Exibições:
A Trend Micro, líder global em segurança cibernética, ajuda a tornar o mundo seguro para a troca de informações digitais. Alimentada por décadas de experiência em segurança, pesquisa global de ameaças e inovação contínua, nossa plataforma de segurança cibernética protege centenas de milhares de organizações e milhões de indivíduos em nuvens, redes, dispositivos e endpoints. Como líder em segurança cibernética corporativa e em nuvem, nossa plataforma oferece uma gama poderosa de técnicas avançadas de defesa contra ameaças otimizadas para ambientes como AWS, Microsoft e Google, além de visibilidade central para detecção e resposta melhores e mais rápidas.
A Trend Micro está comprometida com a segurança e a privacidade de nossos clientes e seus dados. Os seguintes recursos do Worry-Free Business Security Services representam nosso compromisso com a segurança, a privacidade, a transparência e a conformidade com os padrões reconhecidos pelo setor. Para obter mais informações, consulte o Trend Micro Trust Center.
As informações mais recentes sobre segurança, privacidade e detalhes de conformidade para o Worry-Free Business Security Services são fornecidas abaixo.
privacy.jpg
Privacidade
 security.jpg
Segurança
 compliance.jpg
Conformidade
Privacidade de Dados
GDPR
Aviso de Coleta de Dados do Worry-Free Business Security Services
Segurança de Dados
Segregação de Dados
Criptografia de Dados
Acesso a Dados
Logs de Segurança
Retenção de Dados
Recuperação de Desastres e Continuidade de Negócios (DR)
Exclusão de Dados
Treinamento de Funcionários
Controle de Alterações
Gerenciamento de Vulnerabilidade
Análise de Código
Avaliação de aplicativos da Web
Resposta a Incidentes
ISO 27001
ISO 27014
ISO 27034-1
ISO 27017
SOC2

Privacidade de Dados

Para obter informações gerais sobre como a Trend Micro protege seus dados, consulte o Aviso de Privacidade Global da Trend Micro.
Dependendo da natureza do ambiente protegido e do objeto-alvo do evento de segurança (por exemplo, arquivos, memória, tráfego de rede), há o risco de que informações pessoais sejam coletadas em um evento de segurança. A configuração da política de segurança e a seleção do módulo são fornecidas para atender aos requisitos do seu ambiente de destino e minimizar esse risco.
Para obter mais informações sobre os dados enviados à Trend Micro e os controles do cliente sobre esses dados, leia o Aviso de Coleta de Dados do Worry-Free Business Security Services.

GDPR

A Trend Micro está em conformidade com as leis aplicáveis, incluindo GDPR. Para obter mais informações, consulte o site Compliance com GDPR da Trend Micro.
  • Quando apropriado, implementamos Medidas Técnicas e Organizacionais (TOMs) para apoiar nosso processamento de dados sob o GDPR.
  • Como processador de dados sob o GDPR, nosso processamento de dados pessoais é limitado em vários casos. Os detalhes sobre os dados processados pelo Trend Micro Worry-Free Business Security Services e os controles disponíveis para você sobre esses dados estão documentados no Aviso de Coleta de Dados do Worry-Free Business Security Services.

Aviso de Coleta de Dados do Worry-Free Business Security Services

Certos recursos disponíveis no Worry-Free Business Security Services coletam e enviam feedback sobre o uso do produto e informações de detecção para a Trend Micro. Para obter mais informações, consulte o Aviso de Coleta de Dados do Worry-Free Business Security Services.

Segurança de Dados

A Trend Micro segue os padrões do setor para segurança de dados e fornece um resumo das práticas gerais de segurança. Além disso, o Worry-Free Services usa as práticas recomendadas aceitas pelo setor para proteger seus dados. Isso inclui a segregação de dados de clientes individuais, bem como a criptografia de dados em trânsito. O backup dos dados do cliente segue as práticas recomendadas definidas pelo setor e nossas várias certificações, como ISO 27001 (para controle de acesso e criptografia) e ISO 27017 (para monitoramento de serviços em nuvem e segregação de ambientes) ajudam a definir nossos processos de backup e recuperação de dados.
Os clientes escolhem uma região disponível do Worry-Free Services para provisionar o console do Worry-Free Services e armazenar e processar todos os serviços e dados do data lake. Os clientes podem atribuir funções aos usuários que limitam os direitos de acesso ao Worry-Free Services, incluindo, entre outros, conceder acesso ao suporte, iniciar ações de resposta, coletar arquivos de endpoints e limitar os usuários a acesso somente leitura.
Os dados em repouso são protegidos na nuvem em que residem pelas tecnologias nativas da nuvem. Os dados do cliente são marcados com um "ID do cliente" durante a ingestão como parte do esquema de dados. A camada interna de acesso a dados dos aplicativos Trend Micro requer este parâmetro "ID do cliente" para acessar os dados. Essa medida protege os dados do cliente de serem acessados por qualquer outra parte, pois as consultas podem acessar apenas um "ID do cliente" por vez. Os clientes não fornecem o "ID do cliente" diretamente ao interagir com o serviço. Ele é tratado pelo próprio aplicativo. Isso garante que um ator mal-intencionado não consiga passar o ID do cliente errado para acessar outro conjunto de dados.
O Worry-Free Services usa TLS 1.2 sempre que possível para transmissão de dados.
Criptografias Compatíveis:
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Segregação de Dados

Todas as informações do cliente são segregadas para garantir que os clientes tenham acesso apenas aos seus próprios dados. Os dados do cliente são marcados com um "ID do cliente" durante a ingestão como parte do esquema de dados. A camada interna de acesso a dados do aplicativo Trend Micro requer este parâmetro "ID do cliente" para acessar os dados. Essa medida protege os dados do cliente de serem acessados por qualquer outra parte, pois as consultas podem acessar apenas um "ID do cliente" por vez. Os clientes não fornecem o "ID do cliente" diretamente ao interagir com o serviço. Ele é tratado pelo próprio aplicativo. Isso garante que um ator mal-intencionado não consiga passar o ID do cliente errado para acessar outro conjunto de dados.
Os detalhes de contato do cliente, como endereço de e-mail, são criptografados em repouso para garantir a confidencialidade. Os dados coletados pelo Worry-Free Business Security Services estão listados no Aviso de Coleta de Dados do Worry-Free Business Security Services

Criptografia de Dados

As informações processadas pelo Worry-Free Business Security Services são criptografadas em trânsito e em repouso e são enviadas para um nó do Worry-Free Business Security Services na região selecionada pelo cliente durante a configuração inicial.
Em repouso: os dados em repouso são protegidos por tecnologias nativas de nuvem da AWS (por exemplo, bancos de dados e backups).
Em trânsito: todas as comunicações entre os agentes de segurança do Worry-Free Business Security Services e dos clientes são transmitidas por conexões HTTPS seguras com TLS 1.2.

Acesso a Dados

Todo o acesso aos escritórios e redes da Trend Micro é estritamente controlado apenas para pessoas autorizadas ou acompanhadas. O acesso é dado por meio de um sistema de cartão-chave e a aprovação é exigida antes que a entrada seja concedida em áreas confidenciais. A infraestrutura do Worry-Free Business Security Services é hospedada na AWS.
O Worry-Free Business Security Services está hospedado em uma sub-rede altamente restrita, sem acesso direto à Internet. Apenas um conjunto limitado de administradores tem acesso ao Worry-Free Business Security Services para tarefas de manutenção. O acesso do operador é feito por meio de conexões criptografadas seguras e protegidas com várias camadas de rede e controles de acesso.
O acesso é restrito a certos endereços IP permitidos e é monitorado usando o Trend Micro Deep Security (Trend Micro Cloud One Endpoint & Workload Security). São gerados alertas para qualquer acesso suspeito. A investigação de alertas é feita de acordo com os procedimentos de gerenciamento de incidentes.
Não são usados subcontratados no desenvolvimento ou operação do Worry-Free Business Security Services.

Logs de Segurança

O Worry-Free Business Security Services usa o agente Trend Micro Cloud One para monitorar: Antimalware, Web Reputation, Prevenção contra Invasão, Monitoramento de Atividade, Monitoramento de Integridade e Inspeção de Log. Todo acesso à infraestrutura é monitorado e registrado por meio de serviços de segurança nativos oferecidos pelo Microsoft Azure.
O Worry-Free Business Security Services permite alertas automatizados e emprega a equipe de plantão 24 horas por dia, 7 dias por semana. Os logs de segurança são revisados para todos os sistemas diariamente. Se houver suspeita de um incidente de segurança, ele será imediatamente relatado ao Trend Micro Security Operations Center (SOC). Os possíveis incidentes são priorizados com base na gravidade do incidente suspeito e uma equipe do SOC, bem como especialistas técnicos, é designada para investigar.
Esses logs permanecem na região que está hospedando a conta do Worry-Free Business Security Services e os clientes não têm acesso a esses logs. Para obter mais informações sobre quais regiões são cobertas pelo Worry-Free Business Security Services, consulte Aviso de Coleta de Dados do Worry-Free Business Security Services.

Retenção de Dados

No que diz respeito à retenção de logs, Worry-Free Business Security Services aplica políticas de retenção que eliminam os dados quando eles não são mais necessários para a finalidade para a qual foram coletados. Worry-Free Business Security Services retém as informações brutas coletadas por 30 dias. Quando a licença expira, todos os dados são excluídos automaticamente após 60 dias (período de carência de 30 dias e período de bloqueio de 30 dias).

