Práticas de segurança

Na Smartsheet, entendemos que você precisa saber como seus dados são protegidos ao usar nossos Serviços online. Estas Práticas de Segurança da Smartsheet descrevem práticas e proteções que incluem medidas físicas, organizacionais e técnicas utilizadas e elaboradas pela Smartsheet para preservar a segurança, a integridade e a confidencialidade dos Serviços online e do Conteúdo do Cliente e para fornecer proteção contra ameaças à segurança da informação.

 

1.       Geral.

1.1     Programa de segurança da informação.  A Smartsheet manterá um programa abrangente de segurança da informação por escrito, incluindo políticas, padrões, procedimentos e documentos relacionados que estabeleçam critérios, meios, métodos e medidas que regem o Processamento e a segurança do Conteúdo do Cliente e dos sistemas ou redes da Smartsheet usados para Processar ou proteger o Conteúdo do Cliente (“Sistemas de Informação da Smartsheet ”) em conexão com a prestação dos Serviços nos termos do Contrato e do Suplemento. 

1.2     Confidencialidade e treinamento.  A Smartsheet garantirá que o Pessoal da Smartsheet: (a) esteja vinculado a obrigações de confidencialidade em relação ao Conteúdo do Cliente substancialmente tão protetoras quanto as estabelecidas no Contrato; e (b) esteja sujeito a treinamento apropriado em relação ao Processamento do Conteúdo do Cliente.

1.3     Definições

1.3.1    “Contrato” significa o contrato que rege o acesso e o uso dos Serviços online pelo Cliente.

1.3.2    “Cliente” significa o indivíduo ou a entidade que executa ou aceita um Pedido ou que se registra para acesso e uso de teste gratuito de um Serviço e que celebrou um Contrato.

1.3.3    “Conteúdo do Cliente” significa qualquer dado, anexo de arquivo, texto, imagem, relatório, informação pessoal ou outro conteúdo que seja carregado ou enviado a um Serviço online pelo Cliente ou pelos Usuários e Processado pela Smartsheet em nome do Cliente. 

1.3.4    “Processar” significa qualquer operação ou conjunto de operações realizada com o Conteúdo do Cliente, seja por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, uso, alinhamento, combinação, restrição, apagamento, destruição ou divulgação por transmissão, disseminação ou outro modo de disponibilização.

1.3.5    “Violação de Segurança” significa uma violação de segurança que resulta na destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso ao Conteúdo do Cliente.

1.3.6    “Serviços” significa os Serviços de Assinatura e qualquer outro serviço ou aplicativo online fornecido ou controlado pela Smartsheet para uso com os Serviços de Assinatura.

1.3.7    “Pessoal da Smartsheet” significa qualquer indivíduo autorizado pela Smartsheet a Processar o Conteúdo do Cliente.

1.3.8    “Serviços de Assinatura” significa os serviços e aplicativos online baseados em assinatura que são provisionados ou controlados pela Smartsheet. 

1.3.9     “Suplemento” significa os critérios, meios, métodos e medidas e os termos e condições aplicáveis a determinados produtos e serviços da Smartsheet ou tipos de clientes disponíveis em www.smartsheet.com/legal/agreement-supplement.

1.3.10    “Usuário” significa qualquer indivíduo autorizado ou convidado pelo Cliente ou outro Usuário a acessar e usar os Serviços online sob os termos do Contrato.

 

2.      Controles de segurança.  De acordo com o programa de segurança da informação da Smartsheet, a Smartsheet deve implementar controles físicos, organizacionais e técnicos apropriados projetados para: (a) garantir a segurança, a integridade e a confidencialidade do Conteúdo do Cliente Processado pela Smartsheet; e (b) proteger o Conteúdo do Cliente contra ameaças ou perigos conhecidos ou suficientemente previstos, inclusive em relação à segurança, integridade, perda acidental, alteração, divulgação e outras formas ilegais de Processamento. Sem prejuízo do exposto acima, a Smartsheet utilizará, conforme apropriado, os seguintes controles:

2.1    Firewalls.  A Smartsheet instalará e manterá firewall(s) para proteger dados acessíveis pela internet. 

2.2    Atualizações.  A Smartsheet manterá programas e rotinas para fazer com que os Sistemas de Informações da Smartsheet permaneçam atualizados com as correções de erros, novas versões e outras modificações mais recentes.

2.3    Antimalware.  A Smartsheet implantará e usará software antimalware e manterá o software antimalware atualizado. A Smartsheet usará esse software para reduzir ameaças de todos os vírus, spyware e outros códigos maliciosos que são ou devem ser detectados de maneira razoável. 

