Segurança

A UiPath não mede esforços para garantir que os dados relacionados aos projetos de RPA permaneçam protegidos e seguros, sem exceção. Ao usar o UiPath Task Mining, seus dados se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade que a UiPath impõe.

O UiPath Task Mining é composto por quatro componentes principais: o aplicativo de gravação, Pré-Processador de Dados, Analisador e Portal do Administrador. Juntos, esses componentes executam estudos sobre as tarefas executadas pelos usuários em seu ambiente. A partir desses estudos, o UiPath Task Mining identificará uma lista de tarefas que são boas candidatas para serem automatizadas e produzirá um mapa detalhado do processo para as tarefas. Esses estudos são controlados pelo administrador do sistema e os dados coletados durante os estudos são criptografados para garantir que a privacidade dos usuários não seja violada.

Princípios do design de serviço

O Portal do Administrador e Analisador são entregues via um modelo de software como serviço (SaaS) construído e hospedado no Microsoft Azure. Eles todos usam serviços essenciais do Azure, incluindo poder de processamento, armazenamento, redes, banco de dados SQL, configuração do app, armazenamento secreto no Cofre de Chaves, e gerenciamento de identidade e acesso.

Isso nos permite focar nos aspectos únicos de executar serviços da UiPath, enquanto também aproveitamos, e aprimoramos, os recursos inovadores do Azure em segurança, privacidade e conformidade. Também usamos as certificações do setor disponíveis pelo Azure.

Na UiPath, compartilhamos a responsabilidade de proteger seus dados com o Azure e aderimos estritamente às orientações publicadas por ele.

Criptografia de dados

Criptografamos todos os dados de clientes armazenados em todos os repositórios de dados que fazem parte do nosso serviço. Por exemplo, usamos criptografia de dados transparente nos bancos de dados SQL.

Todos os dados são transmitidos por canais protegidos, não importa se estão sendo transportados pela internet ou dentro de nossos componentes de serviço internos.

Gerenciamento de Identidade e acesso

Oferecemos suporte à criação de contas em nossa plataforma de nuvem usando diversos provedores de serviço, como o Google, Microsoft e LinkedIn, assim como por meio de contas nativas. Após a criação da conta, nossos serviços gerenciam os direitos de acesso de cada usuário usando verificações de controle de acesso baseadas em aplicativo e função.

Isolamento de dados do tenant

Os dados de cada tenant são logicamente separados de outros em nosso serviço para que possamos impor controles de acesso e autorização para todos os tenants conforme acessam dados dentro de nosso serviço.

Privacidade

A UiPath coleta duas categorias de dados de usuários para operar e melhorar os serviços do UiPath Task Mining:

Dados do cliente: inclui dados transacionais e interacionais identificáveis por usuário que precisamos para operar o serviço e gerenciar seu contrato com a UiPath
Logs gerados pelo sistema: inclui dados de uso do serviço que podem ser agregados e contém alguns dados do cliente

Do ponto de vista do GDPR, a UiPath é considerada um processador de dados. Como tal, honramos todas as obrigações de um processador de dados fornecendo aos clientes controle total sobre seus dados, de acordo com a arquitetura do produto e implementação.

Garantimos que podemos exportar todos os seus dados para você sob solicitação. Se você fechar sua conta no UiPath Task Mining ou se decidir solicitar a exclusão dos dados, excluiremos esses dados dos nossos sistemas após o período de exclusão de 30 dias.

Recomendamos que nossos clientes avaliem se seu uso de nosso serviço de nuvem está de acordo com suas obrigações de privacidade. Para obter mais informações sobre a declaração de privacidade da UiPath, como a UiPath processa seus dados ao usar serviços online, e obrigações do GDPR, visite nossa Política de Privacidade.

Residência de dados e soberania

Sabemos que nossos clientes se preocupam bastante com a localização dos dados. Serviremos todos os conteúdos e armazenaremos todos os dados para o usuário na região que corresponde ao local de pagamento do usuário e requisitos de soberania. Para exibir o conjunto atual de regiões aceitas, acesse Residência de dados. Podemos continuar adicionando regiões à medida que vermos nossa base de clientes crescer.

Observação:

A residência de dados é exigida, pois agora estamos usando o Serviço Cocognitivo da Microsoft para mascaramento de PII, e isso funciona em relação à região do tenant.

Práticas de segurança e conformidade

A UiPath cuida dos seguintes aspectos de segurança e conformidade para ajudar a evitar falhas e manter os mais altos padrões de segurança de dados, privacidade e disponibilidade:

Proteção de sistemas

O UiPath Task Mining usa a oferta de plataforma como serviço (SaaS) do Azure para a maior parte de sua infraestrutura. O PaaS fornece automaticamente atualizações regulares para vulnerabilidades de segurança conhecidas.

Ciclo de vida de desenvolvimento seguro

As equipes de segurança e desenvolvimento da UiPath trabalham em conjunto para cuidar de ameaças de segurança em todo o processo de desenvolvimento do UiPath Task Mining.

As equipes fazem modelagens de ameaças durante o projeto do serviço. Elas seguem as práticas recomendadas de projeto e programação e verificam a segurança no produto final usando uma abordagem multifacetada que tira proveito de ferramentas desenvolvidas internamente, ferramentas comerciais de análise estática e dinâmica, testes de penetração internos e programas de recompensa para a localização de bugs.

Também monitoramos as vulnerabilidades introduzidas em nossa base de código por bibliotecas de terceiros e minimizamos nossa dependência dessas bibliotecas e exposições relacionadas. Como o cenário de segurança está em constante mudança, nossas equipes sempre se mantêm atualizadas com as melhores e mais recentes práticas. Também impomos requisitos de treinamento anual para todos os engenheiros e funcionários de operação que trabalham nos serviços de nuvem da UiPath.

Serviço e disponibilidade de dados

Garantir a disponibilidade dos serviços do UiPath Task Mining para que você possa acessar os ativos da sua organização é de extrema importância para nós. É por isso que confiamos no mecanismo de backup do Azure e praticamos a recuperação de dados.

Empregamos outros sistemas contra falhas para ajudar a garantir a disponibilidade. Um ataque de negação de serviço distribuído (DDoS), por exemplo, poderia afetar a disponibilidade do serviço do UiPath Task Mining. O Azure tem um sistema de defesa contra DDoS que ajuda a prevenir ataques em nosso serviço. Ele usa técnicas de detecção e mitigação padrão como cookies SYN, limitação de taxas e limites de conexão.

O sistema foi projetado não apenas para resistir a ataques externos, mas também de dentro do Azure.

Testes em site ativo

Simulamos táticas adversas em nossos serviços e infraestrutura subjacente usando equipes vermelhas internas.

O objetivo é identificar vulnerabilidades reais, erros de configuração e outras falhas de segurança de maneira controlada para podermos testar a efetividade dos nossos recursos de prevenção, detecção e resposta.

Resposta a incidentes de segurança

Nós nos esforçamos para minimizar a superfície de ataque dos nossos serviços e não medimos esforços para reduzir a probabilidade da ocorrência de uma violação de dados. No entanto, incidentes de segurança ainda podem acontecer.

Caso ocorra uma violação, usamos planos de resposta de segurança para minimizar o vazamento, perda ou corrupção dos dados. Oferecemos transparência aos nossos clientes durante todo o incidente. Nossa equipe de SRE e segurança, disponível 24 horas por dia, está sempre a postos para identificar rapidamente o problema e empregar os recursos da equipe de desenvolvimento necessários para conter o impacto do incidente.

Após a equipe ter contido um problema, nosso processo de gerenciamento de incidentes de segurança continua para identificarmos a causa raiz, e acompanhamos as alterações necessárias para garantir que impeçamos problemas semelhantes no futuro.

Controle de acesso de produção

Mantemos um controle restrito sobre quem tem acesso ao nosso ambiente de produção e aos dados de clientes.

O acesso é concedido apenas no nível mínimo de privilégio necessário e apenas após justificações adequadas serem fornecidas e verificadas. Se um membro da equipe precisar de acesso para resolver um problema urgente ou implantar uma alteração de configuração, ele deve solicitar um acesso para “apenas aquele momento” ao serviço de produção.

O acesso é revogado assim que a situação é resolvida. As solicitações de acesso e aprovações são rastreadas. Se o nome de usuário e senha de um dos nossos desenvolvedores ou membros da equipe de operação forem roubados, os dados ainda estarão protegidos porque usamos a autenticação de dois fatores para todo o acesso ao sistema de produção.

Gerenciamento de segredos

Os segredos que usamos para gerenciar e manter o serviço, como chaves de criptografia, são gerenciados, armazenados, e transmitidos com segurança pelo Portal de Gerenciamento do Azure.

Todos os segredos são rotacionados regularmente e podem ser rotacionados sob demanda caso ocorra algum evento de segurança.

Com uma base sólida de segurança e privacidade, a UiPath está trabalhando para obter certificações e credenciamentos do setor durante o ano que vem, que incluem o Veracode Continuous para nossa plataforma de nuvem, ISO 27001:2013 e ISO 27017, CSA Star, SOC 1 Tipo 2 e SOC 2 Tipo 2.

Tanto o Portal do Administrador quanto o Analisador são entregues por meio de um modelo de software como serviço (SaaS) criado e hospedado no Microsoft Azure. Eles todos usam serviços essenciais do Azure, incluindo poder de processamento, armazenamento, redes, banco de dados SQL, configuração do app, armazenamento secreto no Cofre de Chaves, e gerenciamento de identidade e acesso. Compartilhamos a responsabilidade de proteger seus dados com o Azure e aderimos estritamente às orientações publicadas por ele.