. Nós dirigimos um programa de segurança que inclui as seguintes áreas de actuação: segurança do produto, controlo de infra-estruturas (física e lógica), políticas de consciencialização dos funcionários, detecção de intrusões, e actividades de avaliação.
A equipa de segurança executa um programa interno de Resposta a Incidentes (“RI”) e fornece orientação aos empregados do Evernote sobre como denunciar atividades suspeitas. A nossa equipa de RI tem procedimentos e ferramentas de intervenção que respondem às questões de segurança e continua a avaliar as novas tecnologias de forma a melhorar a nossa capacidade de detetar ataques contra as nossas infraestruturas, serviços e funcionários.
Acedemos periodicamente às nossas infra-estruturas e aplicações e procuramos por vulnerabilidades, corrigindo aquelas que poderiam afectar a segurança dos dados dos nossos clientes. A nossa equipa de segurança avalia continuamente as novas ferramentas de forma a aumentar a cobertura e profundidade dessas avaliações.
O Evernote define os seus limites de rede utilizando uma combinação de load balancers, firewalls e VPNs. Nós utilizamos-los para controlar quais os serviços que expomos à Internet e ao segmento de nossa rede de produção do resto da nossa infra-estrutura de computação. Também limitamos quem tem acesso à nossa infra-estrutura de produção com base nas necessidades da empresa e autenticamos fortemente todos esses acessos.
Evernote nunca armazena a sua palavra-passe num texto simples. Sempre que necessitamos de armazenar com segurança a palavra-passe da sua conta para o autenticar, utilizamos o PBKDF2 (Palavra-passe com Base na Derivação de Função 2 da Chave) com um condimento exclusivo para cada credencial. Nós seleccionamos o número de interacções de hash num determinado sentido o que estabelece um equilíbrio entre a experiência do utilizador e a complexidade em crackar a palavra-passe.
Enquanto não exigimos que você defina uma palavra-passe complexa, o nosso medidor de força da palavra-passe irá encorajá-lo a escolher uma forte. Nós limitamos as tentativas falhadas de inicio de sessão com base na conta e no endereço IP para assim abrandar os ataques com tentativas de adivinharem a palavra-passe.
O Evernote oferece a verificação em duas etapas ("V2E"), também conhecida como dois fatores ou autenticação multifatorial, para todas as contas. O nosso mecanismo V2E é baseado em um algoritmo de senha única baseado em tempo (TOTP). Todos os utilizadores podem gerar códigos de forma lógica utilizando uma aplicação nos seus dispositivos móveis ou podem optar por receber os códigos através de SMS.
O Evernote oferece-lhe uma forma de criar notas na sua conta ao enviar e-mails para um endereço de e-mail único do Evernote. Para o proteger de algum conteúdo malicioso, digitalizamos todos os e-mails que recebemos através de um mecanismo de varredura com antivírus comercial.
Quando você recebe um e-mail do Evernote, queremos que você confie que ele realmente veio de nós. Publicamos uma política de DMARC de cumprimento para melhorar a sua confiança em como o e-mail que você recebe do Evernote é legítimo. Cada e-mail que mandamos dos seguintes domínios será criptograficamente assinado usando DKIM e terá a sua origem num endereço de IP que publicamos no nosso registo SPF.
Evernote:
A segurança do nosso serviço web voltado para a Internet é muito importante para proteger os seus dados. A nossa equipa de segurança conduz um programa de aplicações de segurança para melhorar a higiene do código de segurança e, para periodicamente, avaliar o nosso serviço acerca dos problemas de segurança mais comuns em aplicações, incluindo: CSRF, ataques de injecção (XSS, SQLi), gestão de sessão, o redireccionamento de URLs, e clickjacking.
O nosso serviço web autentica todas as aplicações de terceiros utilizando o OAuth. O OAuth disponibiliza a forma perfeita para que você possa ligar uma aplicação de terceiros à sua conta sem a necessidade de dar a essa aplicação as suas credenciais de inicio de sessão. Após você se autenticar no Evernote com sucesso, reencaminhamos um token de autenticação para o cliente de forma a autenticar o acesso a partir dessa altura em diante. Isso elimina a necessidade de uma aplicação de terceiros para armazenar sempre no seu dispositivo o seu nome de utilizador e palavra-passe.
Cada aplicação cliente que se comunica com o nosso serviço utiliza uma API económica e bem definida para todas as suas acções. Por intermediar todas as comunicações através desta API, nós somos capazes de estabelecer verificações de autorização como um constructo fundamental na arquitectura da aplicação. Não há acesso directo ao objecto dentro do serviço e o token de autenticação de cada cliente é verificado a cada acesso ao serviço para garantir que o cliente é autenticado e autorizado a aceder a uma nota ou bloco de notas em particular. Por favor, consulte o dev.evernote.com para mais informações.
O serviço do Evernote é multi-inquilino e não segmenta os seus dados a partir de dados de outros utilizadores. Os seus dados podem residir nos mesmos servidores com os dados de outros utilizadores. Consideramos os seus dados privados e não permitimos que outro utilizador lhes aceda a menos que você os partilhe explicitamente.
