Confie em nós para proteger e garantir a segurança dos seus dados
As maiores organizações do mundo confiam em nós para proteger e garantir a segurança de seus dados. Com nossa detecção de ameaças integrada com tecnologia de IA, princípios de Confiança Zero e integrações com os principais parceiros de segurança, você também pode confiar seus dados a nós.
Nossa plataforma de segurança de dados com tecnologia de IA ajuda você a fortalecer sua resiliência cibernética e desbloquear insights de seus dados.
A Cohesity mantém rigorosos padrões de segurança de produtos e inspeciona a adoção em todas as fases do ciclo de vida dos seus produtos. A Cohesity segue as melhores práticas do setor e, por meio dessas práticas de segurança, bem como da inclusão de recursos e funcionalidades de segurança, oferece produtos e serviços seguros e altamente funcionais aos seus clientes.
Seguro por concepção
A Cohesity segue princípios fundamentais de segurança, incluindo, entre outros: segurança por padrão, falha segura e implementações seguras de algoritmos criptográficos. Para garantir a postura de segurança, a conformidade e a certificação dos seus produtos à medida que novas funcionalidades são desenvolvidas, a Cohesity alinha o design dos produtos com as melhores práticas de segurança atuais.
Desenvolvimento seguro
As equipes de desenvolvimento da Cohesity colaboram com uma equipe dedicada à segurança de produtos durante as etapas de projeto e planejamento do ciclo de vida do desenvolvimento. A equipe de segurança de produtos da Cohesity faz recomendações para a adoção de padrões de design seguros, realiza modelagem de ameaças, define padrões de segurança aplicáveis e estabelece requisitos de segurança.
Modelagem de ameaças
A Cohesity adotou a estrutura STRIDE em suas práticas de projeto para atender aos objetivos de segurança no projeto e reduzir o risco, incluindo a identificação de ameaças, ataques, vulnerabilidades e contramedidas que poderiam afetar um aplicativo ou sistema. A Cohesity atualiza regularmente o modelo de ameaças ao produto com base em novos recursos e mudanças nas ameaças.
Identificação e definição de requisitos de segurança
As equipes de segurança de produtos, segurança da informação e gestão de produtos da Cohesity definem padrões de segurança aplicáveis e exigem requisitos de segurança em todo o portfólio de produtos e serviços da Cohesity.
Garantia de segurança
A plataforma e a infraestrutura da Cohesity são regularmente submetidas a testes de segurança e reforço para aumentar a segurança. O sistema operacional e os componentes são configurados especificamente para atender aos requisitos de reforço de segurança, incluindo os padrões de referência do Centro de Segurança da Internet (Center for Internet Security, CIS) e os padrões de configuração do Guia de Implementação Técnica de Segurança (Security Technical Implementation Guide, STIG) do Departamento de Defesa dos Estados Unidos.
Testes de segurança de aplicativos estáticos
A Cohesity realiza análises de código-fonte estático e binário para garantir a higiene de segurança no aplicativo.
Teste dinâmico de segurança de aplicativos
Os scanners dinâmicos de teste de segurança de aplicativos são integrados ao pipeline de desenvolvimento da Cohesity para verificar todas as filiais de desenvolvimento significativas. Quaisquer vulnerabilidades encontradas são mitigadas de acordo com a política de gerenciamento de vulnerabilidades.
Digitalização de segurança de software de código aberto
A Cohesity realiza varreduras regulares de códigos e binários desenvolvidos pela Cohesity e de terceiros em seus repositórios para identificar o uso de software de código aberto (open source software, OSS). Tanto as vulnerabilidades de segurança identificadas quanto o uso incorreto de OSS são corrigidos de acordo com as políticas da Cohesity.
Teste de penetração
A Cohesity realiza testes internos de penetração continuamente usando várias técnicas automatizadas integradas ao ciclo de liberação. A Cohesity também realiza testes regulares de penetração externos de terceiros. As vulnerabilidades encontradas nos testes de penetração são mitigadas de acordo com a política de gerenciamento de vulnerabilidades da Cohesity.
Cohesity REDLab
A Cohesity valida rigorosamente a resiliência de nossos produtos no mundo real usando malware ao vivo, explorações avançadas e técnicas de ataque modernas em um ambiente com isolamento físico projetado para permitir testes de ameaças enquanto protege a infraestrutura da Cohesity. Saiba mais sobre a Cohesity REDLab.
