Melhores práticas de segurança do Keeper
Palavra-passe mestre privada
Só o utilizador conhece e tem acesso à respetiva palavra-passe mestre e à chave utilizada para encriptar e desencriptar as suas informações.
Encriptação Aprofundada
Os dados do utilizador são encriptados e desencriptados ao nível do dispositivo, e não nos servidores do Keeper nem na nuvem.
O mais elevado nível de encriptação
O Keeper protege as suas informações com encriptação AES de 256 bits e PBKDF2, largamente reconhecida como a encriptação mais segura disponível.
Cofre Fiável e Seguro na Nuvem
O Keeper utiliza o Amazon AWS para alojar e operar o cofre do Keeper, bem como uma arquitetura que fornece aos clientes o mais rápido e seguro armazenamento na nuvem.
Autenticação Multifator
O Keeper suporta autenticação multifator, início de sessão biométrico e o Keeper DNA, que utiliza dispositivos pessoais como o seu smartwatch para confirmar a sua identidade.
Descrição Geral
A Keeper Security, Inc. (KSI) leva muito a sério a proteção das informações dos clientes com o software de segurança Keeper para computadores de secretária e dispositivos móveis. Milhões de consumidores e empresas confiam no Keeper para proteger e aceder às suas palavras-passe e informações privadas.
O software Keeper é constantemente melhorado e atualizado para fornecer aos clientes a mais recente tecnologia de proteção. Esta página fornece uma visão geral da arquitetura de segurança Keeper, metodologias de encriptação e ambiente de alojamento, à data da versão atualmente publicada. Este documento resume os detalhes técnicos associados aos nossos métodos de encriptação e segurança.
A nossa Política de Privacidade e Termos de Utilização podem ser consultados no nosso website, nas seguintes ligações:
Proteção de Dados
A KSI não tem acesso à palavra-passe dos clientes nem aos registos armazenados no cofre do Keeper. A Empresa não consegue aceder de forma remota aos dispositivos dos clientes nem desencriptar o cofre dos mesmos. As únicas informações a que a Keeper Security tem acesso são o endereço de e-mail do utilizador, o tipo de dispositivo e os detalhes do plano de subscrição (por ex., Keeper Unlimited). Se um utilizador perder o seu dispositivo ou se este for roubado, a KSI poderá ajudar a aceder a um ficheiro encriptado de cópia de segurança para restaurar o cofre do utilizador quando este tiver substituído o seu dispositivo.
As informações armazenadas e acedidas no Keeper só podem ser acedidas pelo cliente, uma vez que são instantaneamente encriptadas e desencriptadas no dispositivo em utilização, mesmo que esteja a utilizar o Keeper Web App. O método de encriptação utilizado pelo Keeper é um algoritmo reconhecido e fiável denominado AES (Advanced Encryption Standard), com um comprimento de chave de 256 bits. Segundo a publicação CNSSP-15 do Committee on National Security Systems, a encriptação AES com comprimento de chave de 256 bits é suficientemente segura para encriptar dados classificados pelo governo norte-americano como TOP SECRET.
As chaves de cifra utilizadas para encriptar e desencriptar os registos dos clientes não são armazenadas nem transmitidas para o Keeper Cloud Security Vault. No entanto, para fornecer capacidades de sincronização entre múltiplos dispositivos, é armazenada uma versão encriptada desta chave de cifra no Cloud Security Vault, sendo fornecida aos dispositivos associados à conta do utilizador. Esta chave de cifra encriptada só pode ser desencriptada no dispositivo para utilização posterior como chave de cifra de dados.
Palavra-passe Mestre Segura
É altamente recomendado que os clientes escolham uma Palavra-passe Mestre segura para a conta do Keeper. A Palavra-passe Mestre não deverá ser utilizada fora do Keeper. Os utilizadores nunca deverão partilhar a sua Palavra-passe Mestre, seja com quem for.
Autenticação de Dois Fatores
Para se proteger contra o acesso não autorizado às contas dos clientes, o Keeper oferece também Autenticação de Dois Fatores. A autenticação de dois fatores é uma abordagem à autenticação que exige pelo menos dois de três fatores de autenticação: um fator de conhecimento, um fator de posse e um fator de inerência. Para mais informações sobre a Autenticação de Dois Fatores, consulte esta ligação.
