Práticas de segurança

Monitoramento de acesso: o Notion habilitou o registro de logs em todos os sistemas críticos.Os logs incluem registros de falha/sucesso, acesso ao aplicativo, alterações do administrador e alterações do sistema. Os logs são incorporados por nossa solução de observabilidade e gerenciamento de eventos de incidentes de segurança (SIEM) para a inserção de logs e recursos automatizados de registro/alerta.

Backups habilitados: o Notion é hospedado pela AWS e armazena os dados de clientes usando uma combinação de bases de dados. Por padrão, a AWS fornece infraestrutura duradoura para armazenar dados importantes, sendo desenvolvida para durabilidade de 99,9% dos objetos. Os backups automatizados de todos os dados de clientes e sistemas estão habilitados e são realizados, no mínimo, diariamente. Os backups são criptografados da mesma forma que os dados de produção ativos e são monitorados e alertados.

Apagamento de dados: os clientes do Notion têm controle sobre os próprios dados.Cada cliente é responsável pelas informações que cria, usa, armazena, processa e destrói. Os clientes do Notion podem solicitar a exclusão de dados ou fazer a exclusão por conta própria quando os dados não estão sujeitos a requisitos de periodicidade de retenção regulamentares ou legais. Consulte nossa Política de Privacidade e o Adendo de Tratamento de Dados para obter mais informações.

Criptografia em repouso: os dados de clientes são criptografados em repouso usando AES-256.Os dados de clientes são criptografados quando estão nas redes internas do Notion, em repouso no armazenamento em nuvem, tabelas de base de dados e backups.

Criptografia em trânsito: os dados enviados em trânsito são criptografados usando TLS 1.2 ou superior.

Segurança física: o Notion usa a Amazon Web Services (AWS) para hospedar nosso aplicativo e transfere todos os controles de segurança física de data center para a plataforma.Consulte os controles de segurança física da AWS aqui.

Divulgação responsável: o Notion mantém um programa de recompensa por achar bugs.Consulte nossa Política de Divulgação Responsável.

Análise de código: as equipes de segurança e desenvolvimento do Notion realizam modelagem de ameaças e revisões de design seguro para novas versões e atualizações.Após a conclusão do código para lançamentos de recursos significativos, realizamos auditorias e revisões do código, além de verificações de segurança em nossa base de código.

Ciclo de vida de desenvolvimento de software (SDLC): o Notion usa um SDLC definido para garantir que o código seja escrito com segurança. Durante a fase de concepção, a modelagem de ameaças à segurança e as revisões de design seguro são realizadas para novas versões e atualizações. Após a conclusão do código para lançamentos de recursos significativos, realizamos auditorias de código, trabalhamos com fornecedores ou fazemos um teste de penetração interna e verificamos a segurança da nossa base de código. Após o lançamento, organizamos recompensas por bugs e temos um programa de gerenciamento de vulnerabilidades para resolver problemas graves de segurança.

Gerenciamento de credenciais: o Notion usa um serviço de gerenciamento de chaves (KMS) terceirizado que lida automaticamente com a geração de chaves, o controle de acesso, o armazenamento seguro, o backup e a rotação de chaves.As chaves criptográficas são atribuídas a funções específicas com base em acesso de privilégio mínimo, e elas são alternadas de forma automática anualmente.O uso de chaves é monitorado e registrado.

Gerenciamento de vulnerabilidades e patches: o Notion realiza varredura de vulnerabilidades e monitoramento de pacotes em todos os hosts relacionados à infraestrutura e no produto da empresa continuamente.Os serviços externos e internos são corrigidos regularmente. Qualquer problema descoberto passa por uma triagem e é resolvido de acordo com a gravidade no ambiente do Notion.

Firewall de aplicativo da web (WAF): todos os terminais públicos utilizam um firewall de aplicativo da web gerenciado para impedir tentativas de exploração das vulnerabilidades comuns.

Nível de acesso de dados: interno (isto é, os colaboradores do Notion só acessarão seus dados para solucionar problemas ou recuperar conteúdos por você.)

Dependência de terceiros: sim. Consulte nossa lista de suboperadores aqui.

Hospedagem: o Notion está hospedado na Amazon Web Services (AWS), um dos principais provedores de serviços de nuvem.

Objetivo do tempo de recuperação: estimado em 2 horas

Objetivo do ponto de recuperação: estimado em 24 horas

Treinamento de funcionários: o treinamento de segurança é obrigatório durante o processo de integração de funcionário e, depois disso, é realizado anualmente.Os funcionários também precisam ler e reconhecer o Código de Conduta e a política de segurança do Notion.

Segurança de RH: o Notion realiza verificações de antecedentes dos funcionários quando eles são contratados de acordo com as leis e normas locais.

Resposta a incidentes: o Notion tem um plano de gerenciamento de incidentes que contém etapas para preparação, identificação, contenção, investigação, erradicação, recuperação e acompanhamento/post-mortem que é revisado e testado, pelo menos, anualmente.

Avaliações internas: auditorias internas de segurança são realizadas pelo menos uma vez por ano no Notion.

SSO interno: a autenticação multifator (MFA) é necessária para que todos os funcionários do Notion façam login no provedor de identidade do Notion.

Acesso a dados: o Notion aplica internamente o princípio do privilégio mínimo para acesso. O acesso a dados é concedido com base na função de cada um, nas necessidades dos negócios e na necessidade de acesso a esses dados. Também são realizadas revisões periódicas nos acessos para garantir se a continuidade de acesso a sistemas essenciais ainda é necessária.

Registros: o Notion usa uma solução SIEM para ingestão de registros e recursos automatizados de registros/alertas. Os registros são provenientes de sistemas essenciais, aplicando-se regras de alertas para garantir que a geração de alertas de segurança aconteça quando/onde for necessário.

Segurança de senhas: o Notion exige a ativação de autenticação multifator em todo e qualquer sistema que ofereça essa opção. Quando essa ativação não for possível, o Notion mantém uma rigorosa política interna de gerenciamento de senhas que define a complexidade e o comprimento das senhas.

Proteção anti-DDoS: o Notion usa aplicações de terceiros para ter proteção anti-DDoS.

Data center: o Notion tem hospedagem na AWS, que cuida da segurança física dos data centers. Consulte a documentação sobre segurança da AWS aqui.

Segurança de infraestrutura: a infraestrutura do Notion tem hospedagem em um ambiente totalmente protegido e redundante. Os dados dos clientes do Notion são hospedados pela AWS. A AWS mantém uma lista de relatórios, certificações e avaliações de terceiros para garantir a aplicação de práticas recomendadas de segurança. Para saber mais sobre o compliance da AWS, acesse aqui.
A infraestrutura da AWS fica em data centers controlados pela Amazon em diversos lugares do mundo, e cada data center conta com a proteção de vários controles de segurança para impedir acessos não autorizados. Para saber mais sobre os data centers da AWS e seus controles de segurança, acesse aqui.

Ambiente de produção separado: os dados dos clientes nunca ficam armazenados em ambientes que não sejam de produção. As contas dos clientes têm uma separação lógica em nosso ambiente de produção. Além disso, temos ambientes separados de desenvolvimento, teste e produção.

Criptografia de disco: os laptops dos nossos colaboradores têm criptografia de disco ativada para fins de proteção.

Detecção e resposta de endpoints: todos os endpoints contam com software de detecção. Além disso, o Notion implementou diversos controles de segurança para garantir a proteção dos dados e soluções de clientes. Esses controles garantem que tenhamos visibilidade contínua de como estão nossos endpoints, que possamos detectar e reagir rapidamente a eventuais problemas ou ameaças, além dos registros e aplicação de controles.

Gerenciamento de dispositivos móveis: os dispositivos de colaboradores e a configuração de seus softwares são gerenciados remotamente pelos integrantes da equipe de TI e segurança por um software de gerenciamento de dispositivos móveis.

Detecção de ameaças: o Notion utiliza um software externo de proteção de endpoints exclusivamente para detecção de ameaças. Esse software detecta invasões, malwares e atividades mal-intencionadas em endpoints e auxilia na resposta rápida para eliminar e mitigar as ameaças.

Firewall: as redes dos escritórios do Notion são configuradas com um firewall de rede. Os serviços de rede acessíveis por WAN não ficam hospedados no ambiente dos escritórios.

IDS/IPS: o Notion utiliza uma combinação de redes e sistemas hospedados do tipo IDS/IPS como parte de uma estrutura mais ampla de defesa em profundidade para proteger a organização. Essa estrutura inclui o monitoramento de atividades suspeitas por meio de uma combinação de detecções baseadas em assinaturas e anomalias.

Gerenciamento de eventos e informações de segurança (SIEM): o Notion utiliza uma solução SIEM para gerenciamento e incidentes e eventos. As notificações dos eventos são comunicadas à nossa equipe de segurança em tempo real.

Segurança wireless: os escritórios do Notion usam criptografia forte em suas redes sem fio. O Notion não mantém redes sem fio que afetem os dados dos clientes ou os sistemas de produção.

Gerenciamento de domínios: um domínio nada mais é do que o domínio do endereço de e-mail que está vinculado a uma conta do Notion. A verificação de domínio, por sua vez, é um processo no qual o proprietário de um espaço de trabalho torna explícita a sua titularidade sobre um domínio, ganhando acesso a novas configurações para o gerenciamento de domínio.

Logon único (SSO) via SAML: o Notion oferece logon único para clientes dos planos Business e Enterprise acessarem o app por meio de uma única fonte de autenticação.

Provisionamento e revogação via SCIM: os espaços de trabalho do Notion seguem o padrão da API SCIM.

Registro de auditoria: o Notion oferece aos proprietários de espaços de trabalho acesso a dados minuciosos relacionados à segurança, como a identificação de possíveis problemas de segurança, investigação de comportamentos suspeitos e acesso para solução de problemas.

Autenticação de dois fatores (autenticação multifator): o Notion oferece verificação em duas etapas para adicionar uma camada extra de proteção à sua conta. Esse recurso está disponível a todos os tipos de planos e pode ser facilmente ativado nas configurações da sua conta.

Gerenciamento de permissões: o Notion permite que os proprietários de espaços de trabalho controlem seus níveis de permissões para garantir que os usuários visualizem e interajam com os conteúdos exatamente como os proprietários quiserem.

Gerenciamento de espaços de equipe: os proprietários do espaço de trabalho podem visualizar todos os espaços de equipe, modificar as configurações e acessar mais ferramentas de gerenciamento.

Integrações com SIEM e DLP: a Notion pode ser integrada ao seu DLP ou SIEM preferido para detectar eventos.