Gerenciamento de vulnerabilidade
A Cohesity realiza avaliações regulares de vulnerabilidade em seus produtos e ambientes de operações internas. A descoberta de vulnerabilidades é conduzida regularmente e os resultados são alimentados de volta no desenvolvimento e implantação para remediar riscos. A Cohesity corrige vulnerabilidades de acordo com sua política de gerenciamento de vulnerabilidades.
Validação da cadeia de suprimentos de software
Todos os componentes de terceiros integrados à base de código da Cohesity, incluindo (entre outros) pacotes de código aberto e comercialmente licenciados, código-fonte, binários, bibliotecas, bem como firmware OEM, são testados regularmente quanto a vulnerabilidades e outros riscos de segurança. As práticas de mitigação de risco e a correção de vulnerabilidades de terceiros seguem a política de gerenciamento de vulnerabilidades da Cohesity.
As ferramentas de infraestrutura de engenharia são mantidas atualizadas com as proteções de segurança configuradas. Verificações de segurança e opções para os compiladores e ligadores são aplicadas.
Ecossistema de aplicativos e segurança do mercado
A Cohesity emprega vários controles e práticas para garantir a integridade dos dados dos clientes e a segurança dos aplicativos no Cohesity Marketplace. Esses controles incluem:
- Antes da integração, todos os desenvolvedores e ISVs que buscam desenvolver aplicativos para o Cohesity Marketplace passam primeiro por uma análise pela Cohesity.
- A Cohesity qualifica todos os aplicativos antes de serem publicados no Cohesity Marketplace, incluindo verificação de design e vulnerabilidade.
- Todos os aplicativos do Marketplace destinados ao uso na plataforma Cohesity são assinados digitalmente pela Cohesity. A plataforma da Cohesity não executará aplicativos não assinados ou assinados incorretamente. A Cohesity não distribui aplicativos do Marketplace assinados digitalmente por meio de canais que não sejam seu Marketplace.
- O uso de aplicativos na plataforma da Cohesity é desativado por padrão. É necessária a aceitação explícita.
- Os aplicativos sempre são executados com vários graus de isolamento nos níveis de rede, armazenamento e microsserviços na plataforma da Cohesity.
- Diferentes aplicativos executados na plataforma da Cohesity não podem se comunicar ou interagir entre si por padrão.
- Os aplicativos são executados dentro da estrutura de controle de acesso baseado em função na plataforma da Cohesity.
Padrões e programas de segurança
A Cohesity está alinhada com as estruturas padrão do setor para gerenciamento de vulnerabilidades, gerenciamento seguro do ciclo de vida do desenvolvimento de produtos e resposta a incidentes.
Sistema de Pontuação de Vulnerabilidades e Exposições Comuns
A Cohesity classifica e prioriza vulnerabilidades confirmadas usando o Common Vulnerability Scoring System (CVSS) versão 3. A Cohesity atribuirá um identificador de Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures, CVE) a vulnerabilidades de segurança confirmadas.
Ciclo de vida de desenvolvimento de produto seguro multiprático
A Cohesity segue um ciclo de vida de desenvolvimento de produto seguro para fornecer e manter a segurança durante todo o ciclo de vida de cada produto. A Cohesity segue as seis práticas a seguir:
- Treinamento de segurança
- Segurança no design
- Modelo de ameaça
- Gerenciamento de vulnerabilidade
- Liberação segura de software
- Resposta de segurança do produto
Estrutura de Serviços de Resposta a Incidentes de Segurança
A Cohesity implementa um programa de resposta a incidentes de segurança projetado para detectar, responder e se recuperar de incidentes e eventos de segurança de forma rápida e eficaz. Os eventos de segurança são relatados ao escritório de Segurança da Informação, onde os problemas são rastreados e monitorados até serem resolvidos. As equipes de resposta de plantão gerenciam eventos de segurança e disponibilidade por meio de manuais e procedimentos de resposta testados regularmente.
Resposta a Incidentes com Produtos
A Cohesity emprega um plano de resposta a incidentes de produtos que apoia a análise, mitigação e remediação de vulnerabilidades em seus produtos. O plano também abrange a divulgação responsável de pesquisadores e clientes terceiros.
Treinamento de segurança
A Cohesity oferece aos seus desenvolvedores, arquitetos, gerentes de desenvolvimento, gerentes de lançamento, engenheiros de controle de qualidade e gerentes de produto treinamento e recursos de segurança para incorporar práticas de segurança em todo o ciclo de vida do desenvolvimento do produto. A Cohesity realiza treinamentos trimestrais sobre codificação segura, abrangendo as melhores práticas de segurança no desenvolvimento de produtos, que são obrigatórios para todos os engenheiros.
Padrões de divulgação responsável
A Cohesity segue as melhores práticas do setor para descobrir, investigar e resolver vulnerabilidades ao longo do ciclo de vida do produto, utilizando uma abordagem baseada no risco. A equipe dedicada à segurança de produtos da Cohesity investiga e responde prontamente a todas as denúncias de possíveis vulnerabilidades de segurança, e o plano de resposta a incidentes de produtos da Cohesity oferece suporte à análise, mitigação e correção de vulnerabilidades em seus produtos. O plano também abrange processos de divulgação responsável quando problemas são relatados por pesquisadores terceirizados, clientes ou parceiros.
Classificação e priorização de vulnerabilidades confirmadas
A Cohesity classifica e prioriza vulnerabilidades confirmadas usando o Common Vulnerability Scoring System (CVSS) versão 3 e mantém SLAs de resposta para cada classe de gravidade.
Resolução de vulnerabilidades de segurança
A remediação das vulnerabilidades identificadas pela Cohesity é resolvida em um prazo baseado em sua criticidade e impacto (de acordo com a política de gerenciamento de vulnerabilidades da Cohesity).
Identificação de vulnerabilidades confirmadas
A Cohesity atribuirá um identificador de Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures, CVE) a vulnerabilidades de segurança confirmadas.
Resolução de vulnerabilidades em versões de produtos compatíveis
As vulnerabilidades identificadas em todas as versões de produtos compatíveis serão resolvidas de acordo com a política de gerenciamento de vulnerabilidades da Cohesity.
Correções de vulnerabilidade cumulativas
No mínimo, as versões principais, secundárias e de suporte de longo prazo (long-term support, LTS) dos produtos da Cohesity incorporarão correções de vulnerabilidade cumulativas de versões anteriores.
Versões de manutenção aceleradas para vulnerabilidades críticas de alto impacto
A Cohesity pode periodicamente agilizar versões de manutenção ou patches de versões suportadas de seus produtos mais rapidamente do que o SLA estabelecido na política de gerenciamento de vulnerabilidades da Cohesity para vulnerabilidades críticas de alto impacto.
Notificar os clientes sobre vulnerabilidades
A Cohesity informará proativamente os clientes sobre vulnerabilidades por meio de alertas do Portal de suporte, e-mails e/ou Notificações de campo. Artigos da base de conhecimento são publicados para documentar o impacto de vulnerabilidades específicas e descrever quaisquer ações necessárias.
Relatórios de problemas
Clientes, parceiros e pesquisadores terceirizados podem relatar vulnerabilidades nos produtos e serviços da Cohesity entrando em contato com a equipe de segurança da Cohesity.
A Cohesity mantém padrões rigorosos de segurança, privacidade e resiliência para seus serviços em nuvem gerenciados pela Cohesity e ofertas de software como serviço (software as a service, SaaS). Saiba mais sobre as principais práticas que a Cohesity segue para manter a plataforma Helios, os serviços e os dados dos clientes seguros e disponíveis o tempo todo.
Administração do Helios
Os clientes podem administrar a plataforma Helios baseada em nuvem, que fornece gerenciamento centralizado e análises para produtos e serviços autogerenciados pelos clientes (serviço de gerenciamento Helios).
Dependendo do produto ou serviço Cohesity implantado, o uso do serviço de gerenciamento Helios será obrigatório ou opcional para o cliente.
Serviço de gerenciamento
O serviço de gerenciamento Helios, operado pela Cohesity, fornece aos clientes gerenciamento e análise centralizados de seus produtos autogerenciados da Cohesity e serviços de gerenciamento de dados gerenciados pela Cohesity. Não é obrigatório que os clientes registrem produtos autogerenciados com o serviço de gerenciamento Helios
Se os clientes optarem por se registrar, os produtos do cliente se comunicarão com o serviço de gerenciamento Helios para fornecer telemetria de produto necessária para fornecer serviço, bem como oferecer gerenciamento e análise centralizados baseados na nuvem. Para obter mais detalhes sobre o serviço de gerenciamento Helios, consulte o Resumo de segurança do Helios SaaS encontrado no portal de documentação da Cohesity.
Serviços de gerenciamento de dados
Os serviços de gerenciamento de dados gerenciados pela Cohesity são uma família de ofertas SaaS que permitem aos clientes armazenar, gerenciar e proteger seus dados na infraestrutura baseada em nuvem da Cohesity. Os clientes devem gerenciar esses serviços por meio do serviço de gerenciamento Helios. Os serviços de gerenciamento de dados da Cohesity estão disponíveis para os clientes por assinatura.
Conector SaaS
Como parte de alguns serviços de gerenciamento de dados da Cohesity, a Cohesity pode exigir que os clientes implantem o conector Helios SaaS. Este conector SaaS é uma VM no local implantada no data center do cliente e estabelece um canal seguro para conectar fontes de dados no local com os serviços de gerenciamento de dados da Cohesity.
Arquitetura de segurança e isolamento de locatários
Os ambientes de gerenciamento de dados Helios são segregados logicamente, com os serviços de gerenciamento e dados separados uns dos outros.
Os serviços Helios gerenciados pela Cohesity são nativamente multilocatários, em que cada locatário é implementado como uma organização única. As organizações são segregadas de forma lógica e os recursos da organização, tais como dados, políticas, administradores, etc., são restritos à organização à qual pertencem.
Repositórios de dados dedicados aos locatários garantem que os dados dos clientes fiquem isolados dos outros clientes.
Infraestrutura em nuvem
A Cohesity garante a segurança lógica ao implementar o controle de acesso com base nos princípios Confiança Zero para impedir o acesso não autorizado ou o comprometimento de sua infraestrutura em nuvem, incluindo o serviço de gerenciamento Helios e os serviços de gerenciamento de dados gerenciados pela Cohesity.
Autenticação do cliente e controle de acesso
O serviço de gerenciamento Helios oferece aos clientes um amplo conjunto de controles para gerenciar contas de usuário e seus acessos atribuídos, de acordo com padrões de segurança rigorosos e sua própria política de segurança. Em cada organização locatária, um usuário administrador gerencia os outros usuários dessa organização. Os administradores da organização podem adicionar e gerenciar usuários por meio de controles de acesso baseados em funções (role-based access controls, RBAC). A aplicação dos princípios do privilégio mínimo e da separação de funções pode ser alcançada com um controle refinado sobre funções padrão e personalizadas. Os administradores de locatários também podem integrar o serviço de gerenciamento Helios com provedores de identidade existentes. Isso permite que cada organização aplique seus controles de autenticação específicos para política de senha, autenticação multifatorial (multifactor authentication, MFA) e muito mais.
Autenticação do funcionário e controle de acesso
A Cohesity mantém uma abordagem altamente restritiva ao acesso interno aos serviços de gerenciamento Helios. O acesso é baseado em uma rigorosa necessidade de conhecimento relacionada à responsabilidade profissional pela gestão e manutenção do sistema. A Cohesity segue os princípios do privilégio mínimo e da separação de funções, além de aplicar controles internos de acesso e autorização. Antes que um usuário possa fazer login em uma função específica, ele deve atender aos critérios de qualificação estabelecidos e obter aprovação prévia por escrito da gerência em todos os casos. É necessário um ID de usuário exclusivo e autenticação multifatorial para todos os usuários da Cohesity.
Isolamento de dados
Para o serviço de gerenciamento Helios, os dados e metadados de cada locatário são segregados e isolados logicamente dos pertencentes a outros locatários. Para os serviços de gerenciamento de dados gerenciados pela Cohesity, repositórios de armazenamento exclusivos são alocados para cada locatário, garantindo que o conteúdo de um locatário nunca seja compartilhável ou acessível por outros locatários.
Resiliência e disponibilidade de dados
O serviço de gerenciamento Helios mantém uma taxa de disponibilidade de 99,9% (três 9s), sem incluir janelas de manutenção programadas ou de emergência. Os serviços de gerenciamento de dados da Helios contam com o serviço S3 da Amazon Web Services (AWS) em regiões definidas pelo cliente, abrangendo no mínimo três zonas de disponibilidade, cada uma separada por muitos quilômetros dentro da mesma região da AWS. O serviço AWS S3 garante 99,999999999% (onze 9s) de durabilidade dos dados. Em caso de desastre, o serviço de gerenciamento Helios pode recriar os dados armazenados no serviço de gerenciamento de dados usando apenas os dados armazenados no S3.
Criptografia de dados
Todos os dados dos clientes, tanto os metadados no serviço de gerenciamento Helios quanto os dados nos próprios serviços de gerenciamento de dados, são criptografados em repouso e em trânsito usando algoritmos e protocolos de criptografia robustos e padrão do setor.
