Strategy ONE

Programa de garantia de segurança do MicroStrategy

Para ver uma versão em PDF com apenas esta página, clique aqui.

A MicroStrategy tem um abrangente programa de segurança focado na proteção dos seus dados, seja o produto implantado com a oferta de Cloud Managed Service ou no local. Desde a engenharia até a correção de vulnerabilidades, estamos comprometidos em garantir que nossos produtos atendam continuamente às suas necessidades de negócio e de segurança.

Certificações

  • Certificação ISO 27001 para o ambiente do MicroStrategy Cloud
  • Auditoria SOC2 Tipo II para o ambiente do MicroStrategy Cloud
  • Conformidade com o Escudo de Privacidade
  • Cloud Platform compatível com PCI DSS
  • Solução na nuvem da MicroStrategy totalmente compatível com HIPAA
  • Conformidade com o sistema financeiro corporativo SOX
  • País de origem do produto: Estados Unidos

Segurança pessoal

  • Verificações de antecedentes realizadas em todos os funcionários
  • Credenciais educacionais validadas
  • Histórico financeiro/de crédito verificado
  • Antecedentes criminais verificados

Treinamento e certificações de segurança para funcionários

  • Princípios de segurança
  • Modelo de ameaças
  • Segurança na web e testes de quebra de segurança
  • Segurança de dispositivos móveis

Processo de design de segurança

  • Modelo de ameaças baseada no STRIDE e em outros modelos desenvolvidos internamente
  • Aplicação de princípios de segurança (por exemplo, "Defesa em profundidade")
  • Consideração das vulnerabilidades do OWASP 10
  • Revisão de design por equipe de engenharia de segurança exclusiva

Recursos de segurança incorporados

  • Autenticação do usuário
    • OIDC
    • SAML
    • LOGIN ÚNICO (SSO)
    • LDAP/AD
    • Padrão (Nome do usuário/Senha)
    • Kerberos
  • Proteção HTTPS/TLS para dados em trânsito
  • Criptografia AES de 256 bits para dados em repouso
  • Controle de acesso baseado em função
  • Segurança em nível de linha
  • CSRF, clickjacking e codificação de saída HTML (para prevenção de XSS)

Desenvolvimento seguro

  • Padrões de codificação segura para todos os idiomas usados
  • Revisão de códigos em vários níveis
  • Análise estática de código-fonte
  • Verificação binária do código compilado usando o verificador binário Veracode
  • Testes manuais de quebra de segurança

Controle de componentes de terceiros

O uso de componentes de terceiros é rigorosamente controlado. Um processo formal é imposto para a introdução de novos componentes nos produtos. A confirmação independente de componentes de terceiros incorporados aos produtos é realizada com a ferramenta Synopsys Black Duck. Os componentes que possuem vulnerabilidades de segurança são programados de forma agressiva para atualização ou substituição.

Testes de segurança interna

Durante todo o ciclo de desenvolvimento, a MicroStrategy realiza testes de quebra de segurança interna para validar a segurança de recursos novos ou modificados, além de revalidar a segurança do pacote de produtos existente para novas ameaças. Esses testes incluem os riscos identificados no OWASP-10 e outras vulnerabilidades conhecidas. Os modelos de ameaças desenvolvidos durante o design do produto oferecem orientações adicionais para esse teste.

Testes independentes de quebra de segurança

Envolvemos várias empresas de segurança para realizar testes anuais de quebra de segurança. Os testes têm escopos abrangentes e usam técnicas de teste de caixa preta, bem como testes de caixa branca que incluem acesso total ao código-fonte do produto. Os problemas identificados durante esses testes são imediatamente programados para resolução no produto com base em prioridades de risco. O novo teste subsequente é então realizado pela(s) empresa(s) de segurança para verificar se os problemas foram resolvidos com sucesso.

Lançamento seguro

Um repositório de código centralizado (GitHub Enterprise) é mantido para desenvolvimento. As verificações do repositório são submetidas a procedimentos de revisão de código específicos da área. O processo de compilação é controlado pela equipe de DevOps. Todas as máquinas que desenvolvem o produto usam um antivírus de nível empresarial atualizado com as assinaturas mais recentes.

Patches e atualizações de segurança

A segurança é de extrema importância na MicroStrategy. As vulnerabilidades são tratadas como problemas prioritários e consertadas no próximo lançamento. Portanto, manter seu software atualizado é uma das precauções de segurança mais simples, porém mais importantes, que você pode adotar para manter a segurança dos seus produtos MicroStrategy. No caso de um problema crítico de segurança fora do ciclo regular de atualização, a MicroStrategy pode emitir um patch ou solução provisória temporária, mas a atualização ainda será necessária para manter suas implementações o mais seguras possível.

Relatório de um problema de segurança

Os clientes atuais da MicroStrategy podem relatar possíveis problemas de segurança e fazer consultas por meio do Suporte Técnico da MicroStrategy. Os pesquisadores podem enviar problemas na página de relatórios.

Para obter mais informações, contate o representante da conta.