Ir para o conteúdo principal

Central de segurança e confiança

A segurança dos seus dados é a nossa prioridade

 

 

Confiança

Nossa plataforma confiável é construída incorporando a segurança em todo o ciclo de vida de desenvolvimento e entrega de software. Seguimos práticas rigorosas de segurança operacional, como testes de penetração, avaliações de vulnerabilidade e rígidos controles de acesso interno. Acreditamos que a transparência é a chave para conquistar a confiança — compartilhamos publicamente como operamos e trabalhamos em estreita colaboração com nossos clientes e parceiros para atender às suas necessidades de segurança. Temos ofertas para conformidade com PCI-DSS, HIPAA e FedRAMP, e estamos em conformidade com ISO 27001, ISO 27017, ISO 27018 e SOC 2 Tipo II .

Compromisso contratual

Além da documentação e das práticas recomendadas que você encontrará em nosso Centro de segurança e confiança, oferecemos um compromisso contratual com a segurança escrita em linguagem simples para todos os nossos clientes. Esse compromisso é retratado no Adendo de segurança do nosso contrato com o cliente, que descreve as medidas e práticas de segurança que seguimos para manter seus dados seguros.

Gerenciamento de vulnerabilidades

A detecção e correção rápida de vulnerabilidade de um software do qual você depende está entre as responsabilidades mais importantes de qualquer provedor de serviços ou software. Levamos essa responsabilidade a sério e compartilhamos nossos compromissos de cronograma de correção em nosso Adendo de segurança.

Internamente, temos um gerenciamento automatizado de vulnerabilidades para rastrear, priorizar, coordenar e remediar as vulnerabilidades em nosso ambiente. Realizamos diariamente análises de vulnerabilidade autenticadas da Databricks e pacotes de terceiros/código aberto usados pela Databricks, juntamente com análise estática e dinâmica de código (SAST e DAST) usando ferramentas confiáveis de análise de segurança, antes de promovermos novos códigos ou imagens para produção. A Databricks também emprega especialistas terceirizados para analisar nossos sites voltados ao público e relatar possíveis riscos.

A Databricks financiou um Programa de resposta a vulnerabilidades para monitorar vulnerabilidades emergentes antes que elas sejam relatadas por nossos fornecedores de análise. Fazemos isso usando ferramentas internas, mídias sociais, mala direta e fontes de inteligência contra ameaças (por exemplo, US-CERT e outros feeds do governo, do setor e de código aberto). A Databricks monitora plataformas de vulnerabilidade abertas, como CVE Trends e Open CVDB. Nosso processo consagrado para responder a isso faz com que possamos identificar rapidamente o impacto em nossa empresa, produto ou clientes. Esse programa nos permite reproduzir rapidamente as vulnerabilidades relatadas e resolver vulnerabilidades de dia zero.

Nosso Programa de gerenciamento de vulnerabilidades tem o compromisso de tratar vulnerabilidades de Gravidade 0, como dia zero, com a maior urgência, priorizando sua correção acima de outras implementações.

Teste de penetração e recompensa por bug

Realizamos testes de penetração por meio de uma combinação de nossa equipe interna de segurança ofensiva, testadores de penetração terceirizados qualificados e um programa público de recompensa por bugs durante todo o ano. Usamos uma mistura de fuzzing, revisão segura de código e testes dinâmicos de aplicativos para avaliar a integridade de nossa plataforma e a segurança de nosso aplicativo. Realizamos testes de penetração nos principais lançamentos, novos serviços e recursos de vulnerabilidade de segurança. A equipe de segurança ofensiva trabalha com nossa equipe de resposta a incidentes e com os campeões de segurança da engenharia para corrigir problemas encontrados e promover o aprendizado em toda a empresa.

Normalmente, realizamos entre 8 e 10 testes de penetração de terceiros externos e entre 15 e 20 testes de penetração internos por ano, e todos os resultados materiais devem ser abordados antes que um teste seja considerado aprovado. Como parte de nosso compromisso com a transparência, compartilhamos publicamente nosso relatório de teste de terceiros em toda a plataforma em nosso pacote de due diligence.

Investigações de segurança e resposta a incidentes

Usamos a Databricks como nossa plataforma SIEM e XDR para processar mais de 9 terabytes de dados por dia para investigações de detecção e segurança. Nós ingerimos e processamos logs e sinais de segurança de infraestrutura na nuvem, dispositivos, sistemas de gerenciamento de identidade e aplicativos SaaS. Usamos pipelines de streaming estruturados e Delta Live Tables para identificar os eventos de segurança mais relevantes usando uma abordagem orientada por dados e modelos estatísticos de ML para gerar novos alertas, ou para correlacionar, desduplicar e priorizar alertas existentes de produtos de segurança conhecidos. Modelamos nossos runbooks sobre táticas, técnicas e procedimentos de adversários (TTP) rastreados usando a estrutura MITRE ATT&CK . Nossa equipe de investigações de segurança usa notebooks Databricks colaborativos para criar processos de investigação reproduzíveis, evoluir continuamente os playbooks de investigação de incidentes e realizar a caça a ameaças em mais de 2 petabytes de logs históricos de eventos que lidam com pesquisas complexas em dados não estruturados e semiestruturados.

Nossa equipe de resposta a incidentes se mantém atualizada e ajuda a Databricks a se preparar para cenários de gerenciamento de incidentes ao:

  • Participar de cursos renomados no setor de fornecedores como a SANS e participar de conferências de segurança como fwd:cloudsec, Black Hat, BSides, RSA
  • Realizar exercícios regulares de simulação com a liderança executiva e equipes internas para praticar cenários de resposta de segurança relevantes para produtos Databricks e infraestrutura corporativa
  • Colaborar com equipes de engenharia para priorizar a observabilidade da plataforma a fim de permitir uma detecção e resposta de segurança eficaz
  • Atualizar regularmente as estratégias de contratação e treinamento com base em uma matriz de habilidades e capacidades de resposta a incidentes em evolução

Acesso interno

Aplicamos políticas e controles rigorosos ao acesso de funcionários internos aos nossos sistemas de produção, ambientes de clientes e dados de clientes.

Ciclo de vida seguro de desenvolvimento de software

A Databricks tem um ciclo de vida de desenvolvimento de software (SDLC) que traz segurança a todas as etapas de design, desenvolvimento e produção — desde solicitações de recursos até monitoramento de produção — apoiados por ferramentas projetadas para rastrear um recurso durante o ciclo de vida. Temos verificação automática de segurança e rastreamento automatizado de vulnerabilidades de sistemas, bibliotecas e códigos.

Detalhes da política de segurança e comunicação

A Databricks segue as normas RFC 9116, ISO/IEC 30111:2019(E) e ISO/IEC 29147:2018(E) para manipulação de vulnerabilidades de segurança e comunicações. Para obter detalhes sobre nossas comunicações seguras e assinatura PGP, consulte nosso arquivo security.txt .