1. Como impedimos que clientes acessem dados de outros clientes?

Aproveitamos a separação lógica do banco de dados para garantir a privacidade e a confidencialidade do cliente em nossa arquitetura multilocatária. Esses controles rígidos de privacidade existem no código do nosso aplicativo para garantir a privacidade dos dados e impedir que um cliente acesse os dados de outro cliente. Isso é feito com o uso de identificadores de conta exclusivos que atribuem cada usuário a uma conta específica. Temos muitos testes unitários e de integração em vigor para garantir que esses controles de privacidade funcionem conforme o esperado. Realizamos esses testes sempre que a nossa base de código é atualizada. Mesmo uma única falha no teste impedirá que o novo código seja enviado para a produção.

 

2. Com que frequência realizamos backups?

 Nossa infraestrutura de backup e recuperação é hospedada e utiliza a combinação do Amazon Simple Storage Service (Amazon S3) e do Amazon Relational Database Service (Amazon RDS), que fornece capacidade de banco de dados redimensionável com infraestrutura de armazenamento de dados dimensionável e eficiente. O serviço Amazon RDS está configurado para fazer backup do banco de dados de produção todos os dias, mantém 35 dias de backups e armazena os backups criptografados do banco de dados em um local de armazenamento de dados de alta disponibilidade. O serviço Amazon RDS também permite a restauração pontual do banco de dados para qualquer ponto no tempo, retrocedendo duas semanas. As cópias antigas dos backups são excluídas de acordo com nosso cronograma de retenção de dados.

 

3. Qual é o RPO (Objetivo de Ponto de Recuperação) e o RTO (Objetivo de Tempo de Recuperação) da KnowBe4?    

O RPO é de alguns minutos a horas, sem ultrapassar 72 horas. O RTO é de 72 horas. 

 

4. Qual é o procedimento de controle/gerenciamento de alterações da KnowBe4? 

Implementamos um processo formal de gerenciamento de alterações que permite à equipe solicitar, gerenciar, aprovar e controlar alterações que modificam serviços ou sistemas em nossos ambientes. O processo de controle de alterações foi projetado para impor controles de desenvolvimento importantes sempre que uma alteração é feita no software, incluindo alterações de desenvolvimento e de emergência. O processo de gerenciamento de alterações começa com a identificação do que precisa ser alterado; registro e classificação da alteração; e continua com a revisão, a aprovação, o teste e a preparação para implementação da alteração. Uma vez concluída, medida e relatada a implementação, o processo de alteração está completo.

    

5. Os dados de produção são usados ​​no ambiente de teste da KnowBe4? 

Os dados de produção não são copiados para ambientes de teste. Temos um processo diário que torna anônimo todo o nosso banco de dados de produção. Esse processo é supervisionado por nossas equipes de privacidade de dados e segurança da informação. Esse banco de dados anonimizado inclui detalhes anônimos das contas de clientes, como endereço, domínio, nome da empresa, dados pessoais e outras informações confidenciais do cliente. Esse banco de dados anonimizado é usado para testes, quando necessário. Atualizamos esse banco de dados diariamente para que, quando os dados da conta forem excluídos ou removidos, os dados da conta também sejam removidos do banco de dados anonimizado.

    

6. Como o acesso dos funcionários da KnowBe4 é gerenciado e monitorado? 

A KnowBe4 segue o princípio de privilégio mínimo e acesso com base no cargo para seus funcionários. Todo o acesso dos funcionários é registrado e monitorado.

    

7. Que tipo de dados é coletado ou processado ​​pela Knowbe4?

 

8. Onde posso encontrar uma lista dos subprocessadores da KnowBe4? 

Uma lista de subprocessadores pode ser encontrada aqui.

 

9. Como a KnowBe4 garante a disponibilidade do seu produto? 

Nossos sistemas são executados na nuvem e não executam seus próprios roteadores, balanceadores de carga, servidores DNS nem sistemas virtuais. Com exceção de alguns subprocessadores de dados, serviços e dados, os dados são hospedados principalmente em data centers da Amazon AWS. Para clientes residentes nos EUA e clientes que desejam manter os dados nos EUA, temos sistemas em data centers da AWS localizados na região dos EUA, na Virgínia do Norte. Para clientes localizados na UE/EEE (incluindo Reino Unido e Suíça), temos sistemas localizados em data centers da AWS que armazenam dados de produção no data center de Dublin, Irlanda, com failover no data center de Frankfurt. No entanto, alguns subprocessadores de dados processarão um subconjunto limitado de dados nos Estados Unidos. Uma contabilização completa dos locais de processamento de dados pode ser encontrada em nossa lista de subprocessadores.