O Keeper utiliza algo que o Utilizador conhece (a sua palavra-passe) e algo que possui (o seu telefone) para fornecer segurança adicional caso a palavra-passe mestre ou o dispositivo sejam comprometidos. Para tal, geramos TOTPs (Palavras-passe de Utilização Única de Base Temporal).
O Keeper gera uma chave secreta de 10 bytes utilizando um gerador de números aleatórios protegido por criptografia. Este código é válido durante cerca de um minuto, sendo enviado ao utilizador por SMS, Google Authenticator ou através de dispositivos pessoais compatíveis com o Keeper DNA.
Se utilizar a aplicação Google Authenticator no seu dispositivo móvel, o servidor do Keeper gerará internamente um código QR que contém a sua chave secreta, que nunca será comunicada a terceiros. Sempre que um utilizador desativar e voltar a ativar a Autenticação de Dois Fatores, será gerada uma nova chave secreta.
Para ativar a Autenticação de Dois Fatores, visite o ecrã Definições do Keeper Web App.
Encriptação no Cliente
Os dados são encriptados e desencriptados no dispositivo do utilizador, e não no Cloud Security Vault. Este processo é denominado "Encriptação no Cliente", porque o cliente (por ex. iPhone, dispositivo Android, Web App, etc.) faz todo o trabalho de encriptação. O Cloud Security Vault armazena um binário puro que, no essencial, não tem qualquer utilidade para um intruso. Mesmo que os dados sejam capturados ao serem transmitidos entre o dispositivo cliente e o Cloud Security Vault, não será possível desencriptá-los nem utilizá-los para atacar ou comprometer os dados privados do utilizador.
Quebrar ou piratear uma chave simétrica de 256 bits exigiria 2128 vezes a capacidade de computação de uma chave de 128 bits. Em teoria, um dispositivo demoraria 3×10^51 anos para esgotar as combinações de uma chave de 256 bits.
Partilhar
Todos os utilizadores possuem um par de chaves RSA de 2048 bits utilizado para a partilha. Os registos partilhados do cofre são encriptados com a chave pública do destinatário. O destinatário desencripta o registo com a respetiva chave privada. Isto permite ao utilizador partilhar registos apenas com o destinatário pretendido, uma vez que apenas este os consegue desencriptar.
Geração de Chaves
O Keeper utiliza PBKDF2 com HMAC-SHA256 para converter a Palavra-passe Mestre do utilizador para uma chave de encriptação de 256 bits com um mínimo de 1.000 rondas.
A chave gerada a partir da Palavra-passe Mestre não é utilizada diretamente para encriptar os dados do utilizador; em vez disso, é utilizada para encriptar outra chave (a "Chave de Dados"). A Chave de Dados é utilizada para encriptar os dados e outras chaves, como a chave privada RSA.
Qualquer chave que não seja gerada diretamente a partir da Palavra-passe Mestre do utilizador será gerada por um gerador de números aleatórios protegido por criptografia no dispositivo do utilizador. Por exemplo, tanto a chave de dados como o par de chaves RSA são gerados no dispositivo. Como as chaves são geradas no dispositivo (e não no Keeper Cloud Security Vault), o Keeper nunca visualiza as chaves do utilizador.
Armazenamento de Chaves
Todas as chaves secretas que têm de ser armazenadas (como a chave privada RSA e a Chave de Dados de cada utilizador) são encriptadas antes do armazenamento ou transmissão. A Palavra-passe Mestre do utilizador é necessária para desencriptar quaisquer chaves. Uma vez que o Keeper Cloud Security Vault NÃO tem acesso à Palavra-passe Mestre do utilizador, não conseguimos desencriptar quaisquer das suas chaves ou dados.
Keeper Cloud Security Vault
O Cloud Security Vault consiste num software proprietário e numa arquitetura de rede da KSI fisicamente alojados na infraestrutura AWS (Amazon Web Services).
Quando o utilizador sincroniza o respetivo cofre Keeper com outros dispositivos associados à sua conta, os dados binários encriptados são enviados sobre um túnel SSL encriptado, sendo armazenados no Keeper Cloud Security Vault num formato encriptado.
Keeper para Empresas
Aos clientes que adquiram o Keeper é fornecida uma camada adicional de controlo sobre os seus utilizadores e dispositivos. Aos administradores do Keeper é fornecido acesso a uma consola administrativa. A consola permite ao administrador efetuar a gestão dos utilizadores que pertencem à organização, controlar a partilha de registos e escolher os dispositivos a que é permitido sincronizar.
Funções, Equipas, Pastas Partilhadas e Admin. Delegada
O Keeper para Empresas fornece um conjunto de controlos seguro e robusto sobre os departamentos, funções, equipas e pastas partilhadas da organização. Os avançados controlos de back-end do Keeper fornecem as mais robustas camadas de segurança, que fornecem o acesso menos privilegiado e administração totalmente delegada.
Na camada de encriptação, cada registo (por ex., palavras-passe e credenciais) armazenado na plataforma Keeper possui um identificador de registo exclusivo (UID de Registo). Cada registo é encriptado com uma chave de registo. As pastas partilhadas possuem uma chave de pasta partilhada, cada equipa possui uma chave de equipa e cada utilizador possui uma chave de utilizador. Cada função que exija a transmissibilidade da conta do utilizador possui uma chave de imposição de funções. Os dados em repouso no dispositivo do utilizador são encriptados com a chave do utilizador. A chave do utilizador é encriptada com a Palavra-passe Mestre do utilizador.
Os registos são adicionados a uma pasta partilhada encriptando a chave de registo com a chave de pasta partilhada. Os registos são partilhados diretamente com um utilizador encriptando a chave de registo com a chave do utilizador. Os utilizadores são adicionados a uma pasta partilhada encriptando a chave de pasta partilhada com a chave do utilizador. As equipas são adicionadas a uma pasta partilhada encriptando a chave de pasta partilhada com a chave de equipa. Os utilizadores são adicionados a uma equipa encriptando a chave de equipa com a chave do utilizador.
Para Funções que imponham a transmissibilidade da conta do utilizador:
A chave de imposição é encriptada com a chave de cada administrador que tenha autorização para efetuar a transferência.
(Nota: imposições separadas aplicadas a grupos de utilizadores separados poderão ser designadas para transferência por grupos de administradores separados.)
As chaves de pasta da conta são geradas (para utilizadores de uma função em que a imposição seja aplicada) e encriptadas com a chave de imposição. Todos os registos e pastas partilhadas fornecidos ao utilizador têm as respetivas chaves encriptadas com a chave de pasta da conta.
Uma conta a transferir é efetuada bloqueando a conta de um utilizador e, em seguida, transferindo-a e eliminando-a. Isto garante que a operação não é efetuada em segredo. As chaves de pasta da conta e os metadados permitem a eventual capacidade de desencriptar os dados do registo, mas não permitem o acesso direto. Assim, só após a atribuição dos registos a um indivíduo é que aqueles passam a ser utilizáveis pelo indivíduo, sem que qualquer outro indivíduo tenha obtido acesso.
Toda a encriptação é efetuada do lado do cliente e o Keeper nunca tem a capacidade de desencriptar as informações que estão a ser partilhadas ou transferidas. Além disso, a chave de um utilizador nunca é partilhada. Um utilizador que seja removido de uma equipa, pasta partilhada ou partilha direta não receberá novos dados da equipa, pasta partilhada ou registo. Assim, embora a chave se encontre comprometida com esse indivíduo, não pode ser utilizada para obter acesso aos dados subjacentes.
Podem ser atribuídos diversos privilégios administrativos diferentes a partes de uma árvore hierárquica que permita aos membros da função privilegiada efetuarem operações na Consola Admin. do Keeper.
As políticas de imposição do lado do servidor e do lado do cliente também podem ser aplicadas a funções, de forma a ditar o comportamento do cliente para grupos de indivíduos.
As equipas facilitam a distribuição de pastas partilhadas a grupos de utilizadores.
Bridge Active Directory / LDAP do Keeper
O Keeper Bridge integra-se com servidores LDAP e do Active Directory para aprovisionamento e integração de utilizadores. Inicialmente, a comunicação com o Keeper Bridge é autorizada por um administrador com privilégios para gerir o bridge. É gerada uma chave de transmissão que é partilhada com o Keeper para todas as comunicações subsequentes. A utilização da chave de transmissão constitui a autorização para todas as operações efetuadas pelo bridge, com exceção da respetiva inicialização. A chave de transmissão poderá ser regenerada a qualquer momento, sendo efetuada a sua rotação automática a cada 30 dias.
A chave de transmissão destina-se apenas a ser utilizada na transmissão, o que significa que uma chave comprometida poderá ser reinicializada ou revogada sem qualquer perda de dados ou permissões.