O Evernote retém o seu conteúdo a não ser que você dê passos explícitos para eliminar notas e/ou blocos de notas. Para informações sobre como eliminar notas, por favor veja este artigo do centro de ajuda. Para informações acerca das nossas políticas de retenção, por favor consulte a secção da nossa política de privacidade, intitulada "Eliminação de informações".
Apagamos ou destruímos de maneira segura, todas os dispositivos de armazenamento caso eles já tenham sido utilizadas para armazenar dados de utilizadores. Seguimos a orientação do NIST feita na publicação especial 800-88 para realizar isso. Para exemplificar como destruímos discos rígidos avariados, por favor verifique este artigo de blog.
Utilizamos uma variedade de opções de armazenamento no Google Cloud Platform ("GCP"), incluindo discos locais, discos persistentes e lotes da Google Cloud Storage. Aproveitamos os processos de exclusão criptográfica do Google para garantir que reutilizar o armazenamento não resulta em expor dados privados de clientes.
O serviço do Evernote realiza no servidor o registo de interações de clientes com os nossos serviços. Isto inclui o registo de acesso ao servidor web, bem como o registo de atividades para as ações tomadas pelo nosso API. Você pode ver as horas dos acessos recentes e os endereços de IP para cada aplicação ligada à sua conta na secção 'Histórico de acesso' nas suas 'Definições da conta'.
O Evernote utiliza a encriptação padrão da indústria para proteger os dados em trânsito. Isto é comummente referido como tecnologia transport layer security (“TLS”) ou secure socket layer (“SSL”). Além disso, suportamos o HTTP Strict Transport Security (“HSTS”) para o serviço do Evernote (www.evernote.com). Apoiamos uma mistura de pacotes de encriptação e protocolos TLS para fornecer um equilíbrio de encriptação forte para navegadores e clientes que o suportam e compatibilidade com as versões anteriores para clientes legados que necessitam dele. Pretendemos continuar a melhorar a nossa postura de segurança de transporte para apoiar o nosso compromisso com a protecção dos seus dados.
Suportamos STARTTLS tanto para e-mails de entrada como de saída. Se o seu provedor de serviços de correio suportar TLS, o seu e-mail será encriptado quando em trânsito, tanto quando é enviado ou recebido pelo serviço do Evernote.
Protegemos todos os dados dos nossos clientes que estão a fluir entre o nosso centro de dados e a Google Cloud Platform utilizando o IPSEC com a encriptação GCM-AES-128 ou TLS.
No final de 2016, começamos a migrar o serviço Evernote para a Google Cloud Platform ("GCP"). Dados de clientes que armazenamos na GCP serão protegidos utilizando os recursos embutidos de encriptação em descanso do Google. Mais tecnicamente, usamos o recurso de encriptação do servidor do Google com chaves de encriptação geridas pelo Google para encriptar todos os dados em descanso utilizando AES-256, de forma transparente e automática. Você pode encontrar aqui informações adicionais sobre como a encriptação em descanso protege os seus dados.
Operamos uma arquitetura tolerante a falhas para garantir que o Evernote está lá quando você precisar dele.
Tanto nos nossos data centers físicos como na nossa infraestrutura na nuvem, isso inclui:
Tanto o Google como o nosso fornecedor de colocação fornecem serviços de tolerância de falha nas instalações, incluindo: energia, climatização e supressão de incêndio.
Fornecemos atualizações de estado acerca da nossa disponibilidade de serviço ao vivo e históricos em: https://twitter.com/evernotestatus e http://status.evernote.com.
Fazemos backup de todos os conteúdos de clientes pelo menos uma vez por dia. Não utilizamos dispositivos portáteis ou removíveis para backups.
Operamos o serviço Evernote utilizando uma combinação de serviços na nuvem e data centers físicos.
Para nossos data centers, protegemos nossa infraestrutura numa gaiola privada e trancada que inclui monitorização 24 horas por dia, 7 dias por semana, 365 dias ao ano. O acesso a estes data centers requer pelo menos, dois fatores de autenticação, mas também pode incluir biometria como um terceiro fator. Cada um dos nossos data centers passou por uma auditoria SOC-1 Tipo 2, que atesta a sua capacidade de proteger fisicamente a nossa infra-estrutura. Apenas pessoal de operações do Evernote e funcionários do centro de dados tem acesso físico a esta infra-estrutura e a nossa equipa de operações é alertada cada vez que alguém acede à nossa caixa, incluindo uma gravação vídeo do evento.
Para os nossos serviços na nuvem, utilizamos a Google Cloud Platform. O Google passou por diversas certificações para garantir a sua capacidade de proteger fisicamente os dados do Evernote. Você pode ler mais sobre a segurança da Google Cloud Platform aqui.
Todos os dados do Evernote residem dentro dos Estados Unidos.
Por favor, veja a nossa política de privacidade para informações. Não publicamos um relatório de Controlo do Serviço Organizacional ("CSO").
