Ir para conteúdo principal

Segurança e privacidade de dados do Mailchimp

Segurança

Baixar página

A Mailchimp considera a segurança de dados e a privacidade uma prioridade, e reconhecemos que nossas medidas de segurança e práticas são importantes para você. Embora não possamos fornecer muitos detalhes sobre nossas práticas (pois isso pode fortalecer exatamente as pessoas que representam ameaças para nós), podemos oferecer informações gerais para que você tenha confiança na maneira como garantimos a segurança dos dados que você nos confia.


Segurança da central de dados

  • O Mailchimp entrega bilhões de e-mails por mês a milhões de usuários. Utilizamos vários agentes de transferência por e-mail (MTAs), implementados em diferentes centros de dados de alto nível nos Estados Unidos.
  • Nossos centros de dados fazem uso de scanners biométricos e empregam as melhores ferramentas de alta tecnologia disponíveis, em tempo integral, para garantir a segurança física dos dados.
  • Empregamos a mitigação de DDoS em todas as nossas centrais de dados.
  • Temos um plano de continuidade de infraestrutura documentado "para o caso de ataque nuclear em uma central de dados".


Proteção contra perda de dados e corrupção

  • As contas de usuário são isoladas umas das outras por meio de várias camadas de lógica, que evitam corrupção e interseção
  • A infraestrutura tecnológica da Mailchimp inclui dispositivos de rede, como firewalls, e ferramentas IDS/IPS que são estrategicamente posicionadas para controlar e monitorar o tráfego de rede em busca de perda de dados e corrupção
  • Os dados da conta são espelhados para que uma cópia de segurança seja salva regularmente em outro local.


Segurança em nível de aplicativo

  • As senhas das contas do Mailchimp são criptografadas. Nem nossa própria equipe consegue vê-las. Se você perder sua senha, ela não poderá ser recuperada, será necessário redefini-la.
  • Todas as páginas de login (do site e dispositivos móveis) transmitem dados via TLS 1.2 ou superior.
  • O aplicativo inteiro do Mailchimp é criptografado com TLS 1.2 ou superior.
  • As páginas de login e os logins feito através da API do Mailchimp têm proteção contra ataques de força bruta.
  • Oferecemos a capacidade de ativar notificações por e-mail ou SMS sobre atividades importantes.
  • Oferecemos a capacidade de ativar a autenticação de dois fatores (2FA) para sua conta Mailchimp.
  • Realizamos testes regulares de segurança interna e externa ao longo do ano, utilizando diversos fornecedores. Os testes envolvem testes de penetração de alto nível nos servidores, avaliação detalhada de vulnerabilidades dentro do aplicativo e simulações de engenharia social.
    • As descobertas dos nossos testes são estritamente confidenciais. Podemos afirmar que quaisquer descobertas são abordadas e reparadas.


Segurança interna de TI

  • Os escritórios do Mailchimp são protegidos com cartão de acesso e biometria, e são monitorados com câmeras com infravermelho por toda parte.
  • As instalações do Mailchimp têm pelo menos um posto de guarda/área de recepção com equipe de vigilância no local.
  • Nossa rede de escritórios é altamente segmentada e com monitoramento central.
  • Temos uma equipe de segurança interna dedicada que monitora constantemente nosso ambiente contra vulnerabilidades. Eles realizam testes de penetração e exercícios de engenharia social em nosso ambiente e com nossos funcionários. Nossa equipe de segurança inclui membros com certificação OSCP e CISSP.


Segurança e medidas de proteção para funcionários

  • Treinamos continuamente os funcionários sobre as melhores práticas de segurança, incluindo como identificar engenharia social, golpes de phishing e hackers.
  • Os funcionários das equipes com acesso aos dados do cliente (como suporte técnico e engenheiros) passam por verificações de antecedentes criminais e de credibilidade antes de serem contratados.
  • Todas os novos contratados e trabalhadores temporários são obrigados a assinar acordos de não divulgação e confidencialidade. Além disso, eles são obrigados a participar e concluir o treinamento sobre o código de conduta e as políticas de segurança da informação da Intuit, incluindo o uso aceitável.
  • A fim de proteger nossa empresa contra diversas perdas, a Mailchimp estabeleceu um programa abrangente de seguro. A cobertura inclui, mas não se limita a: cobertura para incidentes cibernéticos, incidentes de privacidade de dados (incluindo despesas regulatórias), cobertura de responsabilidade geral por erro e omissão, cobertura adicional de responsabilidade cibernética, cobertura de propriedade e interrupção de negócios, bem como cobertura de responsabilidade geral comercial internacional.