O Keeper Bridge não pode conceder privilégios a uma função ou utilizador. Pode adicionar um utilizador a uma função privilegiada, desde que não sejam necessárias quaisquer chaves de imposição. O Keeper Bridge não pode elevar-se a si próprio ou a um utilizador acima da parte da árvore que está a gerir. Nem todas as operações se encontram disponíveis para o Bridge: por exemplo, o Bridge pode desativar um utilizador ativo, mas não o pode eliminar. O administrador terá de escolher se o utilizador deverá ser eliminado ou transferido.
Arquitetura de Rede
A KSI utiliza o Amazon AWS na América do Norte e Europa para uma segregação geográfica e de privacidade de dados localizada do alojamento e operação da solução e arquitetura do Keeper. A KSI utiliza o Amazon AWS para alojar e operar a solução e a arquitetura Keeper. A utilização do Amazon AWS permite escalar os recursos do Keeper a pedido, de forma integrada, fornecendo aos clientes o mais rápido e seguro ambiente de armazenamento na nuvem. A KSI opera ambientes multizona e multi-região para maximizar o tempo de atividade e oferecer o melhor tempo de resposta aos clientes.
Autenticação do Servidor
Para impedir o acesso não autorizado aos dados, o Keeper Cloud Security Vault tem de autenticar todos os utilizadores ao transmitir dados. A autenticação é efetuada comparando um hash da Palavra-passe Mestre gerado por PBKDF2. O dispositivo do utilizador usa o PBKDF2 para gerar o hash a partir da Palavra-passe Mestre, e o servidor compara o hash com um hash armazenado.
Ao utilizar o hash PBKDF2 em vez da própria Palavra-passe Mestre, o Cloud Security Vault autentica o utilizador sem precisar da Palavra-passe Mestre. O PBKDF2 é também utilizado para gerar chaves de dados de encriptação, mas o hash de autenticação não é utilizado para encriptação de dados.
Encriptação de Camada de Transporte
A KSI suporta SSL de 128 e 256 bits para encriptar todas as transferências de dados entre a aplicação cliente e o armazenamento baseado na nuvem da KSI. Trata-se do mesmo nível de encriptação em que confiam diariamente milhões de indivíduos e empresas para transações web que exigem segurança, tais como serviços bancários online, compras online, transações bolsistas, acesso a informações médicas e preenchimento de declarações de impostos.
A KSI implementa certificados SSL/TLS assinados pela Digicert utilizando o algoritmo SHA2, o algoritmo de segurança mais seguro atualmente oferecido por autoridades de certificação comercial. O algoritmo SHA2 é bastante mais seguro do que o algoritmo SHA1, de utilização mais generalizada, que poderá ser explorado devido às fraquezas de natureza matemática identificadas no algoritmo. O algoritmo SHA2 ajuda-o a proteger-se contra a emissão de certificados falsificados, que podem ser utilizados por um atacante para imitar um website.
A KSI também suporta a Transparência de Certificados (TC), uma iniciativa recente da Google para criar um registo de certificados publicamente auditáveis assinados pelas autoridades de certificação. A TC ajuda-o a proteger-se contra a emissão de certificados por entidades não autorizadas. Atualmente, a TC é suportada pelas versões mais recentes do browser Chrome. Poderá consultar mais informações sobre a Transparência de Certificados em: http://www.certificate-transparency.org/
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Fixação de Chaves
Os clientes nativos do Keeper implementam a Fixação de Chaves Públicas HTTP (HPKP). O HPKP é um mecanismo de segurança que permite aos websites HTTPS resistir a tentativas de personificação por parte de atacantes que utilizem certificados fraudulentos.
Porta-chaves e Touch ID® do iOS
Nos dispositivos iOS, o Touch ID permite aceder ao cofre do Keeper no seu dispositivo utilizando a sua impressão digital. Para oferecer esta prática funcionalidade, é armazenada uma versão ininteligível da sua Palavra-passe Mestre no Porta-chaves do iOS. O item do Porta-chaves do iOS criado para esta funcionalidade não se destina a sincronizar com o Porta-chaves do iCloud, pelo que não sairá do seu dispositivo móvel com iOS.
É vivamente recomendada a utilização de uma Palavra-passe Mestre complexa e a ativação da Autenticação Multifator, de modo a maximizar a segurança do seu cofre encriptado do Keeper. A utilização do Touch ID torna mais prática a utilização de uma Palavra-passe Mestre complexa no seu dispositivo móvel com iOS. É também recomendada a definição de um código de acesso com um comprimento superior ao mínimo de quatro dígitos para proteger o Porta-chaves do iOS.
O Porta-chaves do iOS é utilizado pelo sistema e pelas aplicações para armazenar as credenciais em segurança. As aplicações do iOS utilizam o Porta-chaves para armazenar um conjunto de informações sensíveis, incluindo palavras-passe de websites, chaves, números de cartões de crédito e informações do Apple Pay™. O Keeper não utiliza o Porta-chaves do iOS para armazenar os seus registos: todos os registos do Keeper são protegidos por encriptação AES de 256 bits, sendo armazenados em segurança no Cofre do Keeper. O Porta-chaves do iOS é também encriptado com AES de 256 bits, utilizando o código de acesso do dispositivo. Mesmo que o dispositivo móvel seja perdido ou roubado ou que alguém obtenha acesso físico ao mesmo, não será possível aceder às informações armazenadas no Keeper. Não é possível desencriptar o Porta-chaves do iOS sem o código de acesso, nem desencriptar o Cofre do Keeper sem a Palavra-passe Mestre do Keeper do utilizador.
Apple Watch®
A funcionalidade Favorito do Apple Watch permite visualizar registos selecionados num Apple Watch emparelhado. Os registos do Keeper terão de ser ativados de forma explícita para permitir a visualização no Apple Watch. Um Apple Watch emparelhado comunica com a Extensão Keeper para Watch, que é executada de forma transparente num ambiente sandbox separado da aplicação Keeper para iOS. A Extensão Keeper para Watch utiliza também o Porta-chaves do iOS para armazenar de forma segura e aceder às chaves, permitindo uma comunicação segura e integrada com a aplicação Keeper para iOS.
Keeper DNA®
O Keeper DNA é uma inovação promissora da autenticação multifator. Quando utilizado com um Apple Watch emparelhado, o Keeper DNA fornece um método de autenticação multifator sem paralelo em termos de conforto e segurança. O Keeper DNA utiliza tokens seguros armazenados no Cofre do Keeper para gerar códigos de base temporal para a autenticação multifator. Estes pedidos de autenticação de base temporal podem ser aprovados e enviados automaticamente a partir do Apple Watch com um toque no ecrã do relógio ou introduzidos manualmente pelo utilizador. As múltiplas camadas de encriptação, o Touch ID e a autenticação multifator ajudam a tornar o Keeper DNA no método de autenticação mais elegante, seguro e avançado disponível.
Auditorias de Segurança, Análise e Testes
Análise da Segurança de Terceiros e Testes de Penetração
A KSI é testada diariamente pelo McAfee Secure para garantir que a aplicação web Keeper e o Cloud Security Vault se encontram protegidos contra exploits remotos, vulnerabilidades conhecidas e ataques denial-of-service. Poderá encontrar etiquetas McAfee Secure no website do Keeper para garantir que este é testado diariamente, tal como a aplicação web e o Cloud Security Vault.
Mensalmente, a Trustwave realiza uma análise de segurança externa completa do website do Keeper, da aplicação web e do Keeper Cloud Security Vault. O pessoal do Keeper inicia periodicamente análises externas a pedido através do Trustwave.
Conformidade Certificada com SOC2
Os registos dos cofres dos clientes são protegidos com recurso a práticas de controlo interno estritas e altamente monitorizadas. A conformidade do Keeper com SOC 2 Tipo 2 encontra-se certificada de acordo com a estrutura Service Organization Control da AICPA. A certificação SOC2 ajuda a garantir que o seu cofre é protegido através da implementação de controlos padronizados, conforme definido na estrutura Trust Service Principles da AICPA.
Processamento de Pagamentos e Conformidade PCI
A KSI utiliza o PayPal Payments Pro para processar pagamentos por cartão de crédito e débito de forma segura através do website de pagamento KSI. O PayPal Payments Pro é uma solução de processamento de transações em conformidade com PCI-DSS.
A conformidade da KSI com PCI-DSS é certificada pela Trustwave.
O cliente web Keeper, a app Android, a app Windows Phone, a app iPhone/iPad e as extensões para browser foram certificadas em conformidade com os princípios Safe Harbor da UE e com o programa Safe Harbor UE-EUA do Departamento de Comércio norte-americano, cumprindo ainda a Diretiva sobre Proteção de Dados da União Europeia.
