Segurança

UiPath® goes to great lengths to ensure that data related to your RPA projects remains safe and secure, without exception. When using UiPath Task Mining, your data benefits from multiple layers of security and governance technologies, operational practices, and compliance policies that UiPath enforces.

O UiPath Task Mining é composto por quatro componentes principais: o aplicativo de gravação, Pré-Processador de Dados, Analisador e Portal do Administrador. Juntos, esses componentes executam estudos sobre as tarefas executadas pelos usuários em seu ambiente. A partir desses estudos, o UiPath Task Mining identificará uma lista de tarefas que são boas candidatas para serem automatizadas e produzirá um mapa detalhado do processo para as tarefas. Esses estudos são controlados pelo administrador do sistema e os dados coletados durante os estudos são criptografados para garantir que a privacidade dos usuários não seja violada.

Princípios do design de serviço

O Portal do Administrador e Analisador são entregues via um modelo de software como serviço (SaaS) construído e hospedado no Microsoft Azure. Eles todos usam serviços essenciais do Azure, incluindo poder de processamento, armazenamento, redes, banco de dados SQL, configuração do app, armazenamento secreto no Cofre de Chaves, e gerenciamento de identidade e acesso.

This allows us to focus on the unique aspects of running UiPath® services while taking advantage of, and building upon, Azure’s state-of-the-art capabilities in security, privacy, and compliance. We also utilize the industry certifications available through Azure.

Na UiPath, compartilhamos a responsabilidade de proteger seus dados com o Azure e aderimos estritamente às orientações publicadas por ele.

Criptografia de dados

Criptografamos todos os dados de clientes armazenados em todos os repositórios de dados que fazem parte do nosso serviço. Por exemplo, usamos criptografia de dados transparente nos bancos de dados SQL.

Todos os dados são transmitidos por canais protegidos, não importa se estão sendo transportados pela internet ou dentro de nossos componentes de serviço internos.

Gerenciamento de Identidade e acesso

We support account creation in our Automation Cloud^TM Platform using a variety of identity service providers, such as Google, Microsoft, and LinkedIn, as well as through native accounts. Post account creation, our services manage a given user’s access rights using application-managed, role-based access control checks.

Isolamento de dados do tenant

Os dados de cada tenant são logicamente separados de outros em nosso serviço para que possamos impor controles de acesso e autorização para todos os tenants conforme acessam dados dentro de nosso serviço.

Privacidade

UiPath® collects two categories of data from users to operate and improve Task Mining Services:

Dados do cliente: inclui dados transacionais e interacionais identificáveis por usuário que precisamos para operar o serviço e gerenciar seu contrato com a UiPath
Logs gerados pelo sistema: inclui dados de uso do serviço que podem ser agregados e contém alguns dados do cliente

Do ponto de vista do GDPR, a UiPath é considerada um processador de dados. Como tal, honramos todas as obrigações de um processador de dados fornecendo aos clientes controle total sobre seus dados, de acordo com a arquitetura do produto e implementação.

Garantimos que podemos exportar todos os seus dados para você sob solicitação. Se você fechar sua conta no UiPath Task Mining ou se decidir solicitar a exclusão dos dados, excluiremos esses dados dos nossos sistemas após o período de exclusão de 30 dias.

Recomendamos que nossos clientes avaliem se seu uso de nosso serviço de nuvem está de acordo com suas obrigações de privacidade. Para obter mais informações sobre a declaração de privacidade da UiPath, como a UiPath processa seus dados ao usar serviços online, e obrigações do GDPR, visite nossa Política de Privacidade.

Residência de dados e soberania

Sabemos que nossos clientes se preocupam bastante com a localização dos dados. Serviremos todos os conteúdos e armazenaremos todos os dados para o usuário na região que corresponde ao local de pagamento do usuário e requisitos de soberania. Para exibir o conjunto atual de regiões aceitas, acesse Residência de dados. Podemos continuar adicionando regiões à medida que vermos nossa base de clientes crescer.

Observação:

A residência de dados é exigida, pois agora estamos usando o Serviço Cocognitivo da Microsoft para mascaramento de PII, e isso funciona em relação à região do tenant.

Práticas de segurança e conformidade

UiPath® addresses the following aspects of security and compliance in order to help prevent breaches and uphold the highest standards for data security, privacy, and availability:

Proteção de sistemas

UiPath® Task Mining uses Azure's Platform-as-a-Service (PaaS) offering for much of its infrastructure. PaaS automatically provides regular updates for known security vulnerabilities.

Ciclo de vida de desenvolvimento seguro

UiPath® security and development teams work hand in hand to address security threats throughout the development process of UiPath Task Mining.

As equipes fazem modelagens de ameaças durante o projeto do serviço. Elas seguem as práticas recomendadas de projeto e programação e verificam a segurança no produto final usando uma abordagem multifacetada que tira proveito de ferramentas desenvolvidas internamente, ferramentas comerciais de análise estática e dinâmica, testes de penetração internos e programas de recompensa para a localização de bugs.

Também monitoramos as vulnerabilidades introduzidas em nossa base de código por bibliotecas de terceiros e minimizamos nossa dependência dessas bibliotecas e exposições relacionadas. Como o cenário de segurança está em constante mudança, nossas equipes sempre se mantêm atualizadas com as melhores e mais recentes práticas. Também impomos requisitos de treinamento anual para todos os engenheiros e funcionários de operação que trabalham nos serviços de nuvem da UiPath.

Serviço e disponibilidade de dados

Ensuring that UiPath® Task Mining services are available so you can access your organization’s assets is of the utmost importance to us. That is why we rely on Azure’s backup mechanism and practice data recovery.

Empregamos outros sistemas contra falhas para ajudar a garantir a disponibilidade. Um ataque de negação de serviço distribuído (DDoS), por exemplo, poderia afetar a disponibilidade do serviço do UiPath Task Mining. O Azure tem um sistema de defesa contra DDoS que ajuda a prevenir ataques em nosso serviço. Ele usa técnicas de detecção e mitigação padrão como cookies SYN, limitação de taxas e limites de conexão.

O sistema foi projetado não apenas para resistir a ataques externos, mas também de dentro do Azure.

Testes em site ativo

Simulamos táticas adversas em nossos serviços e infraestrutura subjacente usando equipes vermelhas internas.

O objetivo é identificar vulnerabilidades reais, erros de configuração e outras falhas de segurança de maneira controlada para podermos testar a efetividade dos nossos recursos de prevenção, detecção e resposta.

Resposta a incidentes de segurança

Nós nos esforçamos para minimizar a superfície de ataque dos nossos serviços e não medimos esforços para reduzir a probabilidade da ocorrência de uma violação de dados. No entanto, incidentes de segurança ainda podem acontecer.

Caso ocorra uma violação, usamos planos de resposta de segurança para minimizar o vazamento, perda ou corrupção dos dados. Oferecemos transparência aos nossos clientes durante todo o incidente. Nossa equipe de SRE e segurança, disponível 24 horas por dia, está sempre a postos para identificar rapidamente o problema e empregar os recursos da equipe de desenvolvimento necessários para conter o impacto do incidente.

Após a equipe ter contido um problema, nosso processo de gerenciamento de incidentes de segurança continua para identificarmos a causa raiz, e acompanhamos as alterações necessárias para garantir que impeçamos problemas semelhantes no futuro.

Controle de acesso de produção

Mantemos um controle restrito sobre quem tem acesso ao nosso ambiente de produção e aos dados de clientes.

O acesso é concedido apenas no nível mínimo de privilégio necessário e apenas após justificações adequadas serem fornecidas e verificadas. Se um membro da equipe precisar de acesso para resolver um problema urgente ou implantar uma alteração de configuração, ele deve solicitar um acesso para “apenas aquele momento” ao serviço de produção.

O acesso é revogado assim que a situação é resolvida. As solicitações de acesso e aprovações são rastreadas. Se o nome de usuário e senha de um dos nossos desenvolvedores ou membros da equipe de operação forem roubados, os dados ainda estarão protegidos porque usamos a autenticação de dois fatores para todo o acesso ao sistema de produção.

Gerenciamento de segredos

Os segredos que usamos para gerenciar e manter o serviço, como chaves de criptografia, são gerenciados, armazenados, e transmitidos com segurança pelo Portal de Gerenciamento do Azure.

Todos os segredos são rotacionados regularmente e podem ser rotacionados sob demanda caso ocorra algum evento de segurança.

With a solid foundation for security and privacy, UiPath® is working towards obtaining industry certifications and accreditations over the next year, which include Veracode continuous for our Cloud Platform, ISO 27001:2013, and ISO 27017, CSA Star and SOC 1 Type 2.

Tanto o Portal do Administrador quanto o Analisador são entregues por meio de um modelo de software como serviço (SaaS) criado e hospedado no Microsoft Azure. Eles todos usam serviços essenciais do Azure, incluindo poder de processamento, armazenamento, redes, banco de dados SQL, configuração do app, armazenamento secreto no Cofre de Chaves, e gerenciamento de identidade e acesso. Compartilhamos a responsabilidade de proteger seus dados com o Azure e aderimos estritamente às orientações publicadas por ele.