Melhores práticas de segurança do Keeper

Palavra-passe mestre privada

Só o utilizador conhece e tem acesso à respetiva palavra-passe mestre e à chave utilizada para encriptar e desencriptar as suas informações.

Encriptação Aprofundada

Os dados do utilizador são encriptados e desencriptados ao nível do dispositivo, e não nos servidores do Keeper nem na nuvem.

O mais elevado nível de encriptação

O Keeper protege as suas informações com encriptação AES de 256 bits e PBKDF2, largamente reconhecida como a encriptação mais segura disponível.

Cofre Fiável e Seguro na Nuvem

O Keeper utiliza o Amazon AWS em diversas localizações geográficas para alojar e operar o Cofre do Keeper e a arquitetura que fornece aos clientes o mais rápido e seguro armazenamento na nuvem. Os dados armazenados ou em trânsito são totalmente isolados no centro de dados global preferido pelo cliente.

Autenticação Multifator

O Keeper suporta autenticação multifator, início de sessão biométrico e o Keeper DNA, que utiliza dispositivos pessoais como o seu smartwatch para confirmar a sua identidade.

Descrição Geral

A Keeper Security, Inc. (KSI) leva muito a sério a proteção das informações dos clientes com o software de segurança Keeper para computadores de secretária e dispositivos móveis. Milhões de consumidores e empresas confiam no Keeper para proteger e aceder às suas palavras-passe e informações privadas.

O software Keeper é constantemente melhorado e atualizado para fornecer aos clientes a mais recente tecnologia de proteção. Esta página fornece uma visão geral da arquitetura de segurança Keeper, metodologias de encriptação e ambiente de alojamento, à data da versão atualmente publicada. Este documento resume os detalhes técnicos associados aos nossos métodos de encriptação e segurança.

A nossa Política de Privacidade e Termos de Utilização podem ser consultados no nosso website, nas seguintes ligações:

Proteção de Dados

A KSI não tem acesso à palavra-passe dos clientes nem aos registos armazenados no cofre do Keeper. A Empresa não consegue aceder de forma remota aos dispositivos dos clientes nem desencriptar o cofre dos mesmos. As únicas informações a que a Keeper Security tem acesso são o endereço de e-mail do utilizador, o tipo de dispositivo e os detalhes do plano de subscrição (por ex., Keeper Unlimited). Se um utilizador perder o seu dispositivo ou se este for roubado, a KSI poderá ajudar a aceder a um ficheiro encriptado de cópia de segurança para restaurar o cofre do utilizador quando este tiver substituído o seu dispositivo.

As informações armazenadas e acedidas no Keeper só podem ser acedidas pelo cliente, uma vez que são instantaneamente encriptadas e desencriptadas no dispositivo em utilização, mesmo que esteja a utilizar o Keeper Web App. O método de encriptação utilizado pelo Keeper é um algoritmo reconhecido e fiável denominado AES (Advanced Encryption Standard), com um comprimento de chave de 256 bits. Segundo a publicação CNSSP-15 do Committee on National Security Systems, a encriptação AES com comprimento de chave de 256 bits é suficientemente segura para encriptar dados classificados pelo governo norte-americano como TOP SECRET.

As chaves de cifra utilizadas para encriptar e desencriptar os registos dos clientes não são armazenadas nem transmitidas para o Keeper Cloud Security Vault. No entanto, para fornecer capacidades de sincronização entre múltiplos dispositivos, é armazenada uma versão encriptada desta chave de cifra no Cloud Security Vault, sendo fornecida aos dispositivos associados à conta do utilizador. Esta chave de cifra encriptada só pode ser desencriptada no dispositivo para utilização posterior como chave de cifra de dados.

Proteção de Dados

Palavra-passe Mestre Segura

É altamente recomendado que os clientes escolham uma Palavra-passe Mestre segura para a conta do Keeper. A Palavra-passe Mestre não deverá ser utilizada fora do Keeper. Os utilizadores nunca deverão partilhar a sua Palavra-passe Mestre, seja com quem for.

Autenticação de Dois Fatores

Para se proteger contra o acesso não autorizado às contas dos clientes, o Keeper oferece também Autenticação de Dois Fatores. A autenticação de dois fatores é uma abordagem à autenticação que exige pelo menos dois de três fatores de autenticação: um fator de conhecimento, um fator de posse e um fator de inerência. Para mais informações sobre a Autenticação de Dois Fatores, consulte esta ligação.

O Keeper utiliza algo que o Utilizador conhece (a sua palavra-passe) e algo que possui (o seu telefone) para fornecer segurança adicional caso a palavra-passe mestre ou o dispositivo sejam comprometidos. Para tal, geramos TOTPs (Palavras-passe de Utilização Única de Base Temporal).

O Keeper gera uma chave secreta de 10 bytes utilizando um gerador de números aleatórios protegido por criptografia. Este código é válido durante cerca de um minuto, sendo enviado ao utilizador por SMS, Google Authenticator ou através de dispositivos pessoais compatíveis com o Keeper DNA.

Se utilizar a aplicação Google Authenticator no seu dispositivo móvel, o servidor do Keeper gerará internamente um código QR que contém a sua chave secreta, que nunca será comunicada a terceiros. Sempre que um utilizador desativar e voltar a ativar a Autenticação de Dois Fatores, será gerada uma nova chave secreta.

Para ativar a Autenticação de Dois Fatores, visite o ecrã Definições do Keeper Web App.

Chaves de Segurança FIDO (U2F)

O Keeper suporta dispositivos de chave de segurança baseados em hardware U2F compatíveis com FIDO, tais como o YubiKey, como segundo fator. As chaves de segurança fornecem uma forma cómoda e segura de efetuar a autenticação de dois fatores sem solicitar ao utilizador que introduza manualmente códigos de 6 dígitos. É possível configurar múltiplas chaves de segurança para o cofre de um utilizador. Em plataformas que não suportem dispositivos de chave de segurança, os utilizadores poderão reverter para outros métodos de A2F configurados. Para configurar uma chave de segurança e outros métodos de autenticação de dois fatores, vá para o ecrã "Definições" da aplicação Keeper.

Acesso de Emergência (Legado Digital)

O Keeper permite adicionar até 5 contactos de emergência para conceder acesso ao cofre em caso de emergência ou morte. Após passar o período de espera especificado, o contacto de emergência obterá acesso ao cofre do utilizador. O processo de partilha de um cofre é de conhecimento nulo ("Zero Knowledge") e a Palavra-passe Mestre do utilizador nunca é diretamente partilhada. É utilizada encriptação RSA para partilhar uma chave AES de 256 bits com o contacto de emergência, aquando da expiração do tempo de espera definido pelo utilizador de origem. Por conseguinte, o contacto de emergência terá de possuir uma conta do Keeper (e um par de chaves RSA públicas/privadas) para poder aceitar o convite.

Encriptação no Cliente

Os dados são encriptados e desencriptados no dispositivo do utilizador, e não no Cloud Security Vault. Este processo é denominado "Encriptação no Cliente", porque o cliente (por ex. iPhone, dispositivo Android, Web App, etc.) faz todo o trabalho de encriptação. O Cloud Security Vault armazena um binário puro que, no essencial, não tem qualquer utilidade para um intruso. Mesmo que os dados sejam capturados ao serem transmitidos entre o dispositivo cliente e o Cloud Security Vault, não será possível desencriptá-los nem utilizá-los para atacar ou comprometer os dados privados do utilizador.
Quebrar ou piratear uma chave simétrica de 256 bits exigiria 2128 vezes a capacidade de computação de uma chave de 128 bits. Em teoria, um dispositivo demoraria 3×10^51 anos para esgotar as combinações de uma chave de 256 bits.

Encriptação no Cliente

Partilhar

Todos os utilizadores possuem um par de chaves RSA de 2048 bits utilizado para a partilha. Os registos partilhados do cofre são encriptados com a chave pública do destinatário. O destinatário desencripta o registo com a respetiva chave privada. Isto permite ao utilizador partilhar registos apenas com o destinatário pretendido, uma vez que apenas este os consegue desencriptar.

Geração de Chaves

O Keeper utiliza PBKDF2 com HMAC-SHA256 para converter a Palavra-passe Mestre do utilizador para uma chave de encriptação de 256 bits com um mínimo de 1.000 rondas.

A chave gerada a partir da Palavra-passe Mestre não é utilizada diretamente para encriptar os dados do utilizador; em vez disso, é utilizada para encriptar outra chave (a "Chave de Dados"). A Chave de Dados é utilizada para encriptar os dados e outras chaves, como a chave privada RSA.

Qualquer chave que não seja gerada diretamente a partir da Palavra-passe Mestre do utilizador será gerada por um gerador de números aleatórios protegido por criptografia no dispositivo do utilizador. Por exemplo, tanto a chave de dados como o par de chaves RSA são gerados no dispositivo. Como as chaves são geradas no dispositivo (e não no Keeper Cloud Security Vault), o Keeper nunca visualiza as chaves do utilizador.

Armazenamento de Chaves

Todas as chaves secretas que têm de ser armazenadas (como a chave privada RSA e a Chave de Dados de cada utilizador) são encriptadas antes do armazenamento ou transmissão. A Palavra-passe Mestre do utilizador é necessária para desencriptar quaisquer chaves. Uma vez que o Keeper Cloud Security Vault NÃO tem acesso à Palavra-passe Mestre do utilizador, não conseguimos desencriptar quaisquer das suas chaves ou dados.

Keeper Cloud Security Vault

O Cloud Security Vault consiste num software proprietário e numa arquitetura de rede da KSI fisicamente alojados na infraestrutura AWS (Amazon Web Services).

Quando o utilizador sincroniza o respetivo cofre Keeper com outros dispositivos associados à sua conta, os dados binários encriptados são enviados sobre um túnel SSL encriptado, sendo armazenados no Keeper Cloud Security Vault num formato encriptado.

Controlo de Versão de Registos

O Keeper mantém um histórico de versões encriptado completo de todos os registos armazenados no cofre do utilizador, assegurando que nenhuns dados críticos são alguma vez perdidos. A partir da aplicação cliente do Keeper, os utilizadores podem examinar o histórico de registos e efetuar o restauro de qualquer registo individual do cofre. Se uma palavra-passe ou ficheiro armazenado no Keeper for alterado ou eliminado, os utilizadores têm sempre a possibilidade de efetuar um restauro para um ponto anterior no tempo.

Keeper para Empresas

Os clientes que adquiram o Keeper Business desfrutam de uma camada de controlo adicional sobre os seus utilizadores e dispositivos. É concedido aos administradores do Keeper acesso a uma consola administrativa baseada na nuvem que permite um controlo total sobre a introdução de novos funcionários, cessação, permissões baseadas em funções, administração delegada, equipas, integração com Active Directory/LDAP, Autenticação de Dois Fatores, Início de Sessão Único e políticas de imposição de segurança. As políticas de imposição baseadas em funções do Keeper são totalmente personalizáveis e escaláveis para organizações de qualquer dimensão.

Keeper para Empresas

Funções, Equipas, Pastas Partilhadas e Admin. Delegada

O Keeper para Empresas fornece um conjunto de controlos seguro e robusto sobre os departamentos, funções, equipas e pastas partilhadas da organização. Os avançados controlos de back-end do Keeper fornecem as mais robustas camadas de segurança, que fornecem o acesso menos privilegiado e administração totalmente delegada.

Na camada de encriptação, cada registo (por ex., palavras-passe e credenciais) armazenado na plataforma Keeper possui um identificador de registo exclusivo (UID de Registo). Cada registo é encriptado com uma chave de registo. As pastas partilhadas possuem uma chave de pasta partilhada, cada equipa possui uma chave de equipa e cada utilizador possui uma chave de utilizador. Cada função que exija a transmissibilidade da conta do utilizador possui uma chave de imposição de funções. Os dados em repouso no dispositivo do utilizador são encriptados com a chave do utilizador. A chave do utilizador é encriptada com a Palavra-passe Mestre do utilizador.

Os registos são adicionados a uma pasta partilhada encriptando a chave de registo com a chave de pasta partilhada. Os registos são partilhados diretamente com um utilizador encriptando a chave de registo com a chave do utilizador. Os utilizadores são adicionados a uma pasta partilhada encriptando a chave de pasta partilhada com a chave do utilizador. As equipas são adicionadas a uma pasta partilhada encriptando a chave de pasta partilhada com a chave de equipa. Os utilizadores são adicionados a uma equipa encriptando a chave de equipa com a chave do utilizador.

Para Funções que imponham a transmissibilidade da conta do utilizador:

A chave de imposição é encriptada com a chave de cada administrador que tenha autorização para efetuar a transferência.

