Estamos comprometidos em proteger a confidencialidade, integridade e disponibilidade de nossos sistemas de informação e dos dados de nossos clientes. Estamos constantemente aprimorando nossos controles de segurança e analisando sua eficácia para lhe dar confiança em nossa solução.

Aqui fornecemos uma visão geral de alguns dos controles de segurança implementados para proteger seus dados.

Você pode contatar nossa equipe de segurança pelo e-mail security@streamyard.com.

Segurança em Nuvem

Segurança Física do Data Center

Instalações

Utilizamos a infraestrutura do Google Cloud para hospedagem dos data centers. Os data centers de nossos provedores são certificados conforme ISO 27001, PCI DSS Service Provider Level 1 e/ou compatíveis com SOC 1 e 2. Saiba mais sobre as certificações e padrões de conformidade do GCP em Ofertas de Conformidade do GCP.

Nossos provedores empregam controles robustos para garantir a disponibilidade e segurança de seus sistemas. Isso inclui medidas como energia de backup, equipamentos de detecção e supressão de incêndio, destruição segura de dispositivos, entre outros.

Segurança no Local

O GCP implementa controles físicos em camadas para garantir a segurança no local, incluindo seguranças avaliados, cercas, monitoramento por vídeo, tecnologia de detecção de intrusão e mais. Saiba mais sobre Segurança Física do GCP.

Segurança de Rede

Equipe de Segurança Interna

Temos uma equipe dedicada e apaixonada de segurança espalhada pelo mundo para responder a alertas e eventos de segurança.

Testes de Penetração por Terceiros

Testes de penetração por terceiros são realizados contra a aplicação e a infraestrutura de suporte pelo menos anualmente. Quaisquer descobertas resultantes dos testes são acompanhadas até a remediação. Relatórios estão disponíveis mediante solicitação com um NDA apropriado em vigor.

Detecção de Ameaças

Utilizamos serviços de detecção de ameaças dentro do GCP para monitorar continuamente atividades maliciosas e não autorizadas.

Escaneamento de Vulnerabilidades

Realizamos escaneamentos internos regulares para identificação de vulnerabilidades na infraestrutura. Quando problemas são identificados, eles são acompanhados até a remediação.

Mitigação de DDoS

Utilizamos diversas estratégias e ferramentas de proteção contra DDoS em camadas para mitigar ameaças DDoS. Utilizamos a sofisticada CDN da Cloudflare com proteção DDoS embutida, bem como ferramentas nativas do GCP e técnicas específicas de mitigação para aplicações.

Controle de Acesso

O acesso é limitado ao modelo de menor privilégio necessário para que nossa equipe realize suas funções. Além disso, o acesso é concedido por tempo limitado e é restrito ao número mínimo de serviços necessários. As permissões são frequentemente avaliadas internamente, aplicadas tecnicamente e monitoradas para garantir conformidade. Autenticação de dois fatores (2FA) é obrigatória para todos os sistemas de produção.

Criptografia

Em Trânsito

Forçamos HTTPS para todos os serviços usando TLS. Dentro do estúdio de streaming, todos os fluxos de vídeo e áudio de entrada e saída são criptografados usando DTLS v1.2. Quando uma transmissão está ao vivo, os dados de vídeo e áudio são descriptografados em nossos servidores para que as várias fontes de vídeo possam ser mixadas e transcodificadas no feed final de saída. O feed final é criptografado para todas as plataformas sociais que suportam RTMPS.

Em Repouso

Os dados do StreamYard são criptografados em repouso com algoritmos de criptografia padrão do setor gerenciados pelo GCP, como AES.

Disponibilidade & Continuidade

Tempo de Atividade

O StreamYard é implantado em infraestrutura de nuvem pública. Os serviços são implantados em múltiplas zonas de disponibilidade para garantir disponibilidade e são configurados para escalar dinamicamente em resposta à carga medida e esperada. Um sistema robusto de monitoramento e alerta está em vigor para garantir a confiabilidade do serviço e resposta rápida a incidentes.

Mantemos uma página de status publicamente disponível que inclui detalhes sobre a disponibilidade do sistema categorizados por áreas do produto, janelas de manutenção programada, histórico de incidentes de serviço e detalhes de incidentes de segurança.

Recuperação de Desastres

No caso de uma falha grave em uma região, temos a capacidade de implantar nossa aplicação em uma nova região de hospedagem. Temos regras adequadas de monitoramento e alerta que permitem que nossos engenheiros identifiquem imediatamente quaisquer anomalias e reajam prontamente para recuperar qualquer tipo de desastre.

Segurança da Aplicação

Garantia de Qualidade

Nossos engenheiros revisam e testam alterações em nossa base de código. A equipe de segurança possui recursos para investigar e recomendar remediação de vulnerabilidades de segurança no código. Sincronizações regulares, treinamentos e recursos de segurança são fornecidos a todos os engenheiros que trabalham no StreamYard.

Segregação de Ambientes

Ambientes de teste, homologação e produção são logicamente separados entre si. Nenhum dado de cliente é usado em qualquer ambiente de desenvolvimento ou teste.

Segurança Pessoal

Conscientização em Segurança

Oferecemos um programa robusto de Treinamento de Conscientização em Segurança, que é ministrado na contratação e anualmente para todos os funcionários.

Programa de Segurança da Informação

Temos um conjunto de políticas de segurança da informação que abrangem diversos tópicos. Elas são entregues a todos os funcionários e contratados logo após a contratação.

Acordos de Confidencialidade

Todos os funcionários são obrigados a assinar acordos de Não Divulgação e Confidencialidade.

Controles de Acesso

O acesso a sistemas e dispositivos de rede é baseado em um processo de solicitação bem definido. O acesso lógico aos servidores da plataforma e sistemas de gestão requer autenticação de dois fatores. O acesso é ainda mais restrito por permissões do sistema utilizando a metodologia de menor privilégio e todas as permissões exigem necessidade documentada. O acesso do usuário é revogado após término do emprego ou mudança de função.

Segurança de Terceiros

Gestão de Fornecedores

Entendemos os riscos associados à má gestão de fornecedores. Avaliamos e realizamos a devida diligência em todos os nossos fornecedores antes do engajamento para garantir que sua segurança esteja em um padrão adequado. Se não atenderem aos nossos requisitos, não prosseguimos com eles.

PCI-DSS

Como um comerciante sem cartão presente, terceirizamos nossas funções de titular de cartão para um provedor de serviços PCI-DSS Nível 1.

Subprocessadores de Terceiros

Utilizamos os seguintes subprocessadores para fornecer nossos serviços. Antes de contratar qualquer terceiro, avaliamos sua postura de segurança e privacidade.

Divulgação Responsável

Consideramos a segurança de nosso sistema uma prioridade máxima e acreditamos que trabalhar com uma comunidade de pesquisadores de segurança qualificados ajuda a melhorar nossa postura de segurança.

Se você acredita ter descoberto uma vulnerabilidade potencial, por favor, entre em contato conosco pelo e-mail security@streamyard.com para solicitar um formulário de divulgação.

Não oferecemos recompensas em dinheiro por reportar vulnerabilidades através de nossa Política de Divulgação Responsável.