2.4    Testes.  A Smartsheet testará regularmente seus sistemas, processos e controles de segurança para garantir que atendam aos requisitos destas Práticas de Segurança.

2.5    Controles de acesso.  A Smartsheet protegerá o Conteúdo do Cliente Processado pelos Sistemas de Informações da Smartsheet em conformidade com o seguinte:

  • 2.5.1    A Smartsheet atribuirá uma ID exclusiva ao Pessoal da Smartsheet com acesso aos Sistemas de Informação da Smartsheet. 
  • 2.5.2    A Smartsheet restringirá o acesso aos Sistemas de Informação da Smartsheet apenas ao Pessoal da Smartsheet necessário para cumprir uma obrigação especificada conforme permitido pelo Contrato. 
  • 2.5.3    A Smartsheet revisará regularmente (no mínimo uma vez a cada noventa (90) dias) a lista de Pessoal da Smartsheet e de serviços com acesso aos Sistemas de Informação da Smartsheet e removerá contas que não precisam mais de acesso.
  • 2.5.4    A Smartsheet não usará os padrões fornecidos pelo fabricante para senhas do sistema em nenhum sistema operacional, software ou no Sistema de Informações da Smartsheet, exigirá o uso de “senhas fortes” impostas pelo sistema de acordo com ou excedendo as melhores práticas (descritas abaixo) e exigirá que todas as senhas e credenciais de acesso sejam mantidas em sigilo e não sejam compartilhadas entre o Pessoal da Smartsheet. 
  • 2.5.5    No mínimo, as senhas de produção da Smartsheet: (i) conterão pelo menos oito (8) caracteres; (ii) não corresponderão a senhas anteriores, ao login do usuário ou a um nome comum; (iii) serão alteradas sempre que houver suspeita ou suposição de comprometimento da conta; e (iv) serão substituídas periodicamente.
  • 2.5.6    A Smartsheet aplicará o bloqueio da conta desativando contas que Processam o Conteúdo do Cliente quando um número determinado de tentativas de senha incorretas for excedido em um período específico.
  • 2.5.7    A Smartsheet manterá dados de registro para todos os usos de contas ou credenciais pelo Pessoal da Smartsheet para acesso aos Sistemas de Informação da Smartsheet e revisará regularmente os registros de acesso, verificando se há sinais de comportamento malicioso ou acesso não autorizado. 

2.6    Políticas.  A Smartsheet manterá e aplicará políticas apropriadas de segurança da informação, confidencialidade e uso aceitável para o Pessoal da Smartsheet que atendam aos padrões estabelecidos nestas Práticas de Segurança, incluindo métodos para detectar e registrar violações de políticas. 

2.7    Desenvolvimento.  Os ambientes de desenvolvimento e teste serão separados dos Sistemas de Informação da Smartsheet. 

2.8    Exclusão.  A Smartsheet utilizará procedimentos que estão, no mínimo, de acordo com as recomendações do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) SP 800-88, Revisão 1 (ou um padrão substituto amplamente utilizado no setor) para tornar o Conteúdo do Cliente irrecuperável antes do descarte da mídia.  

2.9    Criptografia.  A Smartsheet utilizará padrões criptográficos que exigem algoritmos autorizados, requisitos de extensão de chave e processos de gerenciamento de chave que sejam consistentes com ou excedam os padrões atuais do setor, incluindo as recomendações do NIST, e utilizará requisitos de fortalecimento e configuração consistentes com a abordagem dos padrões vigentes do setor, incluindo as recomendações do SANS Institute, NIST ou Center for Internet Security (CIS). Seguindo esses padrões, a Smartsheet criptografará o Conteúdo do Cliente em repouso nos Serviços online e permitirá apenas conexões criptografadas com o Serviço online para a transferência do Conteúdo do Cliente.

2.10  Acesso remoto.  A Smartsheet garantirá que qualquer acesso de fora de seus ambientes corporativos ou de produção protegidos aos Sistemas de Informação da Smartsheet ou às redes de estações de trabalho corporativas ou de desenvolvimento da Smartsheet exigirá controles de conexão apropriados, como VPN ou autenticação multifator. 

 

3.      Uso de terceiros.

3.1    Geral.  Os terceiros contratados pela Smartsheet de acordo com o Contrato manterão (no mínimo) níveis de segurança substancialmente semelhantes conforme aplicável e exigido por estas Práticas de Segurança.

3.2   Hospedagem de dados. A Smartsheet garantirá que qualquer provedor de hospedagem terceirizado (“Infraestrutura como Serviço” ou “IaaS”) utilizado pela Smartsheet para Processar o Conteúdo do Cliente atenda aos seguintes requisitos:

  • 3.2.1     Requisitos básicos.  No mínimo, a Smartsheet garantirá que os provedores de IaaS: (a) mantenham controles de acesso e segurança física adequados conforme estabelecido na Seção 2.5 destas Práticas de Segurança; (b) usem controles profissionais ambientais e de HVAC; (c) utilizem o ambiente profissional de rede/cabeamento; (d) usem a capacidade profissional de detecção/supressão de incêndio; e (e) mantenham um plano abrangente de continuidade de negócios.
  • 3.2.2     Auditoria anual e avaliação.  Realizar avaliações e auditorias de risco anuais independentes. Tais avaliações e relatórios de auditoria serão fornecidos à Smartsheet e, se exigido por lei, disponibilizados ao Cliente, desde que a Smartsheet possa remover todas as informações comerciais e confidenciais ou os termos não relacionados às práticas de segurança da IaaS. Além disso, a Smartsheet deve realizar revisões e avaliações anuais de qualquer IaaS crítica para validar as medidas de segurança, no mínimo, atendendo aos requisitos destas Práticas de Segurança.
  • 3.2.3     Requisitos ampliados.  Possuir requisitos e recursos de um data center altamente disponível e redundante (“N+1”), no qual vários componentes fornecem pelo menos um componente de backup independente para garantir que a funcionalidade do sistema continue em níveis de desempenho aceitáveis no caso de uma falha do sistema.

 

4.      Disponibilidade do sistema.  A Smartsheet manterá (ou, com relação a sistemas controlados por terceiros, garantirá que esses terceiros mantenham) um programa de recuperação de desastres (“RD”) projetado para recuperar a disponibilidade do Serviço de Assinatura após um desastre. No mínimo, esse programa de RD incluirá os seguintes elementos: (a) validação de rotina de procedimentos para criar de maneira regular e programática cópias de retenção do Conteúdo do Cliente com a finalidade de recuperar dados perdidos ou corrompidos; (b) inventários, atualizados no mínimo anualmente, que listem todos os Sistemas de Informação da Smartsheet críticos; (c) revisão e atualização anuais do programa de RD; e (d) teste anual do programa de RD projetado para validar os procedimentos e a capacidade de recuperação do serviço detalhado nele.

 

5.      Violação de Segurança.

5.1    Procedimento

  • 5.1.1     A Smartsheet notificará o Cliente por escrito, sem demora injustificada, quando a Smartsheet tomar conhecimento de uma Violação de Segurança confirmada. 
  • 5.1.2     A Smartsheet investigará e, conforme necessário, reduzirá ou corrigirá uma Violação de Segurança de acordo com as políticas e procedimentos de incidentes de segurança da Smartsheet (“Gerenciamento de Violações”).
  • 5.1.3    Sujeita às obrigações legais, a Smartsheet fornecerá ao Cliente informações que estiverem disponíveis para a Smartsheet como resultado de seu Gerenciamento de Violações, incluindo a natureza do incidente, informações específicas divulgadas (se conhecidas) e quaisquer esforços de redução ou medidas de remediação relevantes (“Informações de Violação”) para que o Cliente cumpra com sua obrigação sob as leis aplicáveis como resultado de uma Violação de Segurança.
  • 5.1.4    Se o Cliente exigir informações relacionadas a uma Violação de Segurança além das Informações do Incidente, às custas exclusivas do Cliente, mediante solicitação por escrito, e na medida em que o Cliente não puder acessar tais informações por conta própria, a Smartsheet cooperará de maneira razoável com o Cliente, conforme solicitado por ele, para tentar coletar e fornecer essas informações adicionais.

5.2    Tentativas malsucedidas.  Um ataque ou intrusão malsucedido não é uma Violação de Segurança sujeita a esta Seção 5. Um “ataque ou intrusão malsucedido” é aquele que não resulta em acesso não autorizado ou ilegal ao Conteúdo do Cliente e que pode incluir, entre outros, pings e outros ataques de transmissão em firewalls ou servidores de borda, varreduras de portas, tentativas de logon malsucedidas, ataques de negação de serviço, sniffing de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulte em acesso além de endereços IP ou cabeçalhos TCP/UDP) ou incidentes semelhantes.

