Relatório sobre o progresso do plano de segurança de 90 dias: 24 de junho

Relatório sobre o progresso do plano de segurança de 90 dias: 24 de junho

Conforme avançamos em nosso plano de 90 dias para melhorar a segurança e a privacidade da nossa plataforma, o webinar “Pergunte ao Eric” desta semana se concentrou nas atualizações recentes de segurança dos produtos, incluindo os nossos esforços relacionados ao programa de prêmio de bug e os upgrades liberados com o cliente 5.1.1.

Eric S. Yuan, CEO da Zoom, reuniu-se com o Presidente de produto e engenharia da Zoom, Velchamy Sankarlingam, o Diretor de produto da Zoom, Oded Gal, e o Chefe de segurança de produto da Zoom, Randy Barr.

O Diretor técnico da Zoom, Brendan Ittelson, o Consultor de privacidade e segurança da Zoom, Alex Stamos, e Lynn Haaland, Conselheira geral adjunta e Diretora de conformidade e ética da Zoom, participaram da sessão de perguntas e respostas.

Anúncio do CISO Jason Lee

Eric iniciou o webinar anunciando que a Zoom contratou Jason Lee como novo Diretor de segurança da informação a partir de 29 de junho de 2020. Como ex-Vice-presidente sênior de operações de segurança da Salesforce e Diretor geral de engenharia de segurança da Microsoft, Lee traz para a Zoom 20 anos de experiência em segurança da informação e operação de serviços de missão crítica. Jason desempenhará um papel crucial nos ajudando a construir uma plataforma mais segura como parte do esforço contínuo da Zoom para melhorar a segurança e a privacidade do nosso produto.

Atualizações de produto

Neste fim de semana, lançaremos a versão web e de cliente 5.1.1, que inclui as seguintes alterações:

  • Planos de fundo virtuais gerenciados centralmente: Os administradores de conta podem gerenciar os planos de fundo virtuais usados pela sua organização, fornecendo uma lista de planos de fundo pré-aprovados para que os usuários escolham.
  • Cabeçalho de segurança do Portal Web para configurações de reunião: O cabeçalho de segurança aparecerá nas configurações da reunião no Portal Web, que reúne configurações relacionadas à segurança, como senhas, Sala de espera e métodos de autenticação, em um local fácil de encontrar.
  • Atualizações do Zoom Chat: Os usuários podem ocultar seu status de presença de contatos externos e têm a opção de impedir que contatos externos adicionem novos usuários a um canal ou grupo de chat.

Apresentação de Velchamy Sankarlingam

Eric apresentou Velchamy Sankarlingam, ex-Vice-presidente sênior de desenvolvimento e operações de serviços na nuvem da VMware, que juntou-se à Zoom como Presidente de produto e engenharia. Como veterano em software de nuvem e de colaboração com mais de duas décadas de experiência, Velchamy traz também um grande conhecimento para nossa equipe, e estamos muito felizes em contar com a supervisão dele nos nossos esforços relacionados a produtos, engenharia e DevOps.

Novos requisitos de segurança de reunião

A partir de 19 de julho, todas as reuniões em contas pagas e gratuitas deverão ter um código de acesso ou uma Sala de espera ativados para garantir reuniões mais seguras. Se nem um código de acesso nem uma Sala de espera estiverem habilitados para suas reuniões, a Zoom ativará uma Sala de espera automaticamente. Se você já tiver um desses itens, não haverá alterações no agendamento de reuniões. Se você adicionar um código de acesso a uma reunião existente, os convites do calendário precisarão ser reenviados para incluir esse código, mas, após a ativação do recurso, as novas reuniões terão o código incluído no convite automaticamente. Se a Sala de espera estiver ativada, não haverá alteração na maneira como você agenda reuniões.

Atualizações do programa de prêmio de bug

Randy forneceu uma atualização sobre o programa de divulgação de vulnerabilidades e de prêmio de bug. Como parte do nosso plano de 90 dias, avaliamