Perguntas frequentes da Central de Confiança

A Elastic é um cliente zero entusiasmado de todas as nossas soluções — especialmente o Elastic Security. Temos o compromisso de fornecer a você produtos e serviços que foram testados em um ambiente de produção real antes de serem amplamente distribuídos. Usamos nossos produtos em todos os lugares que podemos — e para mais do que apenas logs. A equipe de InfoSec da Elastic usa os recursos da Elasticsearch Platform para criar, monitorar, detectar e responder diariamente a eventos de segurança.

Leia os posts do blog Elastic on Elastic (Elastic no Elastic) e Elastic Security para saber mais.

A Elastic adotou formalmente um sistema de gestão de segurança da informação (SGSI) certificado pela ISO 27001, incluindo ISO 27017 e ISO 27018. Nossa Política de Governança de Segurança da Informação serve como espinha dorsal para todas as políticas, padrões e diretrizes de segurança da informação. Nosso SGSI inclui medidas técnicas e organizacionais apropriadas e abrangentes, projetadas para proteger os dados do seu cluster contra acesso, modificação ou exclusão não autorizados.

Estabelecemos controles de acesso para autenticar a identidade dos indivíduos que acessam os sistemas que processam dados dos clusters dos nossos clientes. Projetamos esses controles para ajudar a garantir que usuários não autorizados não tenham acesso a esses sistemas e que indivíduos autorizados tenham acesso apenas ao que for apropriado para sua função. Esses controles incluem, entre outros, autenticação multifator, padrões de força da senha e redes privadas virtuais (VPN) para acesso administrativo. Também implementamos logging centralizado, incluindo logs de proxy, logs de acesso, logs do Elasticsearch e logs do Auditbeat, para registrar o acesso aos dados do cluster do cliente e aos sistemas nos quais eles residem.

As soluções baseadas em busca do Elastic Cloud são hospedadas em plataformas de nuvem certificadas que são gerenciadas por provedores de infraestrutura como serviço (IaaS) líderes do setor, incluindo Amazon Web Services (AWS), Google Cloud e Microsoft Azure. A Elastic analisa as certificações e práticas de segurança de nossos subprocessadores para garantir que haja medidas de segurança física adequadas em vigor nas instalações onde os dados do Elastic Cloud serão processados e armazenados.

Um Elastic Security Advisory (ESA) é um aviso da Elastic aos seus usuários que informa publicamente sobre problemas de segurança com produtos da Elastic. A Elastic atribui um identificador de CVE e um identificador de ESA a cada comunicado e fornece um resumo e detalhes de correção e mitigação. Anunciamos todos os novos comunicados no fórum de comunicados de segurança (em inglês), e você pode acompanhá-los por meio de um feed RSS.

A Elastic aprecia nossa parceria com a comunidade de segurança e compartilha o objetivo de manter nossos usuários e a Internet seguros. Relate possíveis vulnerabilidades de segurança que afetem qualquer produto da Elastic, o Elastic Cloud Service ou o site elastic.co por meio do nosso programa HackerOne de recompensa por bugs. Para saber o escopo detalhado e as regras do compromisso, consulte a política do nosso programa HackerOne.

De acordo com os princípios de Divulgação Coordenada de Vulnerabilidades, a Elastic analisa possíveis vulnerabilidades de segurança para identificar mitigações recomendadas ou atualizações de produto e coordena as divulgações por meio dos Elastic Security Advisories (ESA) e do programa de CVE. Não publique nem compartilhe informações sobre possíveis vulnerabilidades em nenhum fórum público até que tenhamos pesquisado e respondido ao problema.

Os usuários e clientes podem relatar qualquer outro possível problema de segurança pelo email security@elastic.co. Você pode usar esse endereço para consultas de produtos relacionadas à segurança ou solicitações sobre outros tópicos de segurança que não sejam mencionados explicitamente aqui. Apenas problemas relacionados a segurança são recebidos nesse endereço. Você deve direcionar os relatórios de bugs para o banco de dados de bugs do projeto correspondente ou para o suporte da Elastic. Se desejar criptografar sua mensagem para nós, use nossa chave PGP. A impressão digital é:

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

A chave está disponível por meio de servidores de chaves. Faça uma busca por “security@elastic.co”. Exemplo no OpenPGP

Na Elastic, sabemos que a segurança é responsabilidade de todos. É por isso que incorporamos a segurança ao desenvolvimento dos produtos e à base do Elastic Cloud.

A segurança e a privacidade dos seus dados do Elastic Cloud também dependem de você manter seu cluster do Elasticsearch configurado de forma segura e manter a confidencialidade das suas credenciais de login do Elastic Cloud.

Aqui está uma lista de verificação rápida para ajudar:

• Não compartilhe suas credenciais com ninguém.
• Atualize o perfil da sua conta para garantir que as informações estejam corretas e atuais.
• Adicione contatos operacionais conforme apropriado.
• Defina senhas seguras.
• Tenha cuidado ao habilitar plugins customizados nas suas implantações do Elastic Cloud.
• Pense em definir a opção para exigir nomes de índice ao iniciar ações destrutivas.

Se precisar fazer alterações que não estejam disponíveis no console Elastic Cloud, crie um caso no suporte da Elastic. Se você acredita que uma conta foi comprometida, envie um email para security@elastic.co. E se precisar fazer uma solicitação de apagamento, entre em contato com a equipe de privacidade de dados da Elastic aqui.

Sim, os dados são criptografados em repouso por AES-256 e em trânsito por TLS 1.2.

Avaliamos cuidadosamente cada um de nossos fornecedores para garantir que atendam aos padrões de segurança e conformidade da Elastic. A Elastic faz parcerias com os principais provedores de IaaS para fornecer o Elastic Cloud. Cada um passa regularmente por auditorias independentes de terceiros, incluindo, no mínimo, auditoria SOC 2 e certificação ISO 27001, para demonstrar a segurança de seus serviços. Em seguida, analisamos esses relatórios de auditoria e as certificações como parte do nosso programa de gerenciamento de riscos de terceiros.

A Elastic também analisa códigos de terceiros e publica listas de dependências open source de terceiros de produtos da Elastic.

Terceiros realizam testes de penetração de aplicações e redes no Elastic Cloud anualmente, no mínimo. Fale com seu representante de conta ou entre em contato com a equipe de segurança da Elastic para obter uma cópia do resumo executivo do teste.

Mantemos um framework seguro de desenvolvimento de software (SSDF, pelas iniciais em inglês) baseado no NIST 800-218 e seguimos as práticas recomendadas de segurança em design e arquitetura para produzir software que seja “seguro por design” e “seguro por padrão”. Nosso SSDF orienta o processo para projetar, desenvolver, implantar, monitorar e manter com segurança todo o software da Elastic. Também inclui requisitos para proteger nossos sistemas de compilação e mitigar os riscos de comprometimento da cadeia de compilação.

Os dados que você nos confia permanecem sendo seus. Utilizamos seus dados apenas para os fins especificados no seu contrato, como prestar o serviço pelo qual você paga. Implementamos medidas de segurança rigorosas para proteger seus dados e fornecemos ferramentas e recursos para controlar seus dados de acordo com seus termos.

Fazemos o tratamento de seus dados do Elastic Cloud para cumprir nossa obrigação contratual de prestar nossos serviços.

• Os dados do cliente são seus dados. Fazemos o tratamento de seus dados apenas de acordo com seu contrato.
• Nunca vendemos seus dados a terceiros.
• Temos um compromisso com a transparência, a conformidade com os regulamentos, incluindo o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Privacidade do Consumidor da Califórnia (CCPA) e práticas recomendadas de privacidade.
• Priorizar sua privacidade significa proteger os dados que você nos confia. Segurança e privacidade são critérios primordiais de design para todos os nossos produtos.

Nós compreendemos nossa significativa responsabilidade de oferecer as melhores experiências de busca e, ao mesmo tempo, proteger seus dados. Nós trabalhamos incansavelmente para conquistar sua confiança. A segurança é fundamental em tudo o que fazemos — desde a supervisão do conselho e a governança executiva no topo da organização até a forma como integramos e treinamos continuamente cada Elastician. Obtivemos um amplo conjunto de auditorias e certificações de conformidade líderes do setor para o serviço Elastic Cloud e nosso Sistema de Gestão de Segurança da Informação (SGSI). Essas auditorias e certificações comprovam que práticas de segurança eficazes são inerentes a todas as nossas atividades, incluindo desenvolvimento e implantação de produtos, gerenciamento de vulnerabilidades, gerenciamento de incidentes e processos de tratamento de ameaças.

A Elastic não tem acesso aos dados nas suas implantações autogerenciadas. Para fornecermos o Elastic Cloud, um número limitado de funcionários da Elastic tem acesso privilegiado ao nosso ambiente de produção. Mantemos esse acesso exclusivamente para fins de gerenciamento, manutenção e suporte da plataforma.

A Elastic adere ao princípio do menor privilégio ao provisionar o acesso aos usuários internos. Os funcionários da Elastic recebem apenas o nível de acesso necessário para suas funções. Revisamos regularmente os direitos de acesso e modificamos as permissões caso haja uma mudança de emprego ou outras circunstâncias em que o acesso do usuário não seja mais necessário.

Nossa equipe de detecção e resposta a ameaças à segurança da informação também desenvolveu e implementou detecções para atividades suspeitas de contas internas e acesso não autorizado, incluindo monitoramento de integridade de arquivos e indicadores de controle de contas. Essas detecções fazem parte de fluxos de trabalho automatizados que alertam a equipe de detecção e resposta a ameaças sobre atividades suspeitas e disparam a investigação do analista.

Os produtos da Elastic também apresentam controles de acesso por função para permitir que nossos clientes implementem gerenciamento de acesso refinado para os usuários em suas implantações da Elastic e na plataforma de gerenciamento do Elastic Cloud.

Sim, usamos determinados subprocessadores de infraestrutura e suporte ao cliente para prestar os serviços aos nossos clientes. Os subprocessadores relevantes para você dependerão, em última análise, da localização, dos serviços e das funcionalidades do datacenter que você escolher usar. (Veja as listas dos nossos subprocessadores externos ou internos.)

Quando transferimos seus dados cruzando fronteiras nacionais, fazemos isso em conformidade com a legislação aplicável. Implementamos salvaguardas adequadas para ajudar a proteger seus dados sempre que são tratados pelos nossos subprocessadores, incluindo a celebração de contratos de tratamento de dados e mecanismos de transferência aprovados (como as SCCs), bem como a implementação de medidas suplementares. Temos processos robustos para revisar os controles de privacidade e segurança de todos os subprocessadores que têm acesso aos dados pessoais dos clientes.

Os recursos do Elastic Cloud oferecem suporte à conformidade com o GDPR e outras leis globais de proteção de dados:

• Priorizamos a segurança dos seus dados pessoais por meio de medidas técnicas e organizacionais padrão eficazes, que passam por testes e validações regulares.
• Oferecemos o Data Processing Addendum (Adendo para Tratamento de Dados) em conformidade com o GDPR, ajudando você a cumprir suas obrigações contratuais do GDPR.
• Você tem controle sobre qual provedor de serviços em nuvem hospedará seus dados armazenados no Elastic Cloud e a capacidade de selecionar sua região de implantação do Elastic Cloud.
• Oferecemos recursos abrangentes para ajudar você a cumprir os requisitos específicos relevantes para suas atividades de processamento. Para obter mais informações sobre como garantir que suas implantações da Elastic estejam em conformidade com o GDPR, acesse https://www.elastic.co/pt/gdpr.

Além desses recursos, a Elastic mantém equipes dedicadas de privacidade e segurança. Essas equipes supervisionam nossa conformidade com o GDPR e outras leis de privacidade aplicáveis durante o tratamento de dados pessoais em nome dos nossos clientes.

A Elastic é uma empresa global e podemos transferir dados provenientes do EEE, da Suíça ou do Reino Unido para afiliadas não europeias da Elastic, bem como para organizações terceirizadas que sejam necessárias para prestarmos nossos serviços. (Você pode encontrar esses locais na seção sobre subprocessadores acima.) Nesses casos, contamos com as SCCs, incluindo o módulo controlador-processador ou o módulo processador-processador (conforme aplicável) com nossos clientes e o módulo processador-processador com nossos subprocessadores, além de medidas complementares robustas.

Estamos empenhados em ajudar você a garantir a conformidade com as leis e regulamentos globais. À luz das orientações do Conselho Europeu para a Proteção de Dados (EDPB) na sequência da decisão Schrems II, examinamos exaustivamente nossas práticas para garantir que as transferências internacionais de dados cumpram os requisitos de proteção de dados:

• As transferências de dados da Elastic não se enquadram no foco típico da lei de vigilância dos EUA e, até o momento, nunca recebemos solicitações de autoridades públicas para dados de clientes, inclusive sob leis como FISA, EO12333 ou a Lei CLOUD.
• Caso recebamos uma solicitação de uma autoridade pública para fornecer dados de clientes, temos políticas e processos para gerenciar essas solicitações que incluem protocolos para contestar a solicitação, notificar as partes relevantes e buscar isenções de proibições mediante notificação.
• Fornecemos medidas complementares robustas para proteger seus dados, que incluem criptografia em trânsito e em repouso para garantir a confidencialidade e a integridade dos seus dados em toda a sua jornada.
• Os clientes do Elastic Cloud têm a opção de selecionar servidores da UE para hospedagem que melhor atendam às suas necessidades de soberania de dados. Os backups também são configurados na mesma região selecionada para sua implantação.
• As Cláusulas Contratuais Padrão podem ser utilizadas para proteger as transferências de dados. Isso inclui situações em que os clientes optam pela hospedagem nos EUA ou se envolvem com nossa entidade nos EUA, bem como para transferências da Elastic para nossos subprocessadores.
• Avaliamos e desenvolvemos continuamente nossas salvaguardas contratuais, técnicas e organizacionais para proteger as transferências de dados.

Oferecemos diversas medidas complementares para garantir que seus dados permaneçam protegidos no Elastic Cloud. Temos o compromisso de limitar o tratamento dos dados dos clientes tanto quanto possível na prestação dos nossos serviços. Criamos processos, estruturas organizacionais e medidas técnicas em toda a nossa empresa para garantir que cumpramos (ou excedamos) os princípios globais de privacidade.

A Elastic se compromete contratualmente com medidas adequadas de proteção e privacidade de dados sob nossoData Processing Addendum (Adendo para Tratamento de Dados), que inclui as SCCs, e nosso Information Security Addendum (Adendo de Segurança da Informação). Revisamos e atualizamos regularmente nosso Data Processing Addendum para refletir os requisitos de privacidade de dados aplicáveis, incluindo as seguintes disposições:

• O tratamento de dados pessoais é realizado apenas sob suas instruções.
• Hospedamos seus dados apenas na região que você selecionar.
• Todo o pessoal autorizado a processar dados pessoais está sujeito a políticas, procedimentos e acordos de confidencialidade rigorosos.
• Você pode recuperar, corrigir ou excluir quaisquer dados pessoais carregados no Elastic Cloud a qualquer momento.
• Enviaremos uma notificação caso recebamos uma solicitação de divulgação dos seus dados, a menos que isso seja legalmente proibido.
• Nossos subprocessadores estão sujeitos aos mesmos padrões e requisitos organizacionais rigorosos. Somos responsáveis pelos atos e omissões dos nossos subprocessadores tanto quanto se nós mesmos estivéssemos prestando os serviços.

Projetamos nossos produtos para ajudar você a proteger os dados da sua organização, cumprir as regulamentações globais e cultivar a confiança. Implementamos padrões de segurança líderes do setor:

• Criptografia na transferência e em repouso. A Elastic implementa procedimentos de gerenciamento de chaves de criptografia e criptografa os dados dos clientes em trânsito e em repouso usando um mínimo de cifras AES de 128 bits.
• Atualizações e patches regulares do sistema. Para ajudar a reduzir a probabilidade de incidentes relacionados a vulnerabilidades, as instâncias do Elasticsearch são implantadas com base nos kernels de sistema operacional mais recentes e submetidas a patches apropriados sempre que uma vulnerabilidade e exposição comum é descoberta em qualquer software componente.
• Uso de provedores de serviços líderes do setor. Os serviços da Elastic são hospedados em datacenters mantidos por provedores de serviços líderes do setor, que oferecem medidas de segurança técnica e organizacional de última geração, projetadas para proteger os dados que hospedam.
• Controles de acesso. A Elastic mantém controles técnicos, lógicos e administrativos projetados para limitar o acesso aos dados a usuários autorizados, incluindo processos de autenticação multifator. Além disso, a Elastic implementa logging centralizado, incluindo logs de proxy, logs de acesso, logs do Elasticsearch e logs do Auditbeat, para registrar o acesso aos dados dos clientes e aos sistemas nos quais eles residem.

Implementamos estruturas organizacionais robustas em toda a empresa, demonstrando nosso compromisso inabalável em atender e exceder os princípios globais de privacidade:

• Programas de segurança e privacidade. Mantemos programas abrangentes de segurança da informação e privacidade de dados que incluem medidas apropriadas destinadas a proteger seus dados.
• Política de solicitação de acesso de autoridade pública. Temos políticas e processos para gerenciar solicitações de acesso a dados pessoais feitas por autoridades públicas, que incluem protocolos para contestar tais solicitações, notificar as partes relevantes e buscar isenções de proibições mediante notificação.
• Outras políticas internas. Mantemos políticas internas que regem o uso e o acesso a dados pessoais, que garantem o gerenciamento adequado de violações de dados, solicitações de acesso dos titulares dos dados, retenção de dados e políticas de controle de acesso.
• Padrões do setor. A Elastic adotou formalmente um Programa de Segurança da Informação em conformidade com a ISO 27001, incluindo ISO 27017 e ISO 27018. Nossa Política de Governança de Segurança da Informação da Elastic serve como espinha dorsal para todas as políticas, padrões e diretrizes de segurança da informação. Além disso, um terceiro independente auditou e certificou os serviços Elastic Cloud sob o SOC 2 Tipo 2.
• Testes regulares. Realizamos testes periódicos de vulnerabilidade de redes e aplicações, e implementamos procedimentos para documentar e resolver vulnerabilidades descobertas durante testes de vulnerabilidade e penetração.
• Treinamento de funcionários. Exigimos que todos os funcionários concluam o treinamento de segurança da informação e proteção de dados no momento da contratação e, no mínimo, uma vez por ano.

Estabelecemos políticas e processos para responder às solicitações de acesso de autoridades públicas aos dados dos clientes. Eles obedecem às leis de proteção de dados aplicáveis e ao seu contrato de cliente. A Elastic só divulgará ou fornecerá acesso aos seus dados se isso for rigorosamente exigido por lei. Nunca divulgaremos seus dados de maneira maciça, desproporcional ou indiscriminada que vá além do necessário em uma sociedade democrática.

Não obstante o acima exposto, a Elastic nunca recebeu nenhuma solicitação de autoridades públicas para acesso a dados de clientes, inclusive sob a Seção 702 da FISA e a Lei CLOUD. Também não temos conhecimento de qualquer acesso direto aos dados dos clientes sob a Ordem Executiva 12333. Nunca criamos um backdoor ou uma chave mestra para nenhum de nossos produtos ou serviços e nunca permitimos que qualquer autoridade governamental tivesse acesso irrestrito ou direto aos nossos servidores.

Conforme observado acima, a Elastic nunca recebeu uma solicitação de uma autoridade pública para divulgar dados de clientes. Se algum dia recebermos tal solicitação, começaremos a publicar relatórios de transparência.

Para obter mais informações sobre como a Elastic coleta e usa dados pessoais, consulte nossos avisos de privacidade abaixo:

Declaração Geral de Privacidade

Elastic Product Privacy Statement (Declaração de Privacidade do Produto da Elastic)

Applicant Privacy Statement (Declaração de Privacidade do Candidato)

California Privacy Rights Statement (Declaração de Direitos de Privacidade da Califórnia)

Elastic Cookie Privacy Statement (Declaração de Privacidade dos Cookies da Elastic)

Temos o compromisso de aderir às regulamentações globais de privacidade, incluindo GDPR e CCPA. Para enviar uma solicitação de titular de dados, entre em contato com a equipe de privacidade de dados da Elastic aqui.

O Elastic Cloud é compatível com ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II, CSA CCM 4.0, PCI-DSS, HIPAA e outros frameworks do setor, como TISAX. Para saber mais, acesse nossa página sobre conformidade.

O Elastic Cloud está autorizado no nível de impacto Moderado do FedRAMP, implantável no AWS GovCloud (EUA). Usuários do governo federal, estadual e municipal, bem como instituições de ensino superior e usuários com dados governamentais pode se inscrever hoje mesmo.

Estamos comprometidos com os mais altos padrões éticos e empenhados em cumprir todas as leis aplicáveis e proteger todos os dados que nos são confiados. Acesse nossa página Ética, conformidade e segurança de dados para obter detalhes adicionais, incluindo nosso Código de Conduta e Ética Empresarial, o Código de Conduta do Fornecedor e as políticas de denúncia de irregularidades.

A Elastic é uma empresa de tecnologia e temos o compromisso de conduzir nossos negócios com honestidade e integridade e em total conformidade com as leis e regulamentos dos EUA que restringem as exportações e regem as atividades comerciais internacionais, incluindo sanções comerciais, controle de exportação e leis e regulamentos de boicote. Nossos clientes atuais e potenciais frequentemente solicitam o Número de Classificação de Controle de Exportação (ECCN) atribuído a nossos produtos. Em geral, todos os nossos produtos pagos são classificados sob o ECCN 5D002.c.1 e elegíveis para exportações sob o ENC de Exceção de Licença de acordo com a Seção 740.17 (b)(1) dos Regulamentos de Administração de Exportação.

Uma lista atual e detalhada de ECCNs de produtos está disponível aqui. Essas informações podem mudar à medida que desenvolvemos novos produtos ou adicionamos novos recursos; portanto, consulte sempre a tabela de ECCNs mais recente publicada pela Elastic. Também recomendamos que você consulte um advogado especializado em comércio internacional para determinar como essas informações afetam suas transações de exportação ou o uso de produtos da Elastic.

O Elastic Cloud está disponível nos principais provedores de serviços em nuvem em todo o mundo. Crie implantações no Elastic Cloud em qualquer uma das regiões compatíveis na Amazon Web Services, no Microsoft Azure e no Google Cloud Platform (GCP). Confira nossa listagem mais atual aqui.

Acesse a página de status do Elastic Cloud para ver informações de tempo de atividade.