Brasil,

Relatório do CEO: O que vem a seguir para o Zoom

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Lygia Maciel
  • SEGS.com.br - Categoria: Info & Ti
  • Imprimir

Durante os primeiros meses de 2020, a equipe do Zoom trabalhou 24 horas para apoiar o enorme fluxo de novos usuários em sua plataforma. A demanda crescente em nossos sistemas foi diferente de tudo o que a maioria das empresas já experimentou. No final de março, o Zoom percebeu que sua missão de fornecer comunicações de vídeo sem atrito para centenas de milhões de participantes de reuniões diárias precisava incluir um foco equivalente em segurança e privacidade.

Em 1º de abril de 2020, a plataforma se comprometeu em fazer várias melhorias focadas em segurança e privacidade. O programa de 90 dias que foi lançado reorientou a empresa em 7 compromissos que foram incorporados permanentemente no DNA do Zoom. Hoje, trazemos uma atualização de status sobre cada um desses compromissos.

Compromisso 1: A partir de 1º de abril, o Zoom passou a se concentrar nos seus principais problemas: confiança, segurança e privacidade.

Status: foi promulgado um congelamento de 90 dias em todos os recursos não relacionados à privacidade, proteção ou segurança. Com toda a atenção da equipe de engenharia e produtos direcionada para este desafio, o Zoom lançou mais de 100 recursos, incluindo:

Zoom 5.0

Criptografia AES 256 GCM (disponível para todos os usuários, gratuitos e pagos);
Atualizações da interface do usuário - ícone de segurança, escudo de criptografia verde com um clique na localização do data center;
Denuncia de usuário;
Padrões de reunião - senha, sala de espera e compartilhamento de tela limitado;
Outros recursos – a desativação do login de outros dispositivos pelo host, o consentimento sem áudio, a expiração da gravação na nuvem, os controles mais rigorosos do Zoom Chat e muito mais;

Adquiriu a Keybase e começou a criar criptografia de ponta a ponta (para todos os usuários, gratuita e paga)

Roteamento de dados personalizado oferecido por região geográfica;

No futuro, implementaremos mecanismos para garantir que a segurança e a privacidade continuem sendo prioridade em cada fase do desenvolvimento dos produtos e recursos do Zoom:

Fase de design: requisitos de segurança, avaliação de riscos, modelagem de ameaças;
Construção: diretrizes de código seguras, varredura de autoatendimento, ferramentas de CI / CD;
Teste: teste de segurança, execução automatizada de teste, ferramentas de teste da web;
Estágio: Configuração segura, monitoramento de integridade, validação de requisitos
Produção: Monitoramento de segurança de nosso sistema, integridade do sistema, cenário de ameaças;

Compromisso 2: O Zoom realizou uma revisão abrangente com especialistas de terceiros e usuários representativos para entender e garantir a segurança e a privacidade de todos os novos perfis de usuários.

Status: o Zoom trabalhou com um grupo de especialistas terceirizados para revisar e aperfeiçoar seus produtos, práticas e políticas, incluindo a criação de um conselho consultivo com os seguintes profissionais: CISO, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Grupo, Pretoriano, Crowdstrike, Center of Democracy and Technology e outras organizações nos espaços de privacidade, segurança e inclusão. As contribuições de todos nesta lista foram muito importantes e o Zoom está muito agradecido pela ajuda desses profissionais.

Compromisso 3: Foi gerado um relatório de transparência que detalha as informações relacionadas às solicitações de dados, registros ou conteúdo.

Status: o Zoom fez progressos significativos na definição da estrutura e abordagem de um relatório de transparência que detalha as informações relacionadas às solicitações que a empresa recebe por dados, registros ou conteúdo. Estes dados fiscais deverão ser fornecidos no segundo trimestre no primeiro relatório ainda este ano. Enquanto isso, foi criado um guia sobre como o Zoom responderá às solicitações do governo. Também foram atualizadas as políticas de privacidade, principalmente para facilitar a compreensão, e adicionada uma Declaração de Direitos de Privacidade da Califórnia separada.

Estes documentos estão disponíveis em: zoom.com/privacy-and-legal.

Compromisso 4: Foi aprimorado o programa de recompensas de bugs.

Status: foi desenvolvido um Repositório Central de Bugs e processos de fluxo de trabalhos relacionados. Este repositório recebe relatórios de vulnerabilidade do HackerOne, Bugcrowd e (este último não requere um acordo de confidencialidade) triado por meio do Praetorian. Também foi estabelecido um processo contínuo de revisão com reuniões diárias e melhorias na coordenação com pesquisadores de segurança e avaliadores de terceiros. Além disso, o Zoom contratou um chefe de vulnerabilidade e bug bounty, vários engenheiros de appsec adicionais e está contratando mais engenheiros de segurança para lidar com vulnerabilidades. Enquanto isso, o foco é melhorar os tempos de resposta. No geral, o processo de recompensa de bugs é sólido e só será mais forte se o Zoom cumprir os objetivos de contratação. O Zoom agradece à Luta Security pela ajuda nesse processo.

Compromisso 5: lançou um conselho CISO em parceria com os principais CISOs de todo o setor para facilitar um diálogo contínuo sobre as melhores práticas de segurança e privacidade.

Status: O conselho composto por 36 CISOs de uma variedade de indústrias, incluindo SentinelOne, Arizona State University, HSBC e Sanofi é liderado pelo vice-CIO Gary Sorrentino. O núcleo reuniu-se quatro vezes nos últimos três meses e prestou consultoria em assuntos importantes, como seleção de data center regional, criptografia, autenticação de reunião e recursos como relatar um usuário, senhas e salas de espera. O conselho provou ser um grande sucesso e será estendido com as mesas redondas do CISO - discussões interativas entre os clientes do CISO e os líderes da equipe de segurança do Zoom para entender as medidas que a empresa deverá tomar no futuro para garantir a segurança e a privacidade da plataforma. Os CISOs e CIOs interessados podem solicitar ao Executivo de Contas do Zoom mais informações.

Compromisso 6: envolvimento em uma série de testes simultâneos de penetração em “white boxes” para identificar e solucionar problemas.

Status: o Zoom contratou várias empresas - Trail of Bits, NCC Group e Bishop Fox - para revisar toda a sua plataforma. O escopo de trabalho abrangeu:

Ambiente de produção com Zoom, Data Centers públicos e co-localizados:

Configuração na nuvem
Espaço IP externo
Rede de produção interna

Aplicativo Web principal do Zoom e rede corporativa do Zoom:

Rede interna
Perímetro externo

API pública para clientes comuns

Clientes móveis
Clientes de desktop

O Zoom está comprometido com testes contínuos de penetração de terceiros como base em seu programa de segurança.

Compromisso 7: Organização de webinars semanais (às quartas-feiras) para fornecer atualizações de privacidade e segurança à comunidade.

Status: incluindo o seminário on-line de hoje, foram realizados 13 desses webinars, todas as quartas-feiras desde 1º de abril. Esses eventos virtuais apresentaram executivos e consultores que respondem ao vivo perguntas dos participantes. Também foram compartilhadas as gravações dos encontros virtuais no blog do Zoom toda semana. O Zoom continuará com esses seminários on-line, até o dia 15 de julho, e depois passará para uma cadência mensal.

Outras atualizações importantes:

Foram realizadas várias adições ou mudanças importantes na liderança da equipe do Zoom desde 1º de abril, incluindo:

Velchamy Sankarlingham, Presidente de Produto e Engenharia
Jason Lee, Diretor de Segurança da Informação
Damien Hooper-Campbell, Diretor de Diversidade
Aparna Bawa foi nomeado Diretor de Operações e agora supervisiona os esforços de segurança de Zoom
Lynn Haaland, vice-conselheiro geral e diretor de conformidade e ética, também foi nomeado diretor de privacidade
H.R. McMaster adicionado ao Conselho de Administração da Zoom
Josh Kallmer, Chefe Global de Políticas Públicas e Relações Governamentais
Ginny Lee, Consultora Jurídica Associada, Privacidade
Mara Davis, Diretora Jurídica Associada, Conformidade e Ética
Chefe de Vulnerabilidade e Recompensa de Erros, começa 13 de julho.
Andy Grant, chefe de segurança ofensiva, começa 13 de julho.

O Zoom Phone foi adicionado ao Zoom for Government, que já está autorizado pelo Programa Federal de Gerenciamento de Riscos e Autorizações dos EUA (FedRAMP).

A empresa continua comprometida com o crescimento de sua equipe de engenharia sediada nos EUA, para apoiar o aumento do número de nossos usuários com novos escritórios em Phoenix, no Arizona e Pittsburgh, na Pensilvânia.

Para onde o Zoom vai a partir de agora:

Esse período trouxe mudanças significativas para o Zoom em relação à privacidade e segurança de sua plataforma. Mas a empresa não pode e não vai parar por aqui. Privacidade e segurança são prioridades contínuas para o Zoom, e esse período de 90 dias - embora proveitoso - foi apenas o primeiro passo. Ao longo deste relatório, foram fornecidas informações sobre novos processos e pessoas que ajudarão o Zoom nessa jornada para se tornar a plataforma de comunicação por vídeo mais segura e sem atrito do mundo.

Sobre o Zoom

A Zoom Video Communications, Inc. (NASDAQ: ZM) reúne equipes para realizar mais em um ambiente de vídeo sem atritos. Nossa plataforma de comunicação unificada de vídeo é fácil, confiável e inovadora, e fornece reuniões de vídeo, voz, webinars e chat em desktops, telefones, dispositivos móveis e sistemas de salas de conferência. O Zoom ajuda as empresas a criar experiências elevadas com as principais integrações de aplicativos de negócios e ferramentas de desenvolvedor para criar fluxos de trabalho personalizados. Fundada em 2011, a Zoom está sediada em San Jose, Califórnia, com escritórios em todo o mundo. Visite zoom.com e siga @zoom_us.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar