Pengguna Evernote mempercayai kami dengan nota, projek dan idea mereka. Kepercayaan ini adalah disebabkan kami menyimpan data tersebut secara peribadi dan selamat. Maklumat pada halaman ini bertujuan untuk menyediakan ketelusan tentang cara kami melindungi data tersebut. Kami akan terus meluaskan dan mengemas kini maklumat ini sambil kami menambah kebolehan keselamatan baharu dan membuat peningkatan keselamatan pada produk kami.
Keselamatan ialah pasukan yang khusus dalam Evernote. Piagam pasukan keselamatan kami melindungi data yang anda simpan dalam perkhidmatan kami. Kami memacu program keselamatan yang merangkumi bidang tumpuan berikut: keselamatan produk, kawalan infrastruktur (fizikal dan logik), dasar, kesedaran pekerja, pengesanan pencerobohan dan aktiviti penilaian.
Pasukan keselamatan menjalankan program Tindak Balas Insiden (“IR”) dalaman dan menyediakan panduan kepada pekerja Evernote tentang cara melaporkan aktiviti yang mencurigakan. Pasukan IR kami mempunyai prosedur dan alat untuk bertindak balas terhadap isu keselamatan dan sentiasa menilai teknologi baharu untuk meningkatkan keupayaan kami bagi mengesan serangan terhadap infrastruktur, perkhidmatan dan pekerja kami.
Kami menilai infrastruktur dan aplikasi kami secara berkala untuk kelemahan dan memperbaiki kelemahan yang boleh memberi kesan kepada keselamatan data pelanggan. Pasukan keselamatan kami sentiasa menilai alat baharu untuk meningkatkan liputan dan kedalaman penilaian ini.
Evernote mentakrifkan sempadan rangkaiannya menggunakan gabungan pengimbang beban, tembok api dan VPN. Kami menggunakan gabungan ini untuk mengawal perkhidmatan yang kami dedahkan kepada Internet dan untuk membahagikan rangkaian pengeluaran kami daripada infrastruktur pengkomputeran kami yang lain. Kami mengehadkan orang yang mempunyai akses kepada infrastruktur pengeluaran kami berdasarkan keperluan perniagaan dan mengesahkan akses tersebut dengan ketat.
Evernote tidak pernah menyimpan kata laluan anda dalam bentuk teks biasa. Apabila kami perlu untuk menyimpan kata laluan akaun anda dengan selamat bagi mengesahkan anda, kami menggunakan PBKDF2 (Fungsi Terbitan Kunci Berasaskan Kata Laluan 2) dengan garam unik untuk setiap kelayakan. Kami memilih bilangan lelaran pencincangan dengan cara yang memberi keseimbangan antara pengalaman pengguna dan kerumitan peretasan kata laluan.
Walaupun kami tidak memerlukan anda menetapkan kata laluan yang rumit, meter kekuatan kata laluan kami akan menggalakkan anda untuk memilih kata laluan yang kukuh. Kami mengehadkan percubaan log masuk yang gagal pada asas setiap akaun dan setiap alamat IP untuk memperlahankan serangan meneka kata laluan.
Evernote menawarkan pengesahan dua langkah (“2SV”), juga dikenali sebagai dua faktor atau pengesahan berbilang faktor, untuk semua akaun. Mekanisme 2SV kami adalah berdasarkan algoritma kata laluan satu masa yang berasaskan masa (TOTP). Semua pengguna boleh menjana kod secara setempat menggunakan aplikasi pada peranti mudah alih mereka atau boleh memilih untuk menghantar kod sebagai mesej teks.
Evernote memberi anda cara untuk membuat nota dalam akaun anda dengan menghantar e-mel ke alamat e-mel Evernote yang unik. Untuk melindungi anda daripada kandungan hasad, kami mengimbas semua e-mel yang kami terima menggunakan enjin pengimbasan antivirus komersial.
Apabila anda menerima e-mel daripada Evernote, kami mahu anda yakin bahawa ia benar-benar datang daripada kami. Kami menerbitkan penguatkuasaan dasar DMARC untuk meningkatkan keyakinan anda bahawa e-mel yang anda terima daripada Evernote adalah sah. Setiap e-mel yang kami hantar daripada domain berikut akan ditandatangani secara kriptografi menggunakan DKIM dan berasal daripada alamat IP yang kami terbitkan dalam rekod SPF kami.
Evernote:
Menjamin perkhidmatan web kami yang menggunakan Internet adalah amat penting untuk melindungi data anda. Pasukan keselamatan kami memacu program keselamatan aplikasi untuk meningkatkan kebersihan keselamatan kod dan menilai perkhidmatan kami secara berkala untuk isu keselamatan aplikasi biasa termasuk: CSRF, serangan suntikan (XSS, SQLi), pengurusan sesi, pengalihan URL dan clickjacking.
Perkhidmatan web kami mengesahkan semua aplikasi pelanggan pihak ketiga menggunakan OAuth. OAuth menyediakan cara yang lancar untuk anda menyambungkan aplikasi pihak ketiga ke akaun anda tanpa perlu memberikan kelayakan log masuk anda kepada aplikasi. Sebaik sahaja anda berjaya disahkan ke Evernote, kami mengembalikan token pengesahan kepada pelanggan untuk mengesahkan akses anda dari masa tersebut ke masa yang akan datang. Ini memadamkan keperluan untuk aplikasi pihak ketiga menyimpan nama pengguna dan kata laluan anda pada peranti anda.
Setiap aplikasi pelanggan yang bercakap dengan perkhidmatan kami menggunakan API jimat yang jelas untuk semua tindakan. Dengan pembrokeran semua komunikasi melalui API ini, kami dapat mewujudkan semakan pengesahan sebagai binaan asas dalam seni bina aplikasi. Tiada akses objek langsung dalam perkhidmatan dan token pengesahan setiap pelanggan disemak pada setiap akses kepada perkhidmatan untuk memastikan pelanggan disahkan dan diberi kuasa untuk mengakses nota atau buku nota tertentu. Sila lihat dev.evernote.com untuk mendapatkan maklumat lanjut.
Perkhidmatan Evernote adalah berbilang penyewa dan tidak membahagikan data anda daripada data pengguna lain. Data anda mungkin hidup pada pelayan yang sama dengan data pengguna lain. Kami menganggap data anda peribadi dan tidak membenarkan pengguna lain mengaksesnya melainkan anda mengongsinya secara jelas.
Evernote mengekalkan kandungan anda melainkan anda mengambil langkah yang jelas untuk memadamkan nota dan/atau buku nota. Untuk mendapatkan maklumat tentang cara memadamkan nota, sila lihat artikel pusat bantuan ini. Untuk mendapatkan maklumat tentang dasar pengekalan kami, sila rujuk bahagian dasar privasi kami, bertajuk “Pemadaman Maklumat”.
Kami memadam atau memusnahkan semua media storan dengan selamat jika ia pernah digunakan untuk menyimpan data pengguna. Untuk berbuat sedemikian, kami mengikuti panduan NIST dalam penerbitan khas 800-88. Untuk contoh cara kami memusnahkan cakera keras yang rosak dengan selamat, sila lihat artikel blog ini.
Kami menggunakan pelbagai pilihan storan dalam Platform Awan Google (“GCP”), termasuk cakera setempat, cakera berterusan dan baldi Storan Awan Google. Kami memanfaatkan proses pemadaman kriptografi Google untuk memastikan storan penggunaan semula tidak menyebabkan pendedahan data peribadi pelanggan.
Perkhidmatan Evernote melaksanakan pengelogan sisi pelayan bagi interaksi pelanggan dengan perkhidmatan kami. Ini termasuk pengelogan akses pelayan web, serta pengelogan aktiviti untuk tindakan yang diambil melalui API kami. Kami juga mengumpul data acara daripada aplikasi pelanggan kami. Anda boleh melihat masa akses dan alamat IP terkini untuk setiap aplikasi yang disambungkan ke akaun anda dalam bahagian Sejarah Akses pada Tetapan Akaun anda.
Evernote menggunakan penyulitan standard industri untuk melindungi data anda dalam transit. Ini biasanya dirujuk sebagai teknologi keselamatan lapisan pengangkutan (“TLS”) atau lapisan soket selamat (“SSL”). Selain itu, kami menyokong Keselamatan Pengangkutan Ketat HTTP (“HSTS”) untuk perkhidmatan Evernote (www.evernote.com). Kami menyokong gabungan cipher suites dan protokol TLS untuk menyediakan keseimbangan penyulitan yang kukuh untuk pelayar dan pelanggan yang menyokongnya dan keserasian mundur untuk pelanggan lama yang memerlukannya. Kami merancang untuk terus meningkatkan postur keselamatan pengangkutan kami bagi menyokong komitmen kami untuk melindungi data anda.
Kami menyokong STARTTLS untuk e-mel masuk dan keluar. Jika pembekal perkhidmatan mel anda menyokong TLS, e-mel anda akan disulitkan dalam transit, ke dan daripada perkhidmatan Evernote.
Kami melindungi semua data pelanggan yang mengalir antara pusat data kami dan Platform Awan Google menggunakan IPSEC dengan penyulitan GCM-AES-128 atau TLS.
Pada penghujung tahun 2016, kami mula memindahkan perkhidmatan Evernote ke Platform Awan Google (“GCP”). Data pelanggan yang kami simpan dalam GCP akan dilindungi menggunakan ciri penyulitan rehat terbina dalam Google. Secara lebih teknikal, kami menggunakan ciri penyulitan sebelah pelayan Google dengan kekunci penyulitan yang diuruskan oleh Google untuk menyulitkan semua data dalam keadaan senyap menggunakan AES-256, secara telus dan automatik. Anda boleh mendapatkan maklumat tambahan tentang cara penyulitan rehat melindungi data anda di sini.
Kami mengendalikan seni bina toleransi kesalahan untuk memastikan Evernote ada apabila anda memerlukannya.
Dalam pusat data fizikal dan infrastruktur awan kami, ini termasuk:
Google dan vendor kolokasi kami menyediakan perkhidmatan kemudahan toleransi kesalahan termasuk: kuasa, HVAC dan pemadaman api.
Kami menyediakan kemas kini status secara langsung dan bersejarah tentang ketersediaan perkhidmatan kami di sini: https://twitter.com/evernotestatus dan http://status.evernote.com.
Kami menyandarkan semua kandungan pelanggan sekurang-kurangnya sekali setiap hari. Kami tidak menggunakan media mudah alih atau boleh tanggal untuk sandaran.
Kami mengendalikan perkhidmatan Evernote menggunakan gabungan perkhidmatan awan dan pusat data fizikal.
Untuk pusat data kami, kami melindungi infrastruktur kami dalam sangkar peribadi yang terkunci yang merangkumi pemantauan 24x7x365. Akses kepada pusat data ini memerlukan sekurang-kurangnya dua faktor pengesahan, tetapi mungkin termasuk biometrik sebagai faktor ketiga. Setiap pusat data kami telah menjalani audit SOC-1 Jenis 2, membuktikan keupayaannya untuk melindungi infrastruktur kami secara fizikal. Hanya kakitangan operasi Evernote dan kakitangan pusat data yang mempunyai akses fizikal ke infrastruktur ini dan pasukan pengendalian kami dimaklumkan setiap kali seseorang mengakses sangkar kami, termasuk rekod video peristiwa tersebut.
Untuk perkhidmatan awan kami, kami menggunakan Platform Awan Google. Google telah menjalani berbilang pensijilan yang membuktikan keupayaannya untuk melindungi data Evernote secara fizikal. Anda boleh membaca lebih lanjut tentang keselamatan Platform Awan Google di sini.
Semua data Evernote disimpan di Amerika Syarikat.
Sila lihat pusat privasi kami untuk maklumat lanjut. Kami tidak menyiarkan laporan Kawalan Organisasi Perkhidmatan (“SOC”).
