Sim. Nossos esforços de segurança são guiados e gerenciados pela nossa Equipe de Segurança e pelo amplo Fórum de Segurança, que é composto por representantes das equipes de Infraestrutura, P&D, Operações e TI. A Equipe de Segurança é liderada pelo nosso Chief Information Security Officer (CISO), e nossa liderança em segurança possui décadas de experiência em cibersegurança. O programa de segurança da monday.com adere tanto às leis, normas e regulamentos locais quanto internacionais aplicáveis à monday.com, e define as medidas e controles que temos em vigor para proteger o serviço da monday.com e os dados de nossos clientes.

O programa é baseado na ISO 27001, revisado anualmente, e abrange toda a organização da monday.com, incluindo subsidiárias, funcionários, contratados, subcontratados, parceiros e qualquer pessoa que cria, mantém, armazena, acessa, processa ou transmite informações da monday.com ou de seus usuários em conexão com o serviço.

Os funcionários da monday.com são obrigados a concluir treinamentos formais sobre as obrigações de segurança da informação e privacidade que devem cumprir.

Nosso modelo e controles de segurança são baseados em normas internacionais e melhores práticas do setor, como ISO 27001, ISO 27018, SOC 2 e OWASP Top 10. Para uma visão geral completa da segurança e conformidade da monday.com, visite nosso Centro de Confiança.

Sim. A Política de Avaliação de Risco de Segurança da Informação da monday.com é projetada para fornecer uma compreensão dos riscos aos quais as informações e ativos de informação estão expostos e um framework para as etapas de mitigação dos riscos identificados. Como parte de nossa certificação ISO 27001, realizamos uma avaliação de risco anual. As ameaças à segurança do sistema são identificadas e avaliadas, e o risco dessas ameaças é formalmente avaliado. O processo é documentado e mantido, e todas as atividades de remediação devem ser aprovadas pela administração.

Sim. Por favor, revise nossos Termos de Serviço e Aditivo de Processamento de Dados.

monday.com é o “controlador de dados” de dados pessoais relacionados aos nossos usuários, uma vez que os propósitos do processamento desses dados e os meios pelos quais os processamos são exclusivamente determinados por nós. Você pode encontrar a Política de Privacidade da monday.com aqui.

Ao criar uma nova conta, armazenamos dados pessoais fornecidos a nós pelos usuários, como o nome completo do usuário, endereço de e-mail e número de telefone como parte do perfil do usuário. Para mais informações sobre os dados que a monday.com coleta como controlador de dados, consulte nossa Política de Privacidade.

Para dados submetidos à plataforma monday.com (ou seja, em quadros, itens, documentos, etc. (“Dados do Cliente”)), a monday.com atua como o “processador de dados”, e o cliente é o “controlador de dados”. Portanto, o cliente determina os tipos de dados que são submetidos à plataforma monday.com.

Como controlador de dados, os clientes decidem quais dados serão carregados para a monday.com. A monday.com não sabe quais dados um cliente irá carregar, portanto, classificamos todos os Dados do Cliente como confidenciais. Quando você começa a usar o serviço da monday.com, os dados armazenados por nós dependerão do seu uso do serviço e do tipo de dados (como texto, arquivos, etc.) que você e seus usuários autorizados que estão conectados ao serviço decidirem submeter e carregar para a monday.com.

Cumprimos o PCI-DSS como empresa quando um cliente nos faz um pagamento. No entanto, a plataforma monday.com não é destinada ao processamento de dados de cartão de crédito e, portanto, não é necessário que seja compatível com PCI-DSS.

Em relação ao pagamento, a monday.com utiliza os serviços de um processador de cobrança certificado PCI-DSS de terceiros; portanto, quaisquer pagamentos com cartão de crédito processados através de nosso processador de cobrança são realizados de acordo com os requisitos do PCI-DSS. Dados PCI-DSS não são armazenados em nosso serviço.

Quanto ao upload de dados PCI-DSS para o serviço da monday.com: Por favor, revise a Seção 3.3 (“Nenhum Dado Sensível”) de nossos Termos de Serviço.

A monday.com é um serviço totalmente baseado em nuvem e não oferece uma versão local. Nosso serviço é hospedado na infraestrutura da Amazon Web Services (AWS). Oferecemos hospedagem nas regiões de dados dos EUA, UE e AUS. Nosso data center é hospedado em várias Zonas de Disponibilidade, com um site de recuperação de desastres (DR) estabelecido em uma região diferente. Consulte este artigo para uma visão geral de onde os data centers estão localizados e onde os dados são armazenados.

Esses data centers utilizam medidas avançadas de segurança física e ambiental, resultando em uma infraestrutura altamente resiliente. Mais informações sobre suas práticas de segurança estão disponíveis em: página de segurança da AWS.

Os clientes da monday.com mantêm total controle sobre seus dados carregados e podem modificá-los ou excluí-los a qualquer momento durante o período de assinatura, usando os meios disponíveis através da interface do usuário da monday.com.

Os administradores da conta podem solicitar a exclusão dos dados da conta como parte do procedimento de fechamento da conta, que é tratado através do painel de administração da monday.com. Todos os dados submetidos à conta serão excluídos dentro de 90 dias. Isso inclui um período de 30 dias para permitir o rollback e mais 60 dias para excluir os dados de nossos bancos de dados e dos bancos de dados de nossos sub-processadores.

Alternativamente, os administradores podem optar por manter os dados da conta mesmo após fecharem sua conta e cancelarem a assinatura, caso em que nossa política atual é reter os dados da conta sem compromisso a uma duração específica. Nesses casos, podemos excluí-los com ou sem aviso prévio.

Observe que você pode exportar dados de sua conta a qualquer momento em dois formatos:

• Os quadros podem ser exportados para Excel.
• Os administradores podem exportar todos os dados da conta do painel do administrador em um arquivo zip contendo planilhas do Excel e arquivos carregados na conta (somente administradores).

Ao final de um contrato, mediante solicitação de exclusão, a desativação dos meios de armazenamento é realizada pelos provedores mencionados usando as técnicas detalhadas na NIST 800-88.

Sim. O acesso é concedido com base no papel e nos princípios de necessidade de saber e menor privilégio, usando um Provedor de Identidade (IdP). O acesso do usuário é modificado dentro de 24 horas após uma mudança no emprego ou rescisão (junto com a devolução dos equipamentos da empresa). Revisões trimestrais de acesso de usuários são realizadas para garantir a adequação dos privilégios de acesso.

Todos os Dados do Cliente são classificados como confidenciais e geralmente não são acessados para a execução de nosso serviço. Quando necessário, o acesso é concedido com base na necessidade de saber e nos princípios de menor privilégio para a execução de nosso serviço e para os propósitos conforme descrito na Seção 3.1 (Dados do Cliente) de nossos Termos de Serviço.

Nosso ambiente utiliza uma arquitetura multi-inquilino padrão do setor com separação lógica entre os clientes. Os dados dos clientes são segregados no nível da aplicação usando IDs exclusivos que são o resultado de uma combinação de vários parâmetros.

A monday.com utiliza os seguintes métodos para criptografar dados dos clientes:

• Dados em repouso são criptografados usando AES-256.
• Dados em trânsito através de redes abertas são criptografados usando TLS 1.3 (no mínimo TLS 1.2).
• Uma função Bcrypt de múltiplas rodadas é usada para hash de senhas, e elas também são salgadas.

Utilizamos os padrões OWASP Top 10 e Common Vulnerability Scoring System (CVSS) para incorporar segurança em nosso ciclo de vida de desenvolvimento de software. Todo código escrito por nossos desenvolvedores é analisado estaticamente e revisado por pares para ajudar a garantir a qualidade e segurança do código antes da implantação. Avaliamos e monitoramos continuamente nossa aplicação em busca de vulnerabilidades durante e após a implantação.

Testes de penetração de aplicações de terceiros são realizados anualmente por uma terceira parte independente, utilizando metodologias de testes manuais e automáticas.

Além disso, nossa Equipe de Segurança de Aplicações interna realiza regularmente auditorias de segurança e testes de penetração em várias funcionalidades que requerem um entendimento profundo de nossos mecanismos e arquitetura de segurança interna.

Testes dinâmicos de segurança de aplicações (DAST) são realizados pelo menos uma vez por semana.

Testes Dinâmicos de Segurança de Aplicações (DAST) é um método de cibersegurança que encontra vulnerabilidades testando uma aplicação em execução de fora para dentro, simulando como um atacante do mundo real tentaria invadir.

Como parte de nossos testes de penetração externos e internos, ferramentas de varredura de rede são usadas contra nossos servidores de produção. Também mantemos um Programa de Bug Bounty gerenciado, permitindo que o público relate quaisquer descobertas. Vulnerabilidades de segurança podem ser relatadas para [email protected] ou através de nosso formulário de submissão de vulnerabilidades HackerOne.

Sim. A monday.com oferece um aplicativo móvel. A arquitetura e a comunicação do aplicativo móvel são as mesmas do aplicativo web. Eles têm a mesma configuração de segurança e privacidade. No entanto, existem pequenas diferenças, como o cache. O aplicativo móvel armazena em cache os dados dos quadros acessados durante a sessão do usuário no banco de dados local do dispositivo. Ele armazena em cache os dados para acelerar o aplicativo móvel em conexões mais lentas ou quando o usuário está offline. Os dados em cache são inacessíveis devido ao mecanismo de sandbox nativo. Os dados em cache são agrupados com o aplicativo. Ao sair ou remover o aplicativo, todos os dados em cache são removidos do dispositivo.

Sim. Mantemos um Plano de Recuperação de Desastres (DRP) para lidar com desastres que afetam nosso ambiente de produção, que inclui restaurar a funcionalidade central do serviço a partir de nossa localização dedicada de DR. Os testes são realizados pelo menos duas vezes por ano. Os testes de DR podem assumir a forma de um walkthrough, simulação de desastre ou teste de componentes. O Plano de Recuperação de Desastres está disponível em nosso Centro de Confiança.

Empregamos uma arquitetura de microserviços para garantir um impacto mínimo na saúde do sistema em caso de falha de um ou mais componentes. Múltiplas Zonas de Disponibilidade são utilizadas para fornecer resiliência adicional, e temos provedores alternativos para alguns dos serviços dos quais dependemos.

Clientes corporativos recebem um SLA de 99,9%, sujeito aos termos do SLA.

Além disso, a disponibilidade do nosso serviço pode ser monitorada através de nossa página de status, onde você também pode se inscrever para receber atualizações por e-mail ou mensagens de texto.