Evernote-användare litar på att vi skyddar miljarder av anteckningar, projekt och idéer. Det förtroendet bygger på att vi håller deras data säkra. Informationen på den här sidan är avsedd att ge transparens om hur vi skyddar data. Vi kommer att utöka och uppdatera den här informationen när vi lägger till nya säkerhetsfunktioner och gör säkerhetsförbättringar i våra produkter.
På Evernote har vi ett dedikerat säkerhetsteam. Vårt säkerhetsteams uppdrag är att skydda de data du lagrar hos oss. Vårt säkerhetsprogram fokuserar på följande: produktsäkerhet, infrastrukturkontroller (fysiska och logiska), policyer, medvetenhet hos anställda, upptäckt av intrång och granskningar.
Säkerhetsteamet driver ett internt Incident Response-program (IR) och ger vägledning till Evernote-anställda hur man rapporterar misstänkt aktivitet. Vårt IR-team har rutiner och verktyg på plats för att hantera säkerhetsproblem och vi fortsätter att utvärdera ny teknik för att förbättra vår förmåga att upptäcka attacker mot vår infrastruktur, vår tjänst och våra anställda.
Vi utvärderar regelbundet vår infrastruktur och våra appar för sårbarheter och åtgärdar de som kan påverka säkerheten för kunddata. Vårt säkerhetsteam utvärderar kontinuerligt nya verktyg för att öka täckningen och djupet av dessa bedömningar.
Evernote definierar sina nätverksgränser med en kombination av lastbalanserare, brandväggar och VPN. Vi använder dessa för att kontrollera vilka tjänster vi gör tillgängliga på internet och för att segmentera vårt produktionsnätverk från resten av vår datorinfrastruktur. Vi begränsar vem som har tillgång till vår produktionsinfrastruktur baserat på affärsbehov och åtkomsten autentiseras.
Evernote lagrar aldrig ditt lösenord som oformaterad text. När vi behöver lagra ditt kontolösenord på ett säkert sätt för autentisering så använder vi PBKDF2 (Password Based Key Derivation Function 2) och ett unikt salt för alla uppgifter. Vi väljer antalet hash-iterationer på ett sätt som ger en balans mellan användarupplevelse och lösenordets komplexitet.
Även om vi inte kräver att du ställer in ett komplext lösenord, kommer vår lösenordsmätare att uppmuntra dig att välja ett starkt. Vi begränsar misslyckade inloggningsförsök både per konto och per IP-adress för att bromsa attacker med lösenordsgissning.
Evernote erbjuder tvåstegsverifiering (2SV), även känt som tvåfaktors- eller multifaktorautentisering, för alla konton. Vår 2SV-mekanism är baserad på en tidsbaserad engångslösenordsalgoritm (TOTP). Alla användare kan generera koder lokalt med en app på sin mobila enhet eller välja att få koderna levererade som sms.
Med Evernote kan du skapa anteckningar på ditt konto genom att skicka e-postmeddelanden till en unik Evernote-e-postadress. För att skydda dig från skadligt innehåll skannar vi all e-post vi får med hjälp av en kommersiell antivirusmotor.
När du får ett e-postmeddelande från Evernote vill vi att du ska vara säker på att det verkligen kommer från oss. Vi publicerar en DMARC-policy för stärka förtroendet för att e-post du får från Evernote är legitim. Varje e-postmeddelande vi skickar från följande domäner signeras kryptografiskt med DKIM och kommer från en IP-adress som vi publicerar i vårt SPF-register.
Evernote:
Att säkra vår webbtjänst på internet är ytterst viktigt för att skydda dina data. Vårt säkerhetsteam driver ett säkerhetsprogram för att förbättra kodsäkerheten och regelbundet utvärdera vår tjänst för vanliga säkerhetsproblem som: CSRF, injektionsattacker (XSS, SQLi), sessionshantering, URL-omdirigering och clickjacking.
Vår webbtjänst autentiserar alla tredjepartsappar med OAuth. OAuth är ett sömlöst sätt för dig att ansluta en tredjepartsapp till ditt konto utan att behöva ge appen dina inloggningsuppgifter. När du har autentiserat med Evernote returnerar vi en autentiseringstoken till klienten för att autentisera din åtkomst från den punkten och framåt. Det eliminerar behovet av att en tredjepartsapp lagrar ditt användarnamn och lösenord på din enhet.
Varje klientapp som kommunicerar med vår tjänst använder ett väldefinierat thrift API för alla åtgärder. Genom att förmedla all kommunikation via detta API kan vi etablera auktoriseringskontroller som en grundläggande konstruktion i applikationsarkitekturen. Det finns ingen direkt objektåtkomst inom tjänsten och varje klients autentiseringstoken kontrolleras vid varje åtkomsttillfälle för att säkerställa att klienten är autentiserad och auktoriserad att komma åt en viss anteckning eller anteckningsbok. Se dev.evernote.com för mer information.
Evernote-tjänsten är multi-tenant och segmenterar inte dina data från andra användares data. Dina data finns på samma servrar som andra användares data. Vi betraktar dina uppgifter som privata och tillåter inte en annan användare att komma åt dem om du inte uttryckligen delar dem.
Evernote lagrar ditt innehåll om du inte uttryckligen raderar anteckningar och/eller anteckningsböcker. Mer information om hur du tar bort anteckningar finns i denna hjälpartikel. För information om våra lagringspolicyer, se avsnittet Radering av information i vår personuppgiftspolicy.
Vi raderar eller förstör alla lagringsmedier som använts för att lagra användardata på ett säkert sätt. Vi följer NIST:s vägledning i specialpublikation 800-88 när vi gör det. Ett exempel på hur vi säkert förstör trasiga hårddiskar finns i den här bloggartikeln.
Vi använder en mängd olika lagringsalternativ i Googles Cloud Platform (GCP), inklusive lokala diskar, beständiga diskar och Google Cloud Storage-buckets. Vi drar fördel av Googles kryptografiska raderingsprocesser för att säkerställa att återanvändning av lagringsutrymme inte leder till att privata kunddata avslöjas.
Evernote-tjänsten loggar klientinteraktioner med våra tjänster på serversidan. Det inkluderar loggning av webbserveråtkomst och aktivitetsloggning av åtgärder som vidtas via vårt API. Vi samlar även in händelsedata från våra klientappar. Du kan se de senaste åtkomsttiderna och IP-adresserna för varje app som är ansluten till ditt konto i avsnittet Åtkomsthistorik i dina kontoinställningar.
Evernote använder kryptering av industristandard för att skydda dina data under överföring. Detta kallas vanligtvis TLS- (transport layer security) eller SSL (secure socket layer)-teknik. Dessutom stöder vi HTTP Strict Transport Security (HSTS) för Evernote-tjänsten (www.evernote.com). Vi använder en blandning av chiffersviter och TLS-protokoll för att ge en balans mellan stark kryptering för webbläsare och klienter som stöder det och bakåtkompatibilitet för äldre klienter som behöver det. Vi planerar att fortsätta att förbättra transportsäkerheten som ett led i vårt arbete att skydda dina data.
Vi stöder STARTTLS för både inkommande och utgående e-post. Om din e-postleverantör stöder TLS, kommer din e-post att krypteras under överföring, både till och från Evernote-tjänsten.
Vi skyddar alla kunddata som överförs mellan vårt datacenter och Google Cloud Platform med IPSEC med GCM-AES-128-kryptering eller TLS.
I slutet av 2016 började vi migrera Evernote-tjänsten till Google Cloud Platform (GCP). Kunddata som vi lagrar i GCP skyddas med Googles inbyggda funktioner för kryptering i viloläge. Vi använder Googles krypteringsfunktion på serversidan med Google-hanterade krypteringsnycklar för att kryptera alla data i vila transparent och automatiskt med AES-256. Du kan hitta mer information om hur kryptering i viloläge skyddar dina data här.
Vi har en feltolerant arkitektur för att säkerställa att Evernote finns där när du behöver det.
I våra både våra fysiska datacenter och vår molninfrastruktur inkluderar detta:
Både Google och vår samlokaliseringsleverantör tillhandahåller feltoleranta anläggningstjänster som ström, HVAC och brandbekämpning.
Vi tillhandahåller aktuella och historiska statusuppdateringar om tjänstens tillgänglighet här: https://twitter.com/evernotestatus och http://status.evernote.com.
Vi säkerhetskopierar allt kundinnehåll minst en gång dagligen. Vi använder inte portabla eller flyttbara medier för säkerhetskopiering.
Vi driver Evernote-tjänsten med en kombination av molntjänster och fysiska datacenter.
På våra datacenter säkrar vi infrastrukturen i ett privat, låst utrymme som inkluderar övervakning 24x7x365. Åtkomst till dessa datacenter kräver minst tvåfaktorsautentisering, men kan inkludera biometri som en tredje faktor. Vart och ett av våra datacenter har genomgått en SOC-1 typ 2-revision, vilket visar deras förmåga att fysiskt säkra vår infrastruktur. Endast Evernotes driftspersonal och datacenterpersonal har fysisk åtkomst till infrastrukturen och vårt driftteam varnas varje gång någon får åtkomst till vårt utrymme och händelsen spelas in på video.
För våra molntjänster använder vi Google Cloud Platform. Google har genomgått flera certifieringar som vittnar om dess förmåga att fysiskt säkra Evernotes data. Du kan läsa mer om säkerheten på Google Cloud Platform här.
All Evernote-data finns i USA.
Se vårt sekretesscenter för mer information. Vi publicerar inte en Service Organization Control (SOC) rapport.