5.3    Envolvimento do Cliente ou Usuário.  O acesso não autorizado ou ilegal ao Conteúdo do Cliente que resulte das definições de configuração do Cliente, do comprometimento das credenciais de login de um Usuário ou do compartilhamento ou divulgação intencional ou inadvertida do Conteúdo do Cliente pelo Cliente ou por um Usuário não é uma Violação de Segurança.

5.4    Notificações.  As notificações de Violação de Segurança, se houver, serão entregues a um ou mais Usuários administradores de sistema do Cliente por qualquer meio razoável selecionado pela Smartsheet, incluindo e-mail. O Cliente é o único responsável por manter informações de contato precisas no Serviço online o tempo todo.

5.5    Aviso de isenção de responsabilidade.  A obrigação da Smartsheet de relatar ou responder a uma Violação de Segurança nos termos desta Seção 5 não é um reconhecimento de qualquer falha ou responsabilidade por parte da Smartsheet em relação à Violação de Segurança.

 

6.      Auditorias e relatórios.

6.1    Monitoramento.  A Smartsheet monitora o desempenho de seu programa de segurança da informação continuamente, realizando várias auditorias, avaliações de risco e outras atividades de monitoramento para garantir a eficácia de suas medidas e controles de segurança. 

6.2    Relatórios de auditoria.  A Smartsheet usa auditores externos para verificar a adequação de suas medidas e de seus controles de segurança para determinados Serviços, incluindo os Serviços de Assinatura. A auditoria resultante: (a) incluirá o teste de todo o período de medição desde o fim do período de medição anterior; (b) será realizada de acordo com os padrões AICPA SOC2 ou outros padrões alternativos que sejam substancialmente equivalentes ao AICPA SOC2; (c) será realizada por profissionais de segurança terceirizados independentes, por seleção e às custas da Smartsheet; e (d) resultará na geração de um relatório SOC2 (“Relatório de Auditoria”), que será considerado Informação Confidencial da Smartsheet. O Relatório de Auditoria será disponibilizado ao Cliente mediante solicitação por escrito não mais do que anualmente, sujeito às obrigações de confidencialidade do Contrato ou a um contrato de não divulgação mutuamente acordado. Para evitar dúvidas, cada Relatório de Auditoria discutirá apenas os Serviços existentes no momento em que foi emitido; Serviços liberados posteriormente, se estiverem dentro do escopo, figurarão na próxima iteração anual do Relatório de Auditoria.  

6.3    Teste de penetração.  A Smartsheet usa especialistas em segurança externos para realizar testes de penetração de alguns Serviços online, incluindo os Serviços de Assinatura. Tais testes: (a) serão realizados ao menos anualmente; (b) serão realizados por profissionais de segurança terceirizados independentes, por seleção e às custas da Smartsheet; e (c) resultarão na geração de um relatório de teste de penetração (“Relatório de Teste Penetração”), que será considerado Informação Confidencial da Smartsheet. O Relatório de Teste Penetração será disponibilizado ao Cliente mediante solicitação por escrito não mais do que anualmente, sujeito às obrigações de confidencialidade do Contrato ou a um contrato de não divulgação mutuamente acordado.  

6.4     Auditoria do Cliente.  Se o Cliente exigir legalmente informações para sua conformidade com as leis aplicáveis, além dos Relatórios de Auditoria e de Teste de Penetração, às custas exclusivas do Cliente, mediante solicitação por escrito, e na medida em que o Cliente não puder acessar as informações adicionais por conta própria, a Smartsheet possibilitará e cooperará com uma auditoria obrigatória do Cliente feita por um auditor terceirizado em relação ao Processamento do Conteúdo do Cliente por parte da Smartsheet (“Auditoria do Cliente”), desde que:

  • 6.4.1.   O Cliente forneça à Smartsheet uma notificação prévia razoável contendo a identidade do auditor e a data e o escopo previstos da Auditoria do Cliente;
  • 6.4.2    A Smartsheet aprove o auditor por meio de notificação ao Cliente, sendo que tal aprovação não deve ser retida injustificadamente;
  • 6.4.3    O Cliente e o auditor ajam de modo a evitar causar qualquer dano, lesão ou interrupção nas instalações, nos equipamentos ou nos negócios da Smartsheet no curso de tal Auditoria do Cliente; e 
  • 6.4.4.   O Cliente inicie apenas uma Auditoria do Cliente em um dado ano civil, a menos que exigido de outra forma pela aplicação da lei.

 

Atualização mais recente: 24 de março de 2023