Certificações de Conformidade do Mailchimp

O prestador de serviços de processamento de cartão de crédito do Mailchimp adota medidas de segurança para proteger suas informações durante a transação e após a conclusão dela. Nosso prestador de serviços é certificado, e isto indica que ele está em conformidade com as iniciativas de segurança da associação de cartões, entre elas a Segurança e Conformidade das Informações do Titular do Cartão Visa (CISP), o Programa de Proteção de Dados de Site (SDP) da Mastercard® e a Segurança e Conformidade da Descoberta de Informações (DISC).

Nossos relatórios SOC 2 cobrem os controles relacionados à segurança, disponibilidade e integridade do processo dos dados dos clientes.

O Padrão 27001 da Organização Internacional de Normalização (ISO 27001) é um padrão de segurança da informação que garante que os escritórios, centros de desenvolvimento, centros de suporte e centros de dados sejam gerenciados com segurança. Essas certificações duram três anos (auditorias de renovação) com auditorias anuais de pontos de contato (auditorias de vigilância).

O Mailchimp também mantém um modelo voluntário de acessibilidade de produtos, o VPAT® (Voluntary Product Accessibility Template). Esse documento explica como os produtos de Tecnologia da Informação e Comunicação (TIC), incluindo software, hardware, conteúdo eletrônico e documentação de suporte, estão em conformidade com as Normas da Sessão 508 Revisadas para acessibilidade de TI.

Para acessar e baixar nossas certificações, visite o portal de conformidade da Intuit.


Protegendo sua conta e nos protegendo de você

Sim, é isso mesmo. Podemos nos proteger ao máximo, mas se o seu computador for comprometido e alguém entrar na sua conta do Mailchimp, isso não é bom para nenhum de nós.

  • Monitoramos todas as contas e as suspenderemos automaticamente em caso de sinais de atividade de login irregular ou suspeita.
  • Além de nossos algoritmos escalonáveis, empregamos outra camada de analistas humanos, que monitoram contas e e-mails em busca de atividades anormais.
  • Monitoramos todas as contas e atividades de campanha em busca de sinais de abuso.
  • Certas alterações, como a troca de senhas, acionarão notificações por e-mail para o proprietário da conta.
  • Oferecemos a capacidade de ativar notificações por e-mail ou SMS sobre atividades importantes.
  • Oferecemos a capacidade de ativar a autenticação de dois fatores (2FA) para sua conta Mailchimp.
  • Possibilitamos a adoção de níveis de acesso em camadas nas contas.


Invesmento na sua privacidade

  • Nossa equipe de privacidade trabalha com as equipes de toda a organização para garantir a conformidade de nossos produtos e recursos com as leis aplicáveis de proteção de dados e antispam.
  • Revisamos e atualizamos regularmente as políticas legais que afetam nosso relacionamento com você.
  • Temos o compromisso de manter a conformidade com as leis de proteção de dados aplicáveis e de oferecer aos nossos clientes ferramentas para ajudá-los com suas próprias necessidades relativas à conformidade.
  • Temos um escritório de advocacia na UE e no Reino Unido para consultas sobre as leis de privacidade e proteção de dados.
  • Passamos por uma verificação anual realizada por um avaliador de conformidade externo, sediado nos EUA, conforme a Estrutura de Privacidade de Dados UE-EUA (DPF UE-EUA), a extensão do Reino Unido da DPF UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA (DPF Suíça-EUA). A Intuit e a Mailchimp recorrem à DPF UE-EUA para transferir dados e recorrerão à extensão do Reino Unido à DPF UE-EUA e à DPF Suíça-EUA, uma vez aprovada pelas autoridades competentes. Estamos sujeitos aos poderes de investigação e execução da Comissão Federal de Comércio. Outras informações sobre a certificação da Estrutura de Privacidade de Dados da Intuit e da Mailchimp estão disponíveis aqui.
  • Somos membros de grupos como ESPC, M3AAWG, ISC2, ISACA, ISSA, SANS entre outros.
  • A liderança da nossa organização de privacidade é formada por membros ativos da Associação Internacional de Profissionais de Privacidade (IAPP) e possui, em conjunto, as certificações CIPP/US, CIPP/G, CIPP/E, CIPM e CIPT.
  • Há informações sobre conformidade com o RGPD disponíveis aqui.


Programa de divulgação responsável

O Mailchimp tem o compromisso de garantir a segurança dos serviços e das informações do cliente. Como parte desse compromisso, incentivamos os pesquisadores de segurança a entrar em contato conosco para relatar quaisquer possíveis vulnerabilidades identificadas em qualquer produto, sistema ou ativo pertencente à Intuit. Este programa não tem a intenção de representar um programa público de recompensa por bugs, e não fazemos ofertas de recompensa ou compensação pelo envio de possíveis problemas. Agradecemos o seu compromisso em melhorar os serviços do Mailchimp.

Diretrizes de divulgação responsável

Pesquisadores de segurança divulgarão potenciais vulnerabilidades em conformidade com as seguintes diretrizes:

O que fazer

  • Compartilhe o problema de segurança conosco antes de torná-lo público (por exemplo, em fóruns, listas de discussão ou outros espaços).
  • Aguarde até receber uma notificação nossa de que a vulnerabilidade foi resolvida antes de divulgá-la a terceiros. Nosso foco é a segurança dos clientes e sistemas, e algumas vulnerabilidades levam mais tempo do que outras para solucionar.
  • Forneça uma descrição clara e concisa das etapas necessárias para reproduzir qualquer vulnerabilidade reportada.
  • Forneça todos os detalhes relacionados ao problema de segurança, incluindo a URL de prova de conceito (POC), bem como os detalhes do(s) sistema(s) onde os testes foram conduzidos.

O que não fazer

  • Não prejudique o Mailchimp, a Intuit, os clientes, acionistas, parceiros ou funcionários.
  • Não se envolva em atos que possam resultar em inatividade ou interrupção de qualquer um dos serviços do Mailchimp.
  • Não se envolva em atividades ilegais ou quaisquer atos que violem quaisquer leis ou regulamentos internacionais, bem como leis ou regulamentos federais ou estaduais.
  • Não armazene, compartilhe, comprometa ou destrua quaisquer dados do Mailchimp, ou dados de clientes durante a realização de atividades de pesquisa. Se encontrar informações de identificação pessoal (PII), você é obrigado a parar e notificar imediatamente o Mailchimp.
  • Não realize atividades fraudulentas ou conclua transações financeiras fraudulentas como parte de sua pesquisa.

Vulnerabilidades fora de escopo

Os seguintes tipos de vulnerabilidades estão fora do escopo deste programa:

  • Phishing
  • Engenharia social
  • Avaliações de segurança física
  • Qualquer forma de ataque de negação de serviço (DoS)


Diretrizes para submissão

Todas as potenciais vulnerabilidades reportadas devem incluir informações suficientes para a reprodução e validação do problema. A documentação deve incluir um resumo detalhado do problema, objetivos, passos realizados, capturas de tela, ferramentas utilizadas e qualquer informação que auxilie durante a triagem.

Ao seguir estas diretrizes e divulgar de maneira responsável quaisquer vulnerabilidades de segurança diretamente à Intuit, concordamos em não tomar medidas legais contra você. O Mailchimp mantém seus direitos legais em caso de descumprimento das diretrizes do programa.

O Mailchimp analisará e prontamente reconhecerá qualquer problema enviado dentro de três dias úteis após a submissão por meio do formulário web, encontrado aqui: Formulário de divulgação responsável