Em trânsito
Todos os dados do cliente que fluem de e para o serviço de gerenciamento Helios e serviços de gerenciamento de dados são criptografados em trânsito para garantir a máxima confidencialidade, bem como evitar divulgação ou modificação não autorizada. A Cohesity utiliza os protocolos TLS 1.2 e mTLS para a segurança da camada de transporte com apenas suítes de cifras aprovadas pela FIPS com proteção Perfect Forward Secrecy (PFS).
Em repouso
Todos os dados de clientes no serviço de gerenciamento Helios e serviços de gerenciamento de dados são criptografados em repouso usando criptografia AES-256. Todas as chaves de criptografia são armazenadas com segurança em um sistema externo de gerenciamento de chaves (KMS). Além disso, os clientes que usam um serviço de gerenciamento de dados gerenciado pela Cohesity têm várias opções para gerenciar com segurança suas chaves de criptografia, seja confiando no Serviço de gerenciamento de chaves (Key Management Service, KMS) gerenciado pela Cohesity ou gerenciando suas próprias chaves por meio do Amazon Web Services KMS.
Defesas contra ataques de infraestrutura
A Cohesity possui várias medidas em vigor para lidar com ataques distribuídos de negação de serviço (distributed denial of service, DDOS), invasões e ataques de malware. Essas salvaguardas estão integradas à infraestrutura de monitoramento que implementamos para gerenciar o ambiente Helios. A Cohesity usa firewalls para monitorar conexões constantemente e detectar anomalias. À medida que anomalias são detectadas, a Cohesity bloqueia e avalia a conexão com o ambiente do plano de controle Helios. Os servidores, contêineres e infraestrutura dentro do ambiente do plano de controle Helios são monitorados quanto a vulnerabilidades, com correções ocorrendo regularmente.
Segurança do data center
O serviço de gerenciamento Helios e os serviços de gerenciamento de dados da Cohesity são hospedados na Amazon Web Services (AWS). Para obter mais informações sobre os controles de segurança do data center da AWS, acesse https://aws.amazon.com/compliance/data-center/controls/.
Continuidade dos negócios e recuperação de desastres
A Cohesity mantém um plano de continuidade de negócios que abrange as operações comerciais e a resposta à recuperação de desastres. Avaliamos regularmente os riscos para o negócio e aplicamos planos de tratamento adequados para manter os riscos dentro de níveis aceitáveis. O plano identifica processos críticos de negócios, documenta ameaças que podem causar interrupções nos negócios e aborda a recuperação da conectividade e dos sistemas de suporte para garantir que as obrigações da Cohesity para com seus clientes possam ser cumpridas.
Gerenciamento de vulnerabilidade
A Cohesity possui um programa de gerenciamento de ameaças e vulnerabilidades para monitorar continuamente as vulnerabilidades reconhecidas pelos fornecedores, relatadas por pesquisadores ou descobertas internamente por meio de varreduras de vulnerabilidades, testes de penetração ou identificação pelo pessoal da Cohesity. As ameaças são classificadas com base no nível de gravidade e atribuídas para correção, conforme necessário.
Monitoramento e alerta
A Helios implementa monitoramento contínuo tanto para a segurança quanto para a disponibilidade do serviço.
O monitoramento é uma função de todos os serviços, com indicadores-chave de desempenho e métricas incorporados desde o início. Os painéis e as métricas são monitorados pelas equipes de monitoramento e resposta. Os alertas são projetados no processo de desenvolvimento. Os alertas são analisados pela equipe de operações em nuvem e pelas equipes de desenvolvimento para garantir que os limites sejam definidos e monitorados durante a implantação na produção.
As práticas de segurança corporativa da Cohesity demonstram nosso compromisso em garantir a segurança, a proteção e a conformidade dos ativos da Cohesity e dos clientes. A Cohesity leva muito a sério a segurança das informações de nossos clientes, e a execução dos controles descritos aqui demonstra como estabelecemos confiança com nossos clientes, parceiros e outros.
Organização de segurança da informação
Liderada pelo CISO da Cohesity e supervisionada pelo Conselho de Segurança da Cohesity, a Segurança da Informação da Cohesity é uma equipe dedicada de profissionais com a missão de garantir a segurança, a proteção e a conformidade dos sistemas, processos, dados e pessoal da Cohesity, bem como dos ativos que nos são confiados pelos nossos clientes.
Políticas de segurança da informação
O conjunto de políticas de segurança da informação da Cohesity abrange a organização, seu pessoal e seus ativos de informação. As políticas estão alinhadas com os padrões do setor e incluem áreas como organização da segurança, uso aceitável de ativos, controles de acesso e classificação e tratamento de informações. As políticas são revisadas regularmente pela Segurança da Informação da Cohesity e atualizadas conforme necessário.