Para mais informações sobre o programa Safe Harbor UE-EUA do Departamento de Comércio norte-americano, consulte http://export.gov/safeharbor/index.asp
Licenciado para Exportação pelo Departamento de Comércio norte-americano ao abrigo do EAR
O Keeper encontra-se certificado pelo Gabinete de Indústria e Segurança do Departamento de Comércio norte-americano, ao abrigo do número de controlo 5D992 da Classificação de Exportação de Mercadorias, em conformidade com a regulamentação em matéria de exportação dos EUA (Export Administration Regulations - EAR).
Para mais informações sobre o EAR: http://www.bis.doc.gov
Monitorização Remota 24x7
O Keeper é monitorizado 24x7x365 por uma rede global de monitorização independente, para garantir que o nosso website e o Cloud Security Vault se encontram disponíveis em todo o mundo.
Se tiver dúvidas sobre esta revelação de segurança, contacte-nos.
Phishing ou E-mails Falsificados
Se receber um e-mail alegando ter sido enviado pela KSI e não tiver a certeza de que seja legítimo, poderá tratar-se de "phishing", em que o endereço de e-mail do emissor é forjado ou falsificado. Nesse caso, o e-mail poderá conter ligações para um website de aspeto semelhante a KeeperSecurity.com, mas não se tratando do nosso site. O website poderá solicitar a sua palavra-passe mestre da Keeper Security ou tentar instalar software indesejável no seu computador, numa tentativa de roubar informações pessoais ou aceder ao seu computador. Outros e-mails contêm ligações que o poderão redirecionar para outros websites, potencialmente perigosos. A mensagem poderá também incluir anexos, muitas vezes contendo software indesejável denominado "malware". Se não se sentir seguro relativamente a um e-mail recebido na sua inbox, deverá eliminá-lo sem clicar em quaisquer ligações nem abrir quaisquer anexos.
Se pretender reportar um e-mail que alegue ter sido enviado pela KSI e que acredite ser falsificado, ou se tiver preocupações de segurança envolvendo outros assuntos associados à KSI, contacte-nos.
Infraestrutura de Alojamento Certificada de Acordo com os Mais Elevados Padrões do Setor
O website e o armazenamento na nuvem do Keeper são executados na infraestrutura protegida de computação na nuvem do Amazon Web Services (AWS). A infraestrutura na nuvem do AWS que aloja a arquitetura de sistema do Keeper foi certificada em conformidade com as seguintes ajuramentações, relatórios e certificações de terceiros:
-
SOC 1 / SSAE 16 / ISAE3402
(SAS70) - SOC 2
- SOC 3
- PCI DSS Level 1
- ISO 27001
- FedRamp
- DIACAP
- FISMA
- ITAC
- FIPS 140-2
- CSA
- MPAA
Relatórios de Vulnerabilidades
Geral
A KSI compreende e valoriza a confiança que os clientes depositam na Empresa. Levamos a segurança muito a sério e investigamos todas as vulnerabilidades reportadas. Esta página descreve as ações que desenvolvemos para tentar resolver as potenciais vulnerabilidades relativas a qualquer vertente dos nossos serviços.
Utilização Adequada e Privacidade do Utilizador
As informações partilhadas pelo Utilizador com a KSI ao reportar potenciais vulnerabilidades ou problemas de segurança são mantidas confidenciais. Não serão partilhadas com terceiros exteriores à KSI sem o seu consentimento expresso, por escrito.
Métodos de Contacto
Se pensa ter encontrado uma vulnerabilidade ou problema de segurança no software Keeper, envie-nos um e-mail diretamente para security@keepersecurity.com. Se pretender proteger o e-mail, poderá utilizar PGP; a nossa chave segura é http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x83E4A47BF43583AE.
SLAs de Contacto
A KSI compromete-se a ser diligente e a manter o Utilizador informado sobre os progressos da Empresa. Receberá uma resposta não automática ao seu contacto inicial no prazo de 24 horas, acusando a receção do relatório de vulnerabilidade. Pelo menos de cinco em cinco dias úteis, receberá atualizações sobre o progresso da KSI.
