Quais são as políticas e infra-estrutura de segurança cibernética da Tulip?

Objetivo

Saiba mais sobre as políticas gerais de segurança da Tulip.

A segurança é fundamental para o software, operações, infra-estrutura e processos da Tulip. Utilizamos as melhores práticas padrão industrial para segurança, criptografia e gerenciamento de ameaças.

Infra-estrutura

A nuvem da Tulip roda na Amazon Web Services, que fornece a melhor segurança de data center e infraestrutura da categoria. Os servidores da Tulip estão em uma nuvem privada AWS Virtual, protegida por firewalls do Security Group. O acesso administrativo é protegido tanto pelo login com chave SSH quanto pela lista branca de IP. Todas as contas da Tulip AWS e outras contas em nuvem são protegidas por senha forte e autenticação multi-fator. Os centros de dados da Amazon atendem a inúmeros requisitos de conformidade, incluindo ISO 27001, SOC, PCI, e FedRAMP.

Criptografia

Todos os dados enviados de e para a Tulip pela Internet pública são criptografados em trânsito via TLS usando as mais fortes suítes de cifras recomendadas. A configuração TLS da Tulip recebeu um grau A+ dos SSLLabs da Qualsys. Todos os dados armazenados pela Tulip, incluindo aplicativos, dados analíticos e ativos carregados, são criptografados em repouso usando AES de 256 bits.

Armazenamento de dados

Os dados são armazenados pela Tulip nos serviços S3 e RDS da AWS, bem como no serviço MongoDB Inc. da MongoDB Atlas. A Tulip emprega um processo formal de revisão de fornecedores terceirizados que lidam com dados de clientes, para garantir que eles atendam ou excedam os padrões de segurança de dados da Tulip.

Aplicação

A Tulip segue todas as melhores práticas de aplicação web, incluindo as recomendadas pela OWASP. A Tulip usa HSTS para garantir a criptografia em trânsito, modelos DOM e CSP para evitar XSS, X-Frame-Options para evitar clickjacking, e localStorage em vez de cookies para evitar ataques CSRF. A aplicação da LCA do lado do servidor é feita através da revisão do código, assim como ferramentas de análise estática de prateleira e personalizadas. As senhas são aceleradas usando o SHA-256 do lado do cliente e, em seguida, são recalculadas usando o bcrypt do lado do servidor.

Processo

Todos os códigos de produção são revisados por vários engenheiros. A Tulip é submetida regularmente a testes de penetração por empresas de segurança terceirizadas. A Tulip realiza revisões regulares de segurança interna e emprega um processo de desenvolvimento de software documentado.

Modelo de Segurança Compartilhada

A Tulip emprega um modelo de segurança compartilhado para estabelecer responsabilidade entre a Tulip, nossos clientes e nossos fornecedores terceirizados.

{altura=""" largura=""}

Leitura adicional

Veja nossa Política de Segurança de TI