Somos uma empresa que leva a segurança e a privacidade dos dados muito a sério e reconhecemos que as práticas de segurança das informações do Mailchimp são importantes para você. Embora preferimos não expor muitos detalhes sobre nossas práticas (para não munir aqueles contra os quais nos protegemos), fornecemos algumas informações gerais abaixo para você se sentir seguro sobre como protegemos os dados que nos são confiados.
Segurança do centro de dados
- O Mailchimp entrega bilhões de e-mails por mês a milhões de usuários. Usamos vários MTAs, implementados em diferentes centros de dados de alto nível nos Estados Unidos.
- Nossos centros de dados fazem uso de scanners biométricos e das melhores ferramentas de alta tecnologia disponíveis para cuidar da segurança física em tempo integral.
- Temos mitigação de DDoS em vigor em todos os nossos centros de dados.
- Temos um plano de continuidade de infraestrutura documentado "em caso de ataque nuclear em um centro de dados".
Proteção contra perda de dados e corrupção
- Todos os bancos de dados são mantidos separados e dedicados à prevenção de corrupção e sobreposição. Temos várias camadas de lógica que separam as contas dos usuário umas das outras.
- Os dados da conta são espelhados para que uma cópia de segurança seja salva regularmente em outro local.
Segurança em nível de aplicativo
- As senhas de contas do Mailchimp são criptografadas. Nem nossa própria equipe consegue vê-las. Se você perder sua senha, ela não poderá ser recuperada — será necessário redefini-la.
- Todas as páginas de login (do nosso site e site móvel) transmitem dados através da Segurança da Camada de Transporte.
- Todo o aplicativo Mailchimp é criptografado com a Segurança da Camada de Transporte.
- As páginas de login e o login feito através da API do Mailchimp têm proteção contra força bruta.
- Realizamos testes regulares de penetração de segurança externa ao longo do ano usando diferentes fornecedores. Estão incluídos testes de penetração de servidor de alto nível, testes aprofundados para vulnerabilidades dentro do aplicativo e exercícios de engenharia social.
Segurança interna de TI
- Os escritórios do Mailchimp são protegidos por acesso por cartão-chave e biometria, e são monitorados com câmeras com infravermelho por toda parte.
- Nossa rede de escritórios é fortemente segmentada e monitorada centralmente.
- Temos uma equipe de segurança interna dedicada que monitora constantemente nosso ambiente em busca de vulnerabilidades. Ela realiza testes de penetração e exercícios de engenharia social em nosso meio ambiente e com nossos funcionários. Nossa equipe de segurança inclui membros certificados de OSCP e CISSP.
Protocolo interno e educação
- Treinamos continuamente os funcionários sobre as melhores práticas de segurança, incluindo como identificar engenharia social, golpes de phishing e hackers.
- Os funcionários das equipes com acesso aos dados do cliente (como suporte técnico e nossos engenheiros) passam por verificações de antecedentes criminais e de crédito antes de serem contratados.
- Todos os funcionários assinam um Acordo de Proteção à Privacidade descrevendo a responsabilidade deles na proteção dos dados do cliente.
- Para proteger nossa empresa de uma variedade de perdas diferentes, o Mailchimp criou um programa de seguro abrangente. A cobertura inclui, mas não é exclusivamente para: cobertura contra incidentes cibernéticos, incidentes de privacidade de dados (incluindo despesas regulatórias), cobertura de responsabilidade geral por erro e omissão, cobertura de responsabilidade cibernética em excesso, cobertura de interrupção de propriedade e negócios, bem como cobertura de responsabilidade geral comercial internacional.
Certificação DSS PCI compatível com SOC II
O fornecedor de processamento de cartão de crédito do Mailchimp adota medidas de segurança para proteger suas informações durante a transação e após a conclusão. Nosso fornecedor é certificado como em conformidade com as iniciativas de segurança da associação de cartões, entre as quais estão a Segurança e Conformidade das Informações do Titular do Cartão Visa (CISP), o Programa de Proteção de Dados do Site (SDP) da Mastercard® e a Segurança e Conformidade da Descoberta de Informações (DISC). Também realizamos auditorias SOC II anuais.
Fornecemos nosso Relatório de SOC II mediante solicitação. Clique em "Solicitar relatório" e inclua quaisquer perguntas adicionais que desejar.
Certificação ISO 27001
O Padrão 27001 da Organização Internacional de Normalização (ISO 27001) é um padrão de segurança da informação que garante que os escritórios, centros de desenvolvimento, centros de suporte e centros de dados sejam gerenciados com segurança. Essas certificações duram três anos (auditorias de renovação) com auditorias anuais de pontos de contato (auditorias de vigilância).
Nos proteger contra você
Sim, é isso mesmo. Podemos nos proteger ao máximo, mas se o seu computador for comprometido e alguém entrar na sua conta do Mailchimp, isso não é bom para nenhum de nós.
- Monitoramos todas as contas e as suspenderemos automaticamente em caso de sinais de atividade de login irregular ou suspeita.
- Certas alterações, como a troca de senhas, acionarão notificações por e-mail para o proprietário da conta.
- Monitoramos todas as contas e atividades de campanha em busca de sinais de abuso.
- Além de nossos algoritmos escalonáveis, empregamos outra camada de analistas humanos, que monitoram contas e e-mails em busca de atividades anormais.
- Possibilitamos a adoção de níveis de acesso em camadas nas contas.
Investir em sua privacidade
- Nossa equipe jurídica trabalha em conjunto com nossos desenvolvedores e engenheiros para garantir que nossos produtos e recursos estejam em conformidade com as leis internacionais de privacidade e spam aplicáveis.
- Dispomos de um escritório de advocacia no Reino Unido para consultoria sobre questões de privacidade da UE.
- Nos submetemos a verificações anuais com um analista de conformidade externo e terceirizado, sediado nos EUA, sob o programa de verificação Escudo de Proteção da Privacidade e certificamos nossa conformidade com as Estruturas do Escudo de Proteção da Privacidade UE-EUA/Suíça-EUA.
- Somos membros da ANA, ESPC, OTA e MAAWG.
- Nossos advogados corporativos e o Gerente de Conformidade Jurídica são membros ativos da Associação Internacional de Profissionais de Privacidade (International Association of Privacy Professionals, IAPP) e possuem coletivamente as certificações CIPP/US, CIPP/G e CIPP/E.
Programa de divulgação responsável
O Mailchimp tem o compromisso de garantir a segurança dos nossos serviços e das informações do cliente. Como parte desse compromisso, incentivamos os pesquisadores de segurança a entrar em contato conosco para relatar quaisquer possíveis vulnerabilidades identificadas em qualquer produto, sistema ou ativo pertencente à Intuit. Este programa não tem o intuito de representar uma plataforma pública para recompensas por bugs, e não oferecemos remuneração ou compensação pelo envio de possíveis problemas. Agradecemos o seu compromisso em melhorar os serviços do Mailchimp.
Diretrizes de divulgação responsável
Os pesquisadores de segurança farão a divulgação de possíveis vulnerabilidades em conformidade com as seguintes diretrizes:
O que fazer
- Compartilhe o problema de segurança conosco antes de torná-lo público (por exemplo, em quadros de mensagens, listas de discussão ou outros fóruns).
- Aguarde até que lhe forneçamos uma notificação de que a vulnerabilidade foi resolvida antes de divulgá-la a terceiros. Nosso foco é a segurança dos clientes e sistemas, e algumas vulnerabilidades levam mais tempo do que outras para solucionar.
- Forneça uma descrição clara e concisa das etapas necessárias para reproduzir qualquer vulnerabilidade reportada.
- Forneça os detalhes completos relacionados ao problema de segurança, incluindo URL de prova de conceito (proof-of-concept, POC), bem como detalhes do(s) sistema(s) em que os testes foram realizados.
O que não fazer
- Não prejudique o Mailchimp, a Intuit, os clientes, acionistas, parceiros ou funcionários.
- Não se envolva em atos que possam resultar em inatividade ou interrupção de qualquer um dos serviços do Mailchimp.
- Não se envolva em atividades ilegais ou quaisquer atos que violem quaisquer leis ou regulamentos internacionais, bem como leis ou regulamentos federais ou estaduais.
- Não armazene, compartilhe, comprometa ou destrua quaisquer dados do Mailchimp, ou dados de clientes durante a realização de atividades de pesquisa. Se encontrar informações de identificação pessoal (PII), você deve parar e notificar imediatamente o Mailchimp.
- Não conduza atividades fraudulentas ou conclua transações financeiras fraudulentas como parte de sua pesquisa.
Vulnerabilidades fora do escopo
Os seguintes tipos de vulnerabilidades estão fora do escopo deste programa:
- Phishing
- Engenharia social
- Avaliações de segurança física
- Qualquer forma de ataque de negação de serviço (denial of service, DoS)
Diretrizes de envio
Todas as potenciais vulnerabilidades reportadas devem incluir informações suficientes para a reprodução e validação do problema. A documentação deve incluir um resumo detalhado do problema, objetivos, etapas realizadas, capturas de tela, ferramentas utilizadas e quaisquer outras informações que ajudem a Intuit durante a triagem.
Conforme seguir essas diretrizes e divulgar com responsabilidade quaisquer vulnerabilidades de segurança diretamente à Intuit, concordamos em não abrir nenhum processo judicial contra você. O Mailchimp reserva-se aos seus direitos legais em caso de não conformidade com as diretrizes do programa.
O Mailchimp analisará e reconhecerá os problemas informados dentro de até três dias úteis após o envio por meio do formulário da web encontrado aqui: Formulário de divulgação responsável.