Contacto Inicial
Se acreditar ter descoberto uma vulnerabilidade num produto da KSI, contacte a Empresa conforme descrito acima. Para podermos responder ao seu relatório de forma mais rápida e eficaz, forneça todo o material de suporte (por ex., código de prova de conceito, resultados de ferramentas de segurança, etc.) que possa ser útil para nos ajudar a compreender a natureza e gravidade da vulnerabilidade.
Reconhecimento
A KSI consultará o relatório submetido e atribuir-lhe-á um número de controlo. Responderá então ao cliente, acusando a receção do relatório e resumindo os passos seguintes do processo.
Avaliação
Quando tiver revisto o relatório, a KSI tentará validar e reproduzir a vulnerabilidade reportada. Se forem necessárias informações adicionais para validar ou reproduzir o problema, a KSI trabalhará em conjunto com o Utilizador para obter tais informações. Quando a investigação inicial estiver concluída, os resultados ser-lhe-ão enviados juntamente com o plano de resolução e divulgação pública, se necessário.
Resolução
Se não for possível validar o problema ou se este não for considerado uma falha num produto ou sistema da KSI, este resultado será partilhado com o Utilizador.
Notificação
Se aplicável, a KSI coordenará com o Utilizador a notificação pública de uma vulnerabilidade validada. Os boletins de segurança da KSI são publicados na nossa página de Monitorização de Segurança. Normalmente os indivíduos, empresas, entidades não empresariais e equipas de segurança publicam as suas recomendações nos respetivos websites ou noutros fóruns. Sempre que possível, preferimos que as nossas divulgações ao público sejam efetuadas em simultâneo.
Classificação de Ameaças
A KSI utiliza a versão 2.0 do CVSS (Common Vulnerability Scoring System) para avaliar as potenciais vulnerabilidades reportadas. A classificação resultante ajuda a quantificar a gravidade da vulnerabilidade e a atribuir um grau de prioridade à nossa resposta. Além disso, a KSI inclui as classificações CVSS de base e temporais nas suas recomendações de segurança, ajudando os clientes a compreender os respetivos riscos e a atribuir um grau de prioridade às suas próprias respostas.
Proteção contra Divulgação
Para proteger os seus clientes, a KSI solicita que não publique nem partilhe quaisquer informações relativas a potenciais vulnerabilidades em qualquer ambiente público até que tenhamos investigado, respondido e resolvido a vulnerabilidade reportada, informando, se necessário, os clientes. Além disso, solicitamos respeitosamente que não publique nem partilhe quaisquer dados pertencentes aos nossos clientes. A resolução das vulnerabilidades válidas reportadas demora algum tempo. Esse período variará com base na gravidade da vulnerabilidade e nos sistemas afetados.
Divulgação Indevida de Vulnerabilidades, Código Fonte ou Dados de Clientes
A KSI envida todos os esforços para proteger e salvaguardar a sua infraestrutura interna, software, propriedade intelectual, detentores de interesses e clientes. Leia a nossa Política de Privacidade. Se for um investigador ou perito em segurança, note que quaisquer notificações que efetuar junto da KSI e que envolvam uma alegada vulnerabilidade de segurança do nosso software e/ou infraestrutura, serão investigadas e remediadas atempadamente. Contacte-nos.
É proibido o acesso não autorizado aos sistemas ou software da KSI e/ou a dispositivos de utilizadores em que o Keeper seja executado. É igualmente proibida a divulgação ou ameaça de divulgação de alegadas vulnerabilidades, falhas ou degradação do nível de segurança do nosso software ou sistemas (que são proprietários e detidos pela KSI) num fórum público.
Se determinarmos que um indivíduo ou entidade tentou efetuar engenharia inversa, penetrar, infiltrar ou violar o nosso software, infraestrutura e/ou dispositivos de utilizadores (o que pode incluir falhas ou vulnerabilidades de sistemas operativos criados por ou utilizados pelos nossos parceiros OEM estratégicos), agiremos prontamente, seja sob a forma de processo judicial, seja informando as autoridades locais, regionais ou nacionais.
No entanto, se os seus esforços tiverem sido desenvolvidos de forma inadvertida e/ou realizados num ambiente interno (por ex., num dispositivo de teste e não num dispositivo de um utilizador do Keeper) e tais esforços e resultados não tiverem sido objeto de ameaças contingentes ou de efetiva divulgação pública, não o acionaremos legalmente nem o denunciaremos às autoridades locais, regionais ou nacionais.