MicroStrategy ONE

MicroStrategy Programa de garantia de segurança

Para ver uma versão em PDF com apenas esta página, clique aqui.

MicroStrategy tem um programa de segurança abrangente focado na proteção de seus dados, independentemente de nosso produto ser implantado por meio de nossa oferta de serviço gerenciado em nuvem ou no local. Desde a engenharia até a correção de vulnerabilidades, estamos comprometidos em garantir que nossos produtos atendam continuamente às suas necessidades de negócio e de segurança.

Certificações

  • Certificado ISO 27001 para MicroStrategy Cloud Ambiente
  • Auditoria SOC2 Tipo II para MicroStrategy Cloud Ambiente
  • Conformidade com o Escudo de Privacidade
  • Cloud Platform compatível com PCI DSS
  • MicroStrategy Solução de nuvem totalmente gerenciada em conformidade com HIPAA
  • Conformidade com o sistema financeiro corporativo SOX
  • País de origem do produto: Estados Unidos

Segurança pessoal

  • Verificações de antecedentes realizadas em todos os funcionários
  • Credenciais educacionais validadas
  • Histórico financeiro/de crédito verificado
  • Antecedentes criminais verificados

Treinamento e certificações de segurança para funcionários

  • Princípios de segurança
  • Modelo de ameaças
  • Segurança na web e testes de quebra de segurança
  • Segurança de dispositivos móveis

Processo de design de segurança

  • Modelo de ameaças baseada no STRIDE e em outros modelos desenvolvidos internamente
  • Aplicação de princípios de segurança (por exemplo, "Defesa em profundidade")
  • Consideração das vulnerabilidades do OWASP 10
  • Revisão de design por equipe de engenharia de segurança exclusiva

Recursos de segurança incorporados

  • Autenticação do usuário
    • OIDC
    • SAML
    • Login único (SSO)
    • LDAP/AD
    • Padrão (Nome do usuário/Senha)
    • Kerberos
  • Proteção HTTPS/TLS para dados em trânsito
  • Criptografia AES de 256 bits para dados em repouso
  • Controle de acesso baseado em função
  • Segurança em nível de linha
  • CSRF, clickjacking e codificação de saída HTML (para prevenção de XSS)

Desenvolvimento seguro

  • Padrões de codificação segura para todos os idiomas usados
  • Revisão de códigos em vários níveis
  • Análise estática de código-fonte
  • Verificação binária do código compilado usando o verificador binário Veracode
  • Testes manuais de quebra de segurança

Controle de componentes de terceiros

O uso de componentes de terceiros é rigorosamente controlado. Um processo formal é imposto para a introdução de novos componentes nos produtos. A confirmação independente de componentes de terceiros incorporados aos produtos é realizada com a ferramenta Synopsys Black Duck. Os componentes que possuem vulnerabilidades de segurança são programados de forma agressiva para atualização ou substituição.

Testes de segurança interna

Ao longo do ciclo de desenvolvimento, MicroStrategy conduz testes de penetração internos para validar a segurança de recursos novos ou modificados e para revalidar a segurança do conjunto de produtos existente contra novas ameaças. Esses testes incluem os riscos identificados no OWASP-10 e outras vulnerabilidades conhecidas. Os modelos de ameaças desenvolvidos durante o design do produto oferecem orientações adicionais para esse teste.

Testes independentes de quebra de segurança

Envolvemos várias empresas de segurança para realizar testes anuais de quebra de segurança. Os testes têm escopos abrangentes e usam técnicas de teste de caixa preta, bem como testes de caixa branca que incluem acesso total ao código-fonte do produto. Os problemas identificados durante esses testes são imediatamente programados para resolução no produto com base em prioridades de risco. O novo teste subsequente é então realizado pela(s) empresa(s) de segurança para verificar se os problemas foram resolvidos com sucesso.

Lançamento seguro

Um repositório de código centralizado (GitHub Enterprise) é mantido para desenvolvimento. As verificações do repositório são submetidas a procedimentos de revisão de código específicos da área. O processo de compilação é controlado pela equipe de DevOps. Todas as máquinas que desenvolvem o produto usam um antivírus de nível empresarial atualizado com as assinaturas mais recentes.

Patches e atualizações de segurança

A segurança é de extrema importância em MicroStrategy. As vulnerabilidades são tratadas como problemas prioritários e consertadas no próximo lançamento. Portanto, manter seu software atualizado é uma das precauções de segurança mais simples, porém mais importantes, que você pode tomar para manter seu MicroStrategy segurança do produto. No caso de um problema crítico de segurança fora do ciclo regular de atualização, MicroStrategy pode emitir um patch provisório ou solução alternativa, mas a atualização ainda será necessária para manter suas implantações o mais seguras possível.

Relatório de um problema de segurança

Atual MicroStrategy os clientes podem relatar possíveis problemas de segurança e dúvidas por meio de MicroStrategy Suporte técnico. Os pesquisadores podem enviar problemas na página de relatórios.

Para obter mais informações, contate o representante da conta.