A dedicação da Keeper Security em proteger os dados dos usuários permeia tudo o que fazemos. O Keeper® possui as certificações SOC 2 e ISO 27001
Não. O Keeper® nunca foi hackeado ou violado. Neste artigo, examinaremos por que milhões de consumidores e milhares de empresas em todo o mundo confiam no Keeper para proteger suas senhas e outras informações privadas.
O que é o Keeper Security?
O Keeper Security está transformando a maneira como organizações e indivíduos protegem suas senhas e ativos digitais confidenciais, reduzindo significativamente as violações de dados e ameaças cibernéticas relacionadas a senhas.
O Keeper é o principal provedor de software de segurança e criptografia de conhecimento zero que cobre senhas, passkey, segredos, conexões e gerenciamento de acesso privilegiado, bem como monitoramento da dark web, armazenamento de arquivos digitais, mensagens criptografadas e muito mais. Protegemos consumidores e empresas de todos os tamanhos em todos os principais setores. O Keeper possui a certificação SOC 2 e ISO27001 mais antiga do setor, e somos autorizados pela FIPS 140-2 e pela FedRAMP.
O Keeper foi nomeado o Melhor Gerenciador de Senhas e Escolha do Editor da PC Magazine, Melhor Gerenciador de Senhas Geral do U.S. News & World Report, Líder Empresarial do G2, Excelente Empresa em IAM, Mais Inovadora em Segurança de Terminais, e Empresa do Ano em Segurança de Última Geração. O Keeper tem mais de 275 mil avaliações de cinco estrelas nas lojas de aplicativos.
Keeper para consumidores e famílias
O Keeper Password Manager para consumidores e famílias armazena todas as suas senhas, códigos de MFA e uma variedade de outros dados confidenciais em um cofre da web digital seguro com a capacidade de preencher automaticamente suas credenciais de login em todos os seus sites e aplicativos. Nossas soluções para consumidores utilizam a mesma criptografia de conhecimento zero proprietária que nossos produtos comerciais, colocando segurança de nível empresarial nas mãos dos consumidores. Apenas o usuário pode acessar e descriptografar suas senhas e arquivos armazenados. Ninguém mais pode acessar as senhas mestras, chaves de criptografia ou conteúdo do cofre de nossos usuários, nem mesmo os próprios funcionários do Keeper.
Keeper para organizações
Plataforma de gerenciamento de senhas e segurança empresarial do Keeper:
- Fornece a cada funcionário um cofre digital seguro e criptografado no qual pode armazenar suas senhas, arquivos e outros dados confidenciais. Os funcionários podem acessar seu cofre a partir de praticamente qualquer dispositivo e de todos os principais navegadores da web, gerar automaticamente senhas exclusivas e complexas para todas as suas contas, e preencher automaticamente suas credenciais de login em todos os seus sites e aplicativos.
- Dá aos administradores de TI visibilidade completa das práticas de senhas dos funcionários, permitindo o monitoramento do uso de senhas e imposição de políticas de segurança de senhas em toda a organização, incluindo requisitos de complexidade de senhas, autenticação de dois fatores (2FA), controle de acesso baseado em função (RBAC) e outras políticas de segurança.
O Keeper é seguro de usar?
O Keeper é totalmente seguro de usar. Os próprios funcionários do Keeper usam nosso gerenciador de senhas internamente para proteger senhas e dados da empresa e compartilhar arquivos com segurança.
O Keeper é um provedor de segurança de confiança zero e de conhecimento zero. Toda a criptografia e descriptografia ocorrem apenas no dispositivo do usuário ao fazer login no cofre, o que significa que o usuário do Keeper é a única pessoa que pode criptografar e descriptografar seus dados.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Ao utilizar uma senha mestra para fazer login, o dispositivo do cliente obtém uma chave de autenticação de 256 bits utilizando PBKDF2-HMAC-SHA256 e dado aleatório. Um hash de autenticação é gerado por hashing da chave de autenticação utilizando SHA-256. Para fazer login, o hash de autenticação é comparado com um hash de autenticação armazenado no cofre de segurança de nuvem. Após o login, um token de sessão é gerado no servidor e enviado ao cliente para ser usado pelo dispositivo do cliente para solicitações de API subsequentes. A sessão deve estar ativa para permitir o uso contínuo das comunicações do cliente para o servidor.
O Keeper utiliza módulos de criptografia validados pela FIPS 140-2 para atender aos rigorosos requisitos de segurança de governos e do setor público. A criptografia do Keeper foi certificada pelo NIST CMVP e validada de acordo com o padrão FIPS 140 por laboratórios terceirizados credenciados.
Detalhes adicionais sobre o modelo de autenticação e criptografia do Keeper podem ser encontrados em nossa base de conhecimento on-line.
O Keeper fornece suporte para os métodos de 2FA mais populares e seguros disponíveis: SMS, aplicativos autenticadores baseados em TOTP, como Google ou Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (autenticação com dispositivo vestível com dispositivos Apple Watch e Android Wear) e dispositivos FIDO2 WebAuthn como Yubikey. As organizações podem impor a 2FA usando as políticas de imposição baseadas em funções do Keeper.
O Keeper já foi hackeado?
Não, o Keeper nunca foi hackeado. Em 2017, um pesquisador de segurança encontrou um bug na extensão do navegador do Keeper, que é um aplicativo separado do aplicativo Keeper Desktop. Corrigimos o bug em 24 horas após a confirmação, descontinuamos versões anteriores da extensão do navegador do Keeper e relatamos o incidente em nosso blog. Seguimos com um segundo blog explicando a situação aos nossos clientes e garantindo que não houve violação de segurança relatada ou real, ou perda de informações de clientes em conexão com esse bug.
Muito mudou desde 2017! O Keeper formou uma parceria com a Bugcrowd para gerenciar nosso programa de caça a erros e divulgação de vulnerabilidades (VDP). O VDP do Keeper Security pode ser encontrado em https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
O Keeper também adere a práticas de segurança internas muito rigorosas, que são regularmente auditadas por terceiros para ajudar a garantir que continuemos a desenvolver software seguro e fornecer a plataforma de segurança cibernética mais segura do mundo, incluindo o seguinte:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- O Keeper realiza SAST/DAST usando ferramentas CodeQL integradas do Github Enterprise, bem como testes periódicos com Synopsys / Black Duck. A equipe de engenharia do Keeper analisa os resultados da análise estática para determinar descobertas válidas.
- O Keeper adota e incorpora as melhores práticas e recomendações fornecidas no Guia do desenvolvedor da OWASP e na Série de fichas de consulta da OWASP para implementar e aprimorar nossa engenharia de software segura. O Keeper utiliza o Guia de testes da OWASP e/ou o Guia de revisão de código da OWASP para encontrar e minimizar vulnerabilidades em nosso serviço/aplicativo.
- O Keeper realiza todo o desenvolvimento de software internamente, em estações de trabalho de desenvolvimento locais. Não damos acesso técnico a nossos sistemas a terceiros.
- Cada projeto normalmente consiste em um repositório do GitHub, um projeto Jira, um quadro Kanban e um pipeline de compilação do GitHub Actions. À medida que o software é desenvolvido, o repositório do GitHub é atualizado com commits regulares. As compilações automatizadas do GitHub Actions são feitas no commit ou em intervalos de compilação dedicados regulares. Tickets do Jira e quadros Kanban são usados para organizar o desenvolvimento de projetos.
- Antes da aprovação da garantia de qualidade, o código-fonte é submetido a revisão por pares pelo líder de equipe, que inclui verificações de segurança, acesso não autorizado, ataques de injeção de dados, etc.
- O fortalecimento e a personalização do sistema operacional do servidor, servidores da web, servidores de aplicativos, servidores de banco de dados são padronizados usando modelos de configuração e chamadas de API com script para o Amazon AWS.
- O Keeper realiza a verificação mensal e diária de vulnerabilidades na infraestrutura do sistema do Keeper.
- O Keeper realiza testes de penetração internos e externos regularmente. Os testes de penetração são realizados mensalmente usando uma combinação de serviços de terceiros e ferramentas e sistemas internos.
- As vulnerabilidades críticas são corrigidas em 48 horas e as vulnerabilidades não críticas (médias) são corrigidas em até 10 dias úteis.
Certificações e conformidade do Keeper
O Keeper é a plataforma de segurança de senhas mais segura, certificada, testada e auditada do mundo. O Keeper possui as certificações SOC 2 e ISO 27001 mais antigas do setor. O Keeper é autorizado pelo FedRAMP e pelo StateRAMP e é certificado pela TrustArc para privacidade on-line de acordo com a Estrutura de Privacidade de Dados (DPA). Os clientes empresariais podem obter cópias de nossos relatórios SOC 2 e ISO 27001 entrando em contato com nossa equipe de vendas.
O Keeper está em conformidade com GDPR, CCPA, PCI DSS e HIPAA, e temos Exportação licenciada pelo Departamento de Comércio dos EUA quanto à EAR. Estamos em conformidade com todos os requisitos regulamentares locais de segurança de dados e somos certificados pela TrustArc em relação a privacidade on-line.
O GDPR identifica duas entidades que podem processar dados pessoais. Um controlador de dados decide quais dados coletar e qual processamento de dados pessoais é feito. Um processador de dados age por orientação de um controlador de dados para coletar, armazenar, obter e/ou excluir dados pessoais. O Keeper Security é um controlador de dados quando vendemos nosso gerenciador de senhas diretamente aos consumidores. Somos um processador de dados quando vendemos para empresas, que, por sua vez, seriam consideradas os controladores de dados.
Para obter mais informações sobre a conformidade com o GDPR do Keeper ou para baixar os acordos de processamento de dados de download do GDPR, visite https://www.keepersecurity.com/GDPR.html
Como um provedor de serviços de nuvem autorizado pela FedRAMP (Impacto Moderado), o Keeper está bem posicionado para ajudar as organizações a estarem em conformidade com o Regulamento Internacional de Tráfego de Armas (ITAR), que regula as importações e exportações dos EUA de artigos e serviços relacionados ao espaço e à defesa.
Para obter mais informações sobre nossas certificações de conformidade, visite https://www.keepersecurity.com/security.html?s=compliance
O Keeper é autorizado pela FedRAMP
O Keeper Security Government Cloud (KSGC) é autorizado pela FedRAMP no nível de Impacto Moderado. Vamos falar sobre o que isso significa.
O Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) foi criado pelo governo dos EUA para atingir uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem. As agências federais são obrigadas a usar serviços em nuvem certificados pela FedRAMP.
Para serem listados no FedRAMP Marketplace, os provedores de serviços de nuvem (CSPs), como o Keeper, devem passar por um processo rigoroso e demorado de autorização, que inclui uma auditoria altamente detalhada de todos os sistemas. Mesmo depois de obter a autorização do FedRAMP, o trabalho do CSP não chegou ao fim! O CSP deve manter continuamente seus sistemas para atender aos requisitos do FedRAMP. O programa FedRAMP verifica isso exigindo que o CSP forneça resultados de monitoramento contínuo mensal às agências usando seu serviço, incluindo um relatório atualizado do Plano de Ação e Marcos (POA&M) e resultados/relatórios de monitoramento. Além disso, o CSP também deve concluir uma avaliação anual de segurança.
Embora o FedRAMP tenha sido projetado para agências do governo federal, escolher uma solução de gerenciamento de senhas autorizado pelo FedRAMP e StateRAMP, como o Keeper Security Government Cloud, também é benéfico para agências governamentais estaduais e locais, bem como para organizações do setor privado em setores altamente regulamentados.