Backup de Usuário

Os bancos de dados do Worry-Free Business Security Services são armazenados diariamente e mantidos separadamente com várias cópias. O teste de validação dos dados de backup é realizado periodicamente para fins de recuperação de desastres. Padrões e políticas de backup, procedimentos e controles são verificados, documentados e auditados internamente e por avaliadores terceirizados.

Recuperação de Desastres e Continuidade de Negócios (DR)

A Trend Micro prepara os BCPs da Operação de Processamento de Informações com base nos resultados do BIA e realiza a análise do BCP pelo menos uma vez por ano. O BCP é coberto pela nossa certificação ISO 27001.
O Worry-Free Business Security Services tem os seguintes objetivos:
  • Objetivo de Tempo de Recuperação (RTO) - 2 horas
  • Objetivo de Ponto de Recuperação (RPO) - 24 horas
Os bancos de dados têm replicação em tempo real e backup diário para mitigar problemas.

Exclusão de Dados

Para enviar uma solicitação de exclusão de dados, visite:
https://www.trendmicro.com/en_us/about/trust-center/privacy/gdpr/individual-rights.html.
A ISO 27001 contém provisões para destruição de dados. O Worry-Free Business Security Services, o Microsoft Azure, e a AWS estão em conformidade com a ISO 27001.
Os clientes podem iniciar uma solicitação de exclusão de dados pessoais enviando um e-mail para a Trend Micro em gdpr@trendmicro.com.

Treinamento de Funcionários

Os desenvolvedores de software do Worry-Free Business Security Services são treinados em práticas de codificação segura usando um currículo padrão do setor baseado no SANS 25/OWASP Top 10. As campanhas de educação são conduzidas anualmente e quando um funcionário entra na empresa. Todos os funcionários devem aderir às políticas de uso aceitável de Internet, computador, acesso remoto e dispositivos móveis da Trend Micro. O não cumprimento dessas políticas pode resultar em ações disciplinares, que podem incluir demissão. As equipes de desenvolvimento do Worry-Free Business Security Services empregam pessoal especializado para lidar com a segurança do produto. Testes de segurança, revisão de código seguro e modelagem de ameaças fazem parte do ciclo de vida do desenvolvimento. Para obter mais informações sobre nossas práticas recomendadas de codificação segura, consulte o Trend Micro Trust Center para Compliance.
A Trend Micro segue as seguintes políticas e padrões de senha:
  • Todas as senhas devem ser alteradas pelo menos trimestralmente.
  • As senhas não devem ser inseridas em mensagens de email ou outras formas de comunicação eletrônica.
  • As senhas não devem ser compartilhadas ou reveladas a ninguém.
  • As senhas deverão ser alteradas imediatamente se houver suspeita de comprometimento.
  • As senhas devem ser criptografadas durante a transmissão e armazenadas em hash com salt.
  • As senhas devem ter pelo menos oito caracteres alfanuméricos.
  • As senhas devem conter caracteres maiúsculos e minúsculos (por exemplo, a-z, A-Z).
  • A prevenção de reutilização de senha é aplicada.
  • As senhas não devem ser baseadas em informações pessoais, nomes de família e assim por diante.

Controle de Alterações

Garantir que nossos clientes continuem recebendo os recursos de segurança mais recentes de maneira segura e confiável é uma prioridade fundamental para nossa equipe. Além das práticas de desenvolvimento em torno de revisão de código, teste funcional e teste de escala, bem como nossa varredura de vulnerabilidade e teste de penetração, tomamos várias medidas para garantir que todas as atualizações de serviço sejam introduzidas de maneira segura e controlada. Todas as atualizações de serviço são introduzidas em pequenas atualizações incrementais que são lançadas primeiro em um ambiente de preparação e depois na produção. Cada alteração é monitorada de perto e vários procedimentos estão em vigor, tanto automatizados quanto manuais, para lidar com situações que possam surgir. Todas as atualizações do serviço são apresentadas de forma transparente aos clientes e podem ser revertidas de forma transparente, caso surja algum imprevisto.
As atualizações de aplicativos no ambiente do Worry-Free Business Security Services são concluídas após o cumprimento de nossos objetivos de qualidade. A Trend Micro usa as práticas recomendadas para alterações, incluindo backups completos e processos de aprovação. O Worry-Free Business Security Services tem vários ambientes dedicados de desenvolvimento e teste. Quaisquer alterações solicitadas são primeiro revisadas pelas partes interessadas técnicas para determinar a urgência e o impacto potencial das alterações. Todas as alterações requerem um plano de retorno documentado. Essas alterações são rastreadas e registradas em um sistema de controle de alterações.

Gerenciamento de Vulnerabilidade

As vulnerabilidades são continuamente monitoradas e rastreadas. Cada vulnerabilidade recebe uma pontuação CVSS. Os requisitos de aplicação de patches que especificam prazos para lidar com uma vulnerabilidade de acordo com a gravidade baseada em CVSS estão incluídos na Política de Conformidade de Desenvolvimento Seguro. O software Worry-Free Business Security Services no ambiente do Worry-Free Business Security Services é atualizado quinzenalmente para usar a base de código disponível mais recente, incluindo correções de vulnerabilidade. A equipe do Worry-Free Business Security Services é responsável pela aplicação de patches do software Worry-Free Business Security Services e pelo suporte aos serviços da AWS. Os clientes são responsáveis por atualizar os agentes de segurança implantados em suas cargas de trabalho.

Análise de Código

O código-fonte da Trend Micro é verificado com a análise de código estático que usa ferramentas padrão do setor, como Fortify, BlackDuck, entre outras, implantadas em cada estágio ou fase de desenvolvimento. Além disso, a Trend Micro tem um sistema interno PLVRS (Project Legal & Vulnerability Review System) para identificar as vulnerabilidades de terceiros. Os testes de segurança, a revisão de código seguro e a modelagem de ameaças também fazem parte do ciclo de vida de desenvolvimento de todos os produtos da Trend Micro.
Worry-Free Business Security Services passa por verificações de qualidade rigorosas desde a fase de desenvolvimento até cada lançamento. Depois do lançamento, as equipes realizam verificações de vulnerabilidade semanais, de maneira automática. A gravidade das vulnerabilidades é classificada com a pontuação CVSS. As vulnerabilidades críticas devem ser corrigidas dentro de um mês ou abordadas por meio de mitigação ou solução alternativa.

Avaliação de aplicativos da Web

A Trend Micro InfoSec realiza avaliações de aplicativos da web do Worry-Free Business Security Services para qualquer versão principal e, pelo menos, anualmente, usando as principais ferramentas de segurança de análise dinâmica.
Para obter mais informações sobre nosso programa de resposta a vulnerabilidades, consulte o site Resposta a Vulnerabilidades da Trend Micro.

Resposta a Incidentes

A Trend Micro tem uma equipe dedicada de Segurança da Informação (InfoSec) que é responsável por garantir a conformidade com as políticas de segurança da Trend Micro. Os engenheiros do Worry-Free Business Security Services entram em contato imediatamente com a equipe da InfoSec quando um incidente de segurança é descoberto. Além disso, a InfoSec monitora independentemente os logs de ambiente do Worry-Free Business Security Services. Se um incidente de segurança for descoberto, o incidente será priorizado com base na gravidade. Uma equipe dedicada de especialistas técnicos é designada para investigar, aconselhar sobre procedimentos de contenção, realizar análises forenses e gerenciar a comunicação. Após um incidente, a equipe examinará a causa raiz e revisará o plano de resposta de acordo. No caso de uma violação envolvendo dados do cliente, a Trend Micro seguirá suas obrigações sob o GDPR. Para obter mais informações, consulte o site Compliance com GDPR da Trend Micro.

Certificações

ISO 27001, ISO 27014, ISO 27034-1, ISO 27017 e SOC2

A Trend Micro e a Trend Micro Cloud Services passam por auditorias anuais por auditores externos confiáveis para garantir que estamos aderindo às práticas recomendadas do setor. ISO 27001 é um padrão global e é usado para definir o Sistema de Gerenciamento de Segurança da Informação geral para a Trend Micro. A ISO 27001 abrange itens como segurança de recursos humanos, controle de acesso, segurança de operações e gerenciamento de incidentes de segurança da informação. A certificação SOC Tipo II é usada para validar os controles de segurança sobre nossos sistemas de TI e inclui os sistemas internos da Trend Micro, bem como suas ofertas de SaaS. Os controles SOC Tipo II incluem itens como segurança (firewalls, IPS e mais), disponibilidade (recuperação de desastres e tratamento de incidentes), confidencialidade (criptografia e controle de acesso), privacidade e integridade de processamento (garantia de qualidade).
O Worry-Free Business Security Services tem as certificações ISO 27001, 27014, 27034-1 e 27017. Você pode encontrar os certificados de conformidade no Trust Center de Compliance da Trend Micro.
O Worry-Free Business Security Services concluiu uma avaliação de SOC 2 Tipo II e você pode encontrar o relatório da SOC 3 e o formulário de solicitação do relatório da SOC 2 no Trust Center de Compliance da Trend Micro.