Treinamento de conscientização de segurança
A Segurança da Informação da Cohesity é responsável por estabelecer os requisitos de treinamento em segurança da informação e garantir que todos os funcionários concluam o treinamento e compreendam suas responsabilidades. O treinamento em segurança da informação faz parte da nossa experiência de integração de novos funcionários, e é necessário realizar uma reciclagem anual. O treinamento é complementado com apresentações regulares, comunicações e sessões de aprendizagem sobre temas específicos. Quando apropriado, as unidades de negócios receberão treinamento especializado para suas funções e responsabilidades profissionais, como os membros da equipe de engenharia, que recebem treinamento regular sobre princípios de segurança e práticas de desenvolvimento seguro.
Gestão de riscos cibernéticos
A Cohesity utiliza um Programa de Gestão de Riscos Cibernéticos para identificar, priorizar e gerenciar riscos aos seus ativos de TI, incluindo infraestrutura de sistemas, redes, terminais, dados e propriedade intelectual. Por meio de seu Programa de Gestão de Riscos Cibernéticos, a Cohesity identifica riscos cibernéticos internos e externos, a probabilidade de sua ocorrência e seu impacto potencial. A Cohesity colabora com os responsáveis pelo risco para mitigar e remediar riscos, de acordo com a apetência pelo risco da Cohesity.
Gestão de riscos de fornecedores
O Programa de Gestão de Risco de Fornecedores da Cohesity analisa e valida a postura de segurança de seus fornecedores terceirizados antes da integração e realiza avaliações de acompanhamento de acordo com o nível estabelecido para o fornecedor. A Cohesity gerencia e monitora os riscos de segurança dos fornecedores por meio de seu programa de gerenciamento de riscos, em conformidade com a postura de segurança da Cohesity, os compromissos com os clientes e os requisitos regulatórios aplicáveis.
Inteligência de ameaças e gerenciamento de vulnerabilidades
A Segurança da Informação da Cohesity mantém um Programa de Gestão de Vulnerabilidades que identifica e estabelece parcerias com os responsáveis pelo controle para corrigir vulnerabilidades, a fim de ajudar a reduzir as ameaças aos produtos e à infraestrutura da Cohesity. Além disso, testes de penetração são realizados nos ativos aplicáveis da Cohesity, e a correção é priorizada para otimizar a postura de segurança da Cohesity.
Resposta a incidentes
A Segurança da Informação da Cohesity mantém uma Política de Gestão de Incidentes com procedimentos que fornecem a estrutura e as orientações para nossas operações de resposta. Os procedimentos de resposta a incidentes desta política fornecem as etapas a serem seguidas pelo pessoal da Cohesity para garantir a rápida detecção de eventos e vulnerabilidades de segurança, bem como para promover uma resposta rápida a incidentes de segurança, incluindo a identificação, avaliação, contenção, mitigação e recuperação de incidentes.
Segurança de pessoal
Após a contratação, são realizadas verificações de antecedentes. Os funcionários também recebem e reconhecem o Código de Conduta, as políticas e os acordos de confidencialidade da empresa.
Segurança física
Os escritórios da Cohesity são protegidos fisicamente por guardas ou funcionários na recepção. Os controles de acesso por crachá são gerenciados e mantidos centralmente. O acesso a áreas seguras requer privilégios elevados. Os sistemas de câmeras estão instalados. Todas as instalações têm entrada fechada e vigiada 24 horas por dia, 7 dias por semana, 365 dias por ano, utilizam sistemas de câmaras e iluminação e exigem acesso com crachá para indivíduos identificados. A Cohesity possui certificação SOC 2, que pode ser fornecida mediante solicitação.
A Cohesity segue diretrizes de confidencialidade de dados pessoais e processa dados pessoais de acordo com as leis e regulamentos de proteção de dados aplicáveis. Todos os dados pessoais permanecem propriedade do cliente. Informações sobre a conformidade e certificações de segurança da Cohesity podem ser encontradas aqui. Além disso, nosso Adendo sobre Processamento de Dados (disponível em www.cohesity.com/agreements) especifica várias proteções legais, técnicas e organizacionais que se aplicam aos nossos clientes, quando aplicável.
Política de privacidade
Nossa política de privacidade está disponível em www.cohesity.com/agreements.
Locais de processamento
A Cohesity pode processar dados pessoais fora do Espaço Econômico Europeu (EEE). Um exemplo desse processamento pode ser a prestação de serviços de suporte 24 horas por dia, 7 dias por semana, se o cliente optar por compartilhar dados pessoais com a Cohesity. Os mecanismos legais utilizados para permitir essas transferências de dados são as cláusulas contratuais padrão (standard contractual clauses, SCC), conforme detalhado no Adendo de Processamento de Dados da Cohesity, disponível em www.cohesity.com/agreements.
Locais de suporte
A Cohesity possui atualmente centros de suporte nos EUA, Irlanda, Índia, Canadá e Japão.
Transferência de dados transfronteiriça
As transferências transfronteiriças de dados são abordadas em detalhes em nosso Adendo sobre Processamento de Dados, disponível em www.cohesity.com/agreements.
Conformidade com regulamentos internacionais
A Cohesity processa dados pessoais de acordo com todas as leis e regulamentos aplicáveis em matéria de proteção de dados, incluindo as leis e regulamentos da União Europeia (RGPD), do Espaço Econômico Europeu e dos seus Estados-Membros, da Suíça e do Reino Unido, da Lei de Privacidade do Consumidor da Califórnia (CCPA) e da Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (Canadá), em cada caso, na medida em que sejam aplicáveis à Cohesity por força da lei no que diz respeito ao processamento de dados pessoais. Mais informações podem ser encontradas em nosso Adendo de Processamento de Dados, disponível em www.cohesity.com/agreements.
GDPR
De acordo com as leis e regulamentos de proteção de dados aplicáveis, como o GDPR, quando um cliente usa os produtos e serviços da Cohesity e compartilha dados pessoais com a Cohesity, o cliente é geralmente considerado o controlador de dados e nomeia a Cohesity para atuar como processador de dados.
CCPA
A conformidade com a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) é abordada em detalhes em nosso Adendo de Processamento de Dados, disponível em www.cohesity.com/agreements.
Contrato de processamento de dados
O Adendo de Processamento de Dados da Cohesity está disponível em www.cohesity.com/agreements. Aplica-se automaticamente a todos os clientes que utilizam o Helios SaaS e está incorporado nos Termos de Serviço do Helios SaaS da Cohesity (também disponíveis em www.cohesity.com/agreements). Se um cliente acreditar que o Adendo sobre Processamento de Dados deve se aplicar a outras atividades, entre em contato com o Departamento Jurídico da Cohesity.
A Cohesity mantém um programa abrangente de certificação de segurança projetado para proteger a confidencialidade, integridade e disponibilidade dos dados de nossos clientes, de acordo com os padrões da indústria, do governo dos Estados Unidos e internacionais. Os produtos e serviços da Cohesity também foram certificados por auditores independentes para atender a vários padrões de segurança. Acesse o Centro de Segurança e Devida Diligência da Cohesity aqui.
Relatório SOC 2 Tipo II
A plataforma Cohesity Helios SaaS é submetida a auditorias anuais de Controles da Organização de Serviços 2 (Service Organization Controls 2, SOC 2) Tipo II para avaliar seus controles de sistema de segurança da informação no que se refere à segurança, disponibilidade e confidencialidade dos Critérios de Serviços de Confiança.
ISO27001
O sistema de gestão de segurança da informação (information security management system, ISMS) que dá suporte aos serviços em nuvem da Cohesity possui a certificação ISO/IEC 27001:2022.
HIPAA
Os produtos e serviços da Cohesity seguem os padrões e requisitos de segurança alinhados com as diretrizes da Lei de Portabilidade e Responsabilidade do Seguro Saúde (Health Insurance Portability and Accountability Act, HIPAA).
Conformidade com a Lei de Acordos Comerciais
A Cohesity cumpre a Lei de Acordos Comerciais (Trade Agreements Act, TAA) e os envios de hardware de San Jose, Califórnia. Os sistemas de marca branca da Cohesity são fabricados e montados em países designados que estão em conformidade com a TAA.
Lei Nacional de Autorização de Defesa de 2019
A Cohesity está em conformidade com a Seção 889 da Lei de Autorização de Defesa Nacional de 2019.
Lista de Produtos Aprovados pela Rede de Informações do Departamento de Defesa dos EUA
A plataforma Cohesity foi certificada pela Agência de Sistemas de Informação de Defesa (Defense Information Systems Agency, DISA), uma agência do Departamento de Defesa dos Estados Unidos (Department of Defense, DoD), para inclusão na Lista de Produtos Aprovados (Approved Products List, APL) da Rede de Informação do DoD (DoD Information Network, DoDIN). A DoDIN APL é uma lista única e consolidada de produtos que cumprem rigorosos requisitos de certificação de segurança cibernética e interoperabilidade para implantação em redes do Departamento de Defesa dos Estados Unidos.
FedRAMP
O FedRAMP é um programa governamental que promove a adoção de serviços em nuvem seguros em todo o governo federal, fornecendo uma abordagem padronizada para avaliação de segurança e risco para tecnologias em nuvem e agências federais.
A Cohesity possui certificaçãoFedRAMP Moderate.
GovRAMP
A GovRAMP é uma organização sem fins lucrativos registrada como 501(c)(6), composta por prestadores de serviços que oferecem soluções IaaS, PaaS e/ou SaaS, organizações de avaliação terceirizadas e funcionários públicos. Fundada em 2020, a StateRAMP (dba GovRAMP) surgiu da clara necessidade de uma abordagem padronizada para os padrões de segurança cibernética exigidos dos prestadores de serviços que oferecem soluções para governos estaduais e locais.
A Cohesity é autorizada pela GovRAMP.
Autorização para operar
A Cohesity mantém ATOs para que seus produtos operem em redes altamente confidenciais do Departamento de Defesa dos Estados Unidos (Department of Defense, DoD), do Departamento de Energia dos Estados Unidos (Department of Energy, DoE) e da comunidade de inteligência dos Estados Unidos. Guias de Informações Técnicas de Segurança (Security Technical Information Guides, STIG) estão disponíveis para produtos Cohesity para implantação em redes ultrassecretas do Departamento de Defesa dos Estados Unidos.
Critérios Comuns EAL2+
A plataforma Cohesity possui certificação Common Criteria EAL2+ ALC_FLR.1. Os Critérios Comuns para Avaliação da Segurança das Tecnologias da Informação (referidos como Critérios Comuns) são uma norma internacional (ISO/IEC 15408) para certificação de segurança informática.
Mais detalhes podem ser encontrados aqui.
Validação do módulo criptográfico NIST FIPS 140-2
O módulo criptográfico utilizado nos produtos da Cohesity foi validado pelo Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology, NIST) dos Estados Unidos, de acordo com as Normas Federais de Processamento de Informações (Federal Information Processing Standards, FIPS) 140-2 Nível 1. A FIPS 140-2 é uma norma do governo dos EUA para módulos criptográficos que garante que o design do módulo e a implementação de algoritmos criptográficos sejam seguros e corretos.
Mais detalhes podem ser encontrados aqui.
IPv6
A plataforma da Cohesity foi certificada pelo Laboratório de Interoperabilidade da Universidade de New Hampshire (UNH-IOL) como compatível com USGv6, como parte do programa de testes USGv6.
Mais detalhes podem ser encontrados em https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity.
SEC 17a‐4(f), Regra FINRA 4511(c) e Regulamento CFTC 1.31(c)-(d)
A plataforma Cohesity tem suporte integrado para funcionalidade de gravação única, leitura múltipla (write-once, read-many, WORM). Sua implementação WORM foi avaliada como estando em conformidade com as regras SEC 17a-4(f), FINRA Rule 4511(c) e CFTC Regulation 1.31(c)-(d) pela Cohasset Associates.
Mais detalhes podem ser encontrados aqui.
Os recursos a seguir fornecem aos clientes e parceiros da Cohesity mais detalhes sobre as práticas de segurança e privacidade da Cohesity em seus produtos e serviços.
Adendo de proteção de dados
A Cohesity oferece um Adendo de Processamento de Dados (Data Processing Addendum, DPA) para as necessidades de conformidade com o GDPR ou a CCPA do cliente.
Lista de subprocessadores
A Cohesity pode usar terceiros como (sub)processadores de dados pessoais para fornecer nossos serviços.
Documentação de produtos e serviços
O portal de documentação da Cohesity pode ser acessado em MyCohesity.
Resumo de segurança do Helios SaaS
O Resumo de segurança do Helios SaaS pode ser encontrado no portal de documentação da Cohesity.
Artigo técnico de segurança do DataPlatform
O white paper sobre segurança do DataPlatform pode ser encontrado no portal de documentação da Cohesity.
Guia de proteção de segurança do DataPlatform
O Guia de Fortalecimento da Segurança do DataPlatform pode ser encontrado no portal de documentação da Cohesity.
Proteção contra Ransomware Cohesity – Preparar e Recuperar
O white paper Proteção contra ransomware da Cohesity – Prepare-se e recupere-se pode ser encontrado no portal de documentação da Cohesity.
Guia de segurança
Informações de segurança para nós hiperconvergentes Cohesity.