(Nota: imposições separadas aplicadas a grupos de utilizadores separados poderão ser designadas para transferência por grupos de administradores separados.)

As chaves de pasta da conta são geradas (para utilizadores de uma função em que a imposição seja aplicada) e encriptadas com a chave de imposição. Todos os registos e pastas partilhadas fornecidos ao utilizador têm as respetivas chaves encriptadas com a chave de pasta da conta.

Uma conta a transferir é efetuada bloqueando a conta de um utilizador e, em seguida, transferindo-a e eliminando-a. Isto garante que a operação não é efetuada em segredo. As chaves de pasta da conta e os metadados permitem a eventual capacidade de desencriptar os dados do registo, mas não permitem o acesso direto. Assim, só após a atribuição dos registos a um indivíduo é que aqueles passam a ser utilizáveis pelo indivíduo, sem que qualquer outro indivíduo tenha obtido acesso.

Toda a encriptação é efetuada do lado do cliente e o Keeper nunca tem a capacidade de desencriptar as informações que estão a ser partilhadas ou transferidas. Além disso, a chave de um utilizador nunca é partilhada. Um utilizador que seja removido de uma equipa, pasta partilhada ou partilha direta não receberá novos dados da equipa, pasta partilhada ou registo. Assim, embora a chave se encontre comprometida com esse indivíduo, não pode ser utilizada para obter acesso aos dados subjacentes.

Podem ser atribuídos diversos privilégios administrativos diferentes a partes de uma árvore hierárquica que permita aos membros da função privilegiada efetuarem operações na Consola Admin. do Keeper.

As políticas de imposição do lado do servidor e do lado do cliente também podem ser aplicadas a funções, de forma a ditar o comportamento do cliente para grupos de indivíduos.

As equipas facilitam a distribuição de pastas partilhadas a grupos de utilizadores.

Bridge Active Directory / LDAP do Keeper

O Keeper Bridge integra-se com servidores LDAP e do Active Directory para aprovisionamento e integração de utilizadores. Inicialmente, a comunicação com o Keeper Bridge é autorizada por um administrador com privilégios para gerir o bridge. É gerada uma chave de transmissão que é partilhada com o Keeper para todas as comunicações subsequentes. A utilização da chave de transmissão constitui a autorização para todas as operações efetuadas pelo bridge, com exceção da respetiva inicialização. A chave de transmissão poderá ser regenerada a qualquer momento, sendo efetuada a sua rotação automática a cada 30 dias.

A chave de transmissão destina-se apenas a ser utilizada na transmissão, o que significa que uma chave comprometida poderá ser reinicializada ou revogada sem qualquer perda de dados ou permissões.

O Keeper Bridge não pode conceder privilégios a uma função ou utilizador. Pode adicionar um utilizador a uma função privilegiada, desde que não sejam necessárias quaisquer chaves de imposição. O Keeper Bridge não pode elevar-se a si próprio ou a um utilizador acima da parte da árvore que está a gerir. Nem todas as operações se encontram disponíveis para o Bridge: por exemplo, o Bridge pode desativar um utilizador ativo, mas não o pode eliminar. O administrador terá de escolher se o utilizador deverá ser eliminado ou transferido.

Autenticação com Início de Sessão Único (SAML 2.0)

Os clientes do Keeper Business podem configurar o Keeper para autenticar um utilizador no respetivo cofre do Keeper utilizando produtos de identidade SAML 2.0 padrão. O Keeper constitui um fornecedor de serviços pré-configurado em todos os principais Fornecedores de Identidade de SSO tais como o Google Apps, Microsoft Azure, Okta e Ping Identity, entre outros. O mecanismo utilizado pelo Keeper para autenticar os utilizadores no respetivo cofre num ambiente de conhecimento nulo ("Zero Knowledge") é a implementação com patente pendente denominada Keeper SSO Connect™. O Keeper SSO Connect constitui uma aplicação de software que os administradores do Keeper Business instalam na sua própria infraestrutura (local ou na nuvem), que funciona como um ponto final de fornecedor de serviços SAML 2.0. Quando ativado numa unidade organizacional específica, o Keeper SSO Connect gere todas as chaves de encriptação de utilizadores finais do Keeper Business. Aquando da autenticação bem sucedida no Fornecedor de Identidades de Início de Sessão Único da empresa, a sessão do utilizador é iniciada no Keeper com as chaves de encriptação necessárias para desencriptar o respetivo cofre. O software Keeper SSO Connect funciona em ambientes Windows, Mac e Linux.

Arquitetura de Rede

A KSI utiliza o Amazon AWS na América do Norte e Europa para uma segregação geográfica e de privacidade de dados localizada do alojamento e operação da solução e arquitetura do Keeper. A KSI utiliza o Amazon AWS para alojar e operar a solução e a arquitetura Keeper. A utilização do Amazon AWS permite escalar os recursos do Keeper a pedido, de forma integrada, fornecendo aos clientes o mais rápido e seguro ambiente de armazenamento na nuvem. A KSI opera ambientes multizona e multi-região para maximizar o tempo de atividade e oferecer o melhor tempo de resposta aos clientes.

Arquitetura de Rede

Autenticação do Servidor

Para impedir o acesso não autorizado aos dados, o Keeper Cloud Security Vault tem de autenticar todos os utilizadores ao transmitir dados. A autenticação é efetuada comparando um hash da Palavra-passe Mestre gerado por PBKDF2. O dispositivo do utilizador usa o PBKDF2 para gerar o hash a partir da Palavra-passe Mestre, e o servidor compara o hash com um hash armazenado.

Ao utilizar o hash PBKDF2 em vez da própria Palavra-passe Mestre, o Cloud Security Vault autentica o utilizador sem precisar da Palavra-passe Mestre. O PBKDF2 é também utilizado para gerar chaves de dados de encriptação, mas o hash de autenticação não é utilizado para encriptação de dados.

Arquitetura de Rede

Encriptação de Camada de Transporte

A KSI suporta SSL de 128 e 256 bits para encriptar todas as transferências de dados entre a aplicação cliente e o armazenamento baseado na nuvem da KSI. Trata-se do mesmo nível de encriptação em que confiam diariamente milhões de indivíduos e empresas para transações web que exigem segurança, tais como serviços bancários online, compras online, transações bolsistas, acesso a informações médicas e preenchimento de declarações de impostos.

A KSI implementa certificados SSL/TLS assinados pela Digicert utilizando o algoritmo SHA2, o algoritmo de segurança mais seguro atualmente oferecido por autoridades de certificação comercial. O algoritmo SHA2 é bastante mais seguro do que o algoritmo SHA1, de utilização mais generalizada, que poderá ser explorado devido às fraquezas de natureza matemática identificadas no algoritmo. O algoritmo SHA2 ajuda-o a proteger-se contra a emissão de certificados falsificados, que podem ser utilizados por um atacante para imitar um website.

A KSI também suporta a Transparência de Certificados (TC), uma iniciativa recente da Google para criar um registo de certificados publicamente auditáveis assinados pelas autoridades de certificação. A TC ajuda-o a proteger-se contra a emissão de certificados por entidades não autorizadas. Atualmente, a TC é suportada pelas versões mais recentes do browser Chrome. Poderá consultar mais informações sobre a Transparência de Certificados em: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Fixação de Chaves

Os clientes nativos do Keeper implementam a Fixação de Chaves Públicas HTTP (HPKP). O HPKP é um mecanismo de segurança que permite aos websites HTTPS resistir a tentativas de personificação por parte de atacantes que utilizem certificados fraudulentos.

Fixação de Chaves

Os clientes nativos do Keeper implementam a Fixação de Chaves Públicas HTTP (HPKP). O HPKP é um mecanismo de segurança que permite aos websites HTTPS resistir a tentativas de personificação por parte de atacantes que utilizem certificados fraudulentos.

Porta-chaves e Touch ID® do iOS

Nos dispositivos iOS, o Touch ID permite aceder ao cofre do Keeper no seu dispositivo utilizando a sua impressão digital. Para oferecer esta prática funcionalidade, é armazenada uma versão ininteligível da sua Palavra-passe Mestre no Porta-chaves do iOS. O item do Porta-chaves do iOS criado para esta funcionalidade não se destina a sincronizar com o Porta-chaves do iCloud, pelo que não sairá do seu dispositivo móvel com iOS.

É vivamente recomendada a utilização de uma Palavra-passe Mestre complexa e a ativação da Autenticação Multifator, de modo a maximizar a segurança do seu cofre encriptado do Keeper. A utilização do Touch ID torna mais prática a utilização de uma Palavra-passe Mestre complexa no seu dispositivo móvel com iOS. É também recomendada a definição de um código de acesso com um comprimento superior ao mínimo de quatro dígitos para proteger o Porta-chaves do iOS.

O Porta-chaves do iOS é utilizado pelo sistema e pelas aplicações para armazenar as credenciais em segurança. As aplicações do iOS utilizam o Porta-chaves para armazenar um conjunto de informações sensíveis, incluindo palavras-passe de websites, chaves, números de cartões de crédito e informações do Apple Pay™. O Keeper não utiliza o Porta-chaves do iOS para armazenar os seus registos: todos os registos do Keeper são protegidos por encriptação AES de 256 bits, sendo armazenados em segurança no Cofre do Keeper. O Porta-chaves do iOS é também encriptado com AES de 256 bits, utilizando o código de acesso do dispositivo. Mesmo que o dispositivo móvel seja perdido ou roubado ou que alguém obtenha acesso físico ao mesmo, não será possível aceder às informações armazenadas no Keeper. Não é possível desencriptar o Porta-chaves do iOS sem o código de acesso, nem desencriptar o Cofre do Keeper sem a Palavra-passe Mestre do Keeper do utilizador.

Apple Watch®

A funcionalidade Favorito do Apple Watch permite visualizar registos selecionados num Apple Watch emparelhado. Os registos do Keeper terão de ser ativados de forma explícita para permitir a visualização no Apple Watch. Um Apple Watch emparelhado comunica com a Extensão Keeper para Watch, que é executada de forma transparente num ambiente sandbox separado da aplicação Keeper para iOS. A Extensão Keeper para Watch utiliza também o Porta-chaves do iOS para armazenar de forma segura e aceder às chaves, permitindo uma comunicação segura e integrada com a aplicação Keeper para iOS.

Keeper DNA®

O Keeper DNA é uma inovação promissora da autenticação multifator. Quando utilizado com um Apple Watch emparelhado, o Keeper DNA fornece um método de autenticação multifator sem paralelo em termos de conforto e segurança. O Keeper DNA utiliza tokens seguros armazenados no Cofre do Keeper para gerar códigos de base temporal para a autenticação multifator. Estes pedidos de autenticação de base temporal podem ser aprovados e enviados automaticamente a partir do Apple Watch com um toque no ecrã do relógio ou introduzidos manualmente pelo utilizador. As múltiplas camadas de encriptação, o Touch ID e a autenticação multifator ajudam a tornar o Keeper DNA no método de autenticação mais elegante, seguro e avançado disponível.

Auditorias de Segurança, Análise e Testes

Análise da Segurança de Terceiros e Testes de Penetração

A KSI é testada diariamente pelo McAfee Secure para garantir que a aplicação web Keeper e o Cloud Security Vault se encontram protegidos contra exploits remotos, vulnerabilidades conhecidas e ataques denial-of-service. Poderá encontrar etiquetas McAfee Secure no website do Keeper para garantir que este é testado diariamente, tal como a aplicação web e o Cloud Security Vault.

Mensalmente, a Trustwave realiza uma análise de segurança externa completa do website do Keeper, da aplicação web e do Keeper Cloud Security Vault. O pessoal do Keeper inicia periodicamente análises externas a pedido através do Trustwave.

Conformidade Certificada com SOC2

Os registos dos cofres dos clientes são protegidos com recurso a práticas de controlo interno estritas e altamente monitorizadas. A conformidade do Keeper com SOC 2 Tipo 2 encontra-se certificada de acordo com a estrutura Service Organization Control da AICPA. A certificação SOC2 ajuda a garantir que o seu cofre é protegido através da implementação de controlos padronizados, conforme definido na estrutura Trust Service Principles da AICPA.

Processamento de Pagamentos e Conformidade PCI

This site is protected by Trustwave's Trusted Commerce programA KSI utiliza o PayPal Payments Pro para processar pagamentos por cartão de crédito e débito de forma segura através do website de pagamento KSI. O PayPal Payments Pro é uma solução de processamento de transações em conformidade com PCI-DSS.

A conformidade da KSI com PCI-DSS é certificada pela Trustwave.

O cliente web Keeper, a app Android, a app Windows Phone, a app iPhone/iPad e as extensões para browser foram certificadas em conformidade com os princípios Safe Harbor da UE e com o programa Safe Harbor UE-EUA do Departamento de Comércio norte-americano, cumprindo ainda a Diretiva sobre Proteção de Dados da União Europeia.
Para mais informações sobre o programa Safe Harbor UE-EUA do Departamento de Comércio norte-americano, consulte http://export.gov/safeharbor/index.asp

Licenciado para Exportação pelo Departamento de Comércio norte-americano ao abrigo do EAR

O Keeper encontra-se certificado pelo Gabinete de Indústria e Segurança do Departamento de Comércio norte-americano, ao abrigo do número de controlo 5D992 da Classificação de Exportação de Mercadorias, em conformidade com a regulamentação em matéria de exportação dos EUA (Export Administration Regulations - EAR).
Para mais informações sobre o EAR: http://www.bis.doc.gov

Monitorização Remota 24x7

O Keeper é monitorizado 24x7x365 por uma rede global de monitorização independente, para garantir que o nosso website e o Cloud Security Vault se encontram disponíveis em todo o mundo.

Se tiver dúvidas sobre esta revelação de segurança, contacte-nos.

Phishing ou E-mails Falsificados

Se receber um e-mail alegando ter sido enviado pela KSI e não tiver a certeza de que seja legítimo, poderá tratar-se de "phishing", em que o endereço de e-mail do emissor é forjado ou falsificado. Nesse caso, o e-mail poderá conter ligações para um website de aspeto semelhante a KeeperSecurity.com, mas não se tratando do nosso site. O website poderá solicitar a sua palavra-passe mestre da Keeper Security ou tentar instalar software indesejável no seu computador, numa tentativa de roubar informações pessoais ou aceder ao seu computador. Outros e-mails contêm ligações que o poderão redirecionar para outros websites, potencialmente perigosos. A mensagem poderá também incluir anexos, muitas vezes contendo software indesejável denominado "malware". Se não se sentir seguro relativamente a um e-mail recebido na sua inbox, deverá eliminá-lo sem clicar em quaisquer ligações nem abrir quaisquer anexos.

Se pretender reportar um e-mail que alegue ter sido enviado pela KSI e que acredite ser falsificado, ou se tiver preocupações de segurança envolvendo outros assuntos associados à KSI, contacte-nos.

Infraestrutura de Alojamento Certificada de Acordo com os Mais Elevados Padrões do Setor

O website e o armazenamento na nuvem do Keeper são executados na infraestrutura protegida de computação na nuvem do Amazon Web Services (AWS). A infraestrutura na nuvem do AWS que aloja a arquitetura de sistema do Keeper foi certificada em conformidade com as seguintes ajuramentações, relatórios e certificações de terceiros:

  • SOC 1 / SSAE 16 / ISAE3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Relatórios de Vulnerabilidades

Geral

A KSI compreende e valoriza a confiança que os clientes depositam na Empresa. Levamos a segurança muito a sério e investigamos todas as vulnerabilidades reportadas. Esta página descreve as ações que desenvolvemos para tentar resolver as potenciais vulnerabilidades relativas a qualquer vertente dos nossos serviços.

Utilização Adequada e Privacidade do Utilizador

As informações partilhadas pelo Utilizador com a KSI ao reportar potenciais vulnerabilidades ou problemas de segurança são mantidas confidenciais. Não serão partilhadas com terceiros exteriores à KSI sem o seu consentimento expresso, por escrito.

Métodos de Contacto

Se pensa ter encontrado uma vulnerabilidade ou problema de segurança no software Keeper, envie-nos um e-mail diretamente para security@keepersecurity.com. Se pretender proteger o e-mail, poderá utilizar PGP; a nossa chave segura é http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x83E4A47BF43583AE.

SLAs de Contacto

A KSI compromete-se a ser diligente e a manter o Utilizador informado sobre os progressos da Empresa. Receberá uma resposta não automática ao seu contacto inicial no prazo de 24 horas, acusando a receção do relatório de vulnerabilidade. Pelo menos de cinco em cinco dias úteis, receberá atualizações sobre o progresso da KSI.

Contacto Inicial

Se acreditar ter descoberto uma vulnerabilidade num produto da KSI, contacte a Empresa conforme descrito acima. Para podermos responder ao seu relatório de forma mais rápida e eficaz, forneça todo o material de suporte (por ex., código de prova de conceito, resultados de ferramentas de segurança, etc.) que possa ser útil para nos ajudar a compreender a natureza e gravidade da vulnerabilidade.

Reconhecimento

A KSI consultará o relatório submetido e atribuir-lhe-á um número de controlo. Responderá então ao cliente, acusando a receção do relatório e resumindo os passos seguintes do processo.

Avaliação

Quando tiver revisto o relatório, a KSI tentará validar e reproduzir a vulnerabilidade reportada. Se forem necessárias informações adicionais para validar ou reproduzir o problema, a KSI trabalhará em conjunto com o Utilizador para obter tais informações. Quando a investigação inicial estiver concluída, os resultados ser-lhe-ão enviados juntamente com o plano de resolução e divulgação pública, se necessário.

Resolução

Se não for possível validar o problema ou se este não for considerado uma falha num produto ou sistema da KSI, este resultado será partilhado com o Utilizador.

Notificação

Se aplicável, a KSI coordenará com o Utilizador a notificação pública de uma vulnerabilidade validada. Os boletins de segurança da KSI são publicados na nossa página de Monitorização de Segurança. Normalmente os indivíduos, empresas, entidades não empresariais e equipas de segurança publicam as suas recomendações nos respetivos websites ou noutros fóruns. Sempre que possível, preferimos que as nossas divulgações ao público sejam efetuadas em simultâneo.

Classificação de Ameaças

A KSI utiliza a versão 2.0 do CVSS (Common Vulnerability Scoring System) para avaliar as potenciais vulnerabilidades reportadas. A classificação resultante ajuda a quantificar a gravidade da vulnerabilidade e a atribuir um grau de prioridade à nossa resposta. Além disso, a KSI inclui as classificações CVSS de base e temporais nas suas recomendações de segurança, ajudando os clientes a compreender os respetivos riscos e a atribuir um grau de prioridade às suas próprias respostas.

Proteção contra Divulgação

Para proteger os seus clientes, a KSI solicita que não publique nem partilhe quaisquer informações relativas a potenciais vulnerabilidades em qualquer ambiente público até que tenhamos investigado, respondido e resolvido a vulnerabilidade reportada, informando, se necessário, os clientes. Além disso, solicitamos respeitosamente que não publique nem partilhe quaisquer dados pertencentes aos nossos clientes. A resolução das vulnerabilidades válidas reportadas demora algum tempo. Esse período variará com base na gravidade da vulnerabilidade e nos sistemas afetados.

Divulgação Indevida de Vulnerabilidades, Código Fonte ou Dados de Clientes

A KSI envida todos os esforços para proteger e salvaguardar a sua infraestrutura interna, software, propriedade intelectual, detentores de interesses e clientes. Leia a nossa Política de Privacidade. Se for um investigador ou perito em segurança, note que quaisquer notificações que efetuar junto da KSI e que envolvam uma alegada vulnerabilidade de segurança do nosso software e/ou infraestrutura, serão investigadas e remediadas atempadamente. Contacte-nos.

É proibido o acesso não autorizado aos sistemas ou software da KSI e/ou a dispositivos de utilizadores em que o Keeper seja executado. É igualmente proibida a divulgação ou ameaça de divulgação de alegadas vulnerabilidades, falhas ou degradação do nível de segurança do nosso software ou sistemas (que são proprietários e detidos pela KSI) num fórum público.

Se determinarmos que um indivíduo ou entidade tentou efetuar engenharia inversa, penetrar, infiltrar ou violar o nosso software, infraestrutura e/ou dispositivos de utilizadores (o que pode incluir falhas ou vulnerabilidades de sistemas operativos criados por ou utilizados pelos nossos parceiros OEM estratégicos), agiremos prontamente, seja sob a forma de processo judicial, seja informando as autoridades locais, regionais ou nacionais.

No entanto, se os seus esforços tiverem sido desenvolvidos de forma inadvertida e/ou realizados num ambiente interno (por ex., num dispositivo de teste e não num dispositivo de um utilizador do Keeper) e tais esforços e resultados não tiverem sido objeto de ameaças contingentes ou de efetiva divulgação pública, não o acionaremos legalmente nem o denunciaremos às autoridades locais, regionais ou nacionais.