Обзор вопросов безопасности

Введение

Пользователи доверяют Evernote миллиарды своих заметок, проектов и идей. И в основе этого доверия — гарантированная безопасность и конфиденциальность данных. Информация на этой странице проливает свет на наши методы защиты. По мере добавления новых возможностей и улучшения безопасности наших продуктов мы будем расширять и обновлять эту информацию.

Программа обеспечения безопасности

В компании Evernote работает специальный отдел безопасности. Задача этого отдела — обеспечивать надежную защиту данных, хранящихся в нашем сервисе. Мы реализуем программу безопасности, которая включает следующие аспекты: безопасность продуктов, инструменты управления инфраструктурой (физические и логические), политики, обучение сотрудников, обнаружение вторжений и оценка.

Отдел безопасности реализует внутреннюю программу реагирования на инциденты, инструктируя сотрудников Evernote по поводу того, как сообщать о подозрительной активности. В свою очередь, группа реагирования на инциденты использует необходимые процедуры, средства и самые современные технологии для эффективного обнаружения атак, направленных на нашу инфраструктуру, сервис и сотрудников.

Мы регулярно проверяем инфраструктуру и приложения на уязвимости и устраняем те, которые могут нарушить безопасность данных пользователей. Кроме того, наш отдел безопасности постоянно тестирует новые средства, чтобы увеличить охват и глубину таких проверок.

Безопасность сети

Evernote определяет границы своей сети с помощью комбинации средств балансировки нагрузки, брандмауэров и VPN. Они управляют тем, каким сервисам будет разрешен доступ к Интернету, а также отделяют производственную сеть от остальной вычислительной инфраструктуры. Мы ограничиваем доступ к нашей производственной инфраструктуре с учетом потребностей бизнеса, проводя при этом строгую проверку подлинности.

Мы защищаем наш сервис от атак распределенного отказа в обслуживании (DDoS) с помощью службы предотвращения атак, вызываемой по требованию.

Безопасность аккаунтов

Evernote не хранит ваши пароли в виде обычного текста. Для защищенного хранения паролей в целях проверки подлинности используется функция формирования ключа на основе пароля, редакция 2 (PBKDF2), с уникальными случайными данными («солью») для каждого экземпляра учетных данных. При этом подбирается оптимальное число итераций хеширования с точки зрения удобства пользователя и сложности взлома пароля.

Мы не требуем задавать сложный пароль, и все же наш индикатор надежности пароля поможет вам подобрать более надежный вариант. Чтобы замедлить проведение атак подбора пароля, мы ограничиваем число неудачных попыток входа как для аккаунта, так и для IP-адреса.

Для всех аккаунтов Evernote предлагаетдвухэтапную проверку (2SV) (другое название — двухфакторная проверка подлинности). Наш двухэтапный механизм проверки основан на алгоритме временного одноразового пароля (TOTP). Все пользователи могут создавать коды локально в приложении на мобильном устройстве, а премиум- и бизнес-пользователи могут запросить доставку кодов в виде текстовых сообщений.

Безопасность электронной почты

Evernote дает возможность создать заметку в аккаунте, отправив email на ваш уникальный адрес в Evernote. Для защиты от неблагонадежного содержимого мы сканируем все письма коммерческим антивирусом.

Когда вы получаете сообщение по электронной почте от Evernote, мы гарантируем, что его действительно отправила наша компания. Мы публикуем обязательную политику DMARC, чтобы вы могли не сомневаться: письмо, которое вы получили от Evernote, является подлинным. Ведь каждое сообщение, отправляемое с адресов @evernote.com и @email.evernote.com, содержит криптографическую подпись DKIM и высылается с IP-адреса, публикуемого в SPF-записи.

Безопасность продукта

Защита обращенного к Интернету веб-сервиса — это важнейший аспект безопасности ваших данных. Наш отдел безопасности реализует программу защиты приложений, улучшая безопасность кода и периодически проверяя сервис на предмет распространенных проблем с безопасностью, таких как подделка межсайтовых запросов (CSRF), атака путем внедрения кода (XSS, SQLi), управление сеансами и перенаправление URL-адресов, а также кликджекинг — «кража клика» путем фальсификации интерфейса.

Все сторонние клиентские приложения проходят в нашем веб-сервисе проверку подлинности на основе идентификатора OAuth. Он позволяет с легкостью подключить к вашему аккаунту стороннее приложение, не сообщая ему учетных данных для входа. Когда вы успешно проходите проверку подлинности в Evernote, мы возвращаем маркер этой проверки клиенту, чтобы он разрешил вам доступ. Таким образом, стороннему приложению никогда не потребуется сохранять на устройстве ваши имя и пароль.

Каждое клиентское приложение, которое взаимодействует с нашим сервисом, использует для всех действий структурированную технологию thrift API. Этот интерфейс, выступая посредником для всех коммуникаций, позволяет создать базовый принцип архитектуры приложений — проверку авторизации. В сервисе не предусмотрен прямой доступ к объектам: маркер проверки подлинности каждого клиента проверяется при каждой попытке доступа к сервису. Таким образом подтверждается право клиента на доступ к тому или иному объекту, будь то отдельная заметка или весь блокнот. Дополнительные сведения см. на странице dev.evernote.com.

Разделение пользователей

Сервис Evernote является мультиарендным: ваши данные не отделены от данных других пользователей. Иными словами, они могут храниться на одних и тех же серверах. Тем не менее ваши данные считаются конфиденциальными и будут доступны другим пользователям только в том случае, если вы сами разрешите такой доступ. Сведения о том, как применяется модель авторизации для доступа к конфиденциальному и общему содержимому, см. в разделе «Безопасность продукта».

Уничтожение данных

Evernote хранит содержимое вашего аккаунта до тез пор, пока вы целенаправленно не удалите заметки и (или) блокноты. Отключение личного аккаунта или отзыв доступа к бизнес-аккаунту не приводит автоматически к удалению содержимого этих аккаунтов.

Что касается личных заметок и блокнотов, вы можете удалить все заметки из блокнота, а затем удалить их из корзины. При удалении блокнота все связанные с ним заметки автоматически переносятся в корзину. При удалении заметки все ссылки и ссылки на данные в заметке удаляются из нашей базы данных.

Утилизация и уничтожение носителей

Если на носителе когда-либо хранились данные пользователя, этот носитель никогда не используется повторно вне нашей производственной среды. У нас предусмотрены процедуры надежного уничтожения носителей: перед утилизацией они размагничиваются и физически разрушаются. Подробнее об этом см. в нашем блоге.

Доступ к аккаунтам пользователей

У Evernote, как и у большинства облачных сервисов, есть собственный инструмент администрирования. С его помощью наша служба поддержки и отдел администрирования платформы могут решать проблемы пользователей. Мы ограничиваем доступ к данным пользователя в рамках этого инструмента с учетом потребностей бизнеса, проводя при этом строгую проверку подлинности.

Мы периодически проверяем обстоятельства, при которых сотрудники получают доступ к аккаунтам пользователей, чтобы вовремя выявлять превышение прав. Мы стараемся сузить круг ситуаций, при которых нам может потребоваться доступ к содержимому аккаунта.

Журнал активности

В сервисе Evernote ведутся серверные журналы взаимодействий клиентов с нашими сервисами. В журналах фиксируются операции доступа к веб-серверу, а также действия, выполненные через наш API. Кроме того, в них отмечаются успешные и неудачные попытки входа. В связи с особенностями нашей архитектуры «клиент-сервер» мы не можем точно сказать, была ли просмотрена синхронизированная заметка. Мы не собираем журналы активности с программных клиентов в автоматическом режиме. Чтобы просмотреть недавние отметки времени доступа и IP-адреса для каждого приложения, подключенного к вашему аккаунту, откройте в настройках аккаунта раздел с историей доступа.

Шифрование а процессе передачи

Evernote шифрует ваши данные при передаче с помощью технологий отраслевого стандарта, а именно протоколов TLS или SSL. Кроме того, для сервиса Evernote (www.evernote.com) поддерживается протокол HSTS. Мы используем комбинацию из наборов средств шифрования и протоколов TLS, чтобы добиться баланса между надежным шифрованием для браузеров и клиентов, которые его поддерживают, и обратной совместимостью для старых клиентов, которым она необходима. В будущем мы планируем улучшать безопасность передачи данных, чтобы еще эффективнее защищать ваши данные.

Для входящей и исходящей почты поддерживается протокол STARTTLS. Если ваш провайдер электронной почты поддерживает протокол TLS, то ваша почта будет шифроваться при передаче: как в сервис Evernote, так и из него.

Мы управляем работой двух центров обработки данных в США и передаем данные между ними с помощью выделенного сетевого соединения, которое не подключено к Интернету. Весь трафик, проходящий через данное соединение, шифруется по стандарту GCM-AES-128 через протокол MACsec.

Шифрование текста в заметке

Если вы пользуетесь клиентом Evernote для ПК, таким как версия для Windows или Evernote для Mac, вы можете зашифровать любой текст внутри заметки, чтобы дополнительно защитить конфиденциальную информацию. В сервисе Evernote для шифрования выбранного текста используется стандарт AES с 128-разрядным ключом.

При шифровании текста вам будет предложено ввести кодовую фразу (пароль). Вместе с уникальными случайными данными эта фраза обрабатывается функцией PBKDF2 с 50 000 итераций хеш-функции SHA-256, в результате чего создается 128-разрядный ключ AES. С помощью этого ключа и вектора инициализации ваши данные шифруются в режиме CBC.

Мы не получаем копии этого ключа или пароля и не используем условных механизмов для восстановления зашифрованных данных. Это означает, что если вы забудете свой пароль шифрования, то мы не сможем восстановить ваши данные.

Отказоустойчивость и доступность

Evernote — это отказоустойчивая система и сетевая архитектура, гарантирующие повсеместный доступ к сервису. Это включает в себя следующее:

  • разнообразные подключения к Интернету с необходимым резервированием;
  • сетевая инфраструктура с резервированием, включающая коммутаторы, маршрутизаторы, средства балансировки нагрузки и брандмауэры;
  • масштабируемая системная архитектура, основанная на множестве независимых друг от друга сегментов, каждый из которых обслуживает небольшую часть пользователей;
  • сегменты состоят из двух дублирующих серверов с возможностью «горячей» замены в случае сбоя одного из них;
  • серверы с резервным питанием и сетевым оборудованием и хранилище, развернутое в конфигурации RAID.

Наш поставщик услуг совместного размещения обеспечивает отказоустойчивое обслуживание: питание, кондиционирование и пожаротушение.

Оперативные и исторические сведения о статусе сервиса см. на страницах: https://twitter.com/evernotestatus и http://status.evernote.com.

Мы создаем резервные копии всего содержимого не реже чем раз в день и реплицируем их в резервный центр обработки данных через частное сетевое соединение. Благодаря этому мы можем восстановить работу даже в случае сбоя всего сайта в основном центре обработки данных. Мы не храним резервные копии на портативных или съемных носителях.

Физическая безопасность

Когда вы синхронизируете свои заметки с нашими серверами, они надежно сохраняются в одном из наших центров обработки данных, которые являются закрытыми объектами. В этих центрах обработки данных ведется круглосуточный мониторинг силами нашего персонала, который для доступа к объекту проходит минимальную двухфакторную проверку подлинности (иногда используется и третий фактор — биометрия).

Каждый из центров обработки данных проходит аудит SOC-1 типа 2, который подтверждает его способность обеспечить физическую защиту инфраструктуры. Физический доступ к этой инфраструктуре есть только у операционного персонала Evernote и сотрудников центра обработки данных. При каждой попытке доступа к закрытому объекту наши сотрудники получают соответствующее уведомление, включая видеозапись этого события.

Все данные Evernote хранятся на территории США. Наш основной и резервный центры обработки данных размещены на западном побережье в различных регионах страны.

Конфиденциальность и соблюдение требований

Сведения о соблюдении принципов соглашения Safe Harbor см. в нашей политике конфиденциальности. Мы не публикуем отчет о контроле обслуживающей организации (SOC).