Nossos sistemas são pensados para a continuidade dos negócios e a recuperação de desastres. Nossa infraestrutura de TI, que inclui sistemas e bancos de dados, está distribuída em vários data centers da Amazon AWS (zonas de disponibilidade) nas regiões da UE e dos EUA para fins de continuidade. Os sistemas estão dentro de nossa própria nuvem privada virtual (VPC) com listas de controle de acesso à rede (ACLs) para impedir que solicitações não autorizadas tenham acesso à rede interna.

Usamos a plataforma AWS Fargate como serviço. O AWS Fargate é um mecanismo de computador sem servidor do Amazon Elastic Container Service (Amazon ECS) que permite que a KnowBe4 execute contêineres sem precisar provisionar, configurar nem dimensionar clusters de máquinas virtuais (VMs). O AWS Fargate gerencia a infraestrutura e os cluster subjacentes. Ele também dimensiona automaticamente o aplicativo de acordo com a demanda. O AWS Fargate elimina a necessidade de dimensionar, monitorar, corrigir e proteger instâncias do EC2.

A comunicação de dados entre nossos sistemas de back-end e os sistemas de back-end de nossos clientes é criptografada, o que protege os dados em trânsito. Os dados são armazenados em um Amazon Relational Database Service (Amazon RDS) criptografado, o que garante disponibilidade e durabilidade dos dados. O armazenamento é fornecido por buckets criptografados do Amazon Simple Storage Service (S3) dedicados à KnowBe4. A criptografia é habilitada para proteger dados em repouso.

 

10. Como a KnowBe4 garante a confidencialidade dos nossos dados? 

Nossa rede interna é protegida do tráfego público da Internet por meio de firewalls de inspeção de estado fornecidos pela Amazon AWS. Um grupo de segurança atua como um firewall e controla o tráfego permitido em um grupo de instâncias. Para cada grupo de segurança, são adicionadas regras personalizadas que controlam o tráfego de entrada permitido para instâncias no grupo. Qualquer outro tráfego de entrada é negado.

A comunicação criptografada é utilizada para proteger sessões remotas de Internet em nossos aplicativos e na rede interna. A criptografia é usada para garantir a privacidade e a integridade dos dados transmitidos pela rede pública.

Todos os dados são transmitidos por canais seguros. Isso inclui acesso ao site do console de treinamento do provedor de serviços, informações enviadas a terceiros para processamento e registro em log. O envio de dados entre o servidor Web e o banco de dados é feito em uma nuvem privada virtual na AWS.

Os dados enviados entre nossos aplicativos e os aplicativos de nossos clientes são forçados a passar por uma conexão mínima HTTPS TLS 1.2 (será padronizada para o nível mais alto de TLS disponível) com o uso de codificações modernas. A instância do banco de dados é criptografada com o padrão de criptografia AES256.

 

11. Qual é a política de retenção de dados da KnowBe4? 

Você pode encontrar nossa política de retenção de dados aqui.

 

12. A KnowBe4 assinará um Adendo de Associado Comercial (BAA) conforme descrito nos regulamentos HIPAA? 

Adendos de associados comerciais são necessários para organizações que processam PHI em nome de uma entidade coberta. Nosso BAA está disponível em https://www.knowbe4.com/business-associate-agreement e faz parte de nossos Termos de Serviço ou outro contrato assinado separadamente, como um Contrato Principal de Serviços (“MSA”), em vigor entre os Clientes e a KnowBe4, abrangendo o uso dos Serviços da KnowBe4 pelo Cliente (“Contrato”), quando aplicável.

 

12. A KnowBe4 é certificada pela HIPAA? 

Não. Atualmente não há HIPAA para provedores de serviços de nuvem. Independentemente da aplicabilidade da HIPAA, a KnowBe4 alinha seu programa de segurança da informação com os requisitos dos padrões FedRAMP, NIST 800-53 e ISO 27001.

 

13. Como os clientes podem verificar o local onde os dados são armazenados/qual é a localização do console da KnowBe4?

Após efetuar login no console, os clientes podem visualizar o URL e verificar onde o console está armazenado nas ofertas de localização AWS da KnowBe4. A tabela abaixo fornece informações sobre o URL do console e o local de armazenamento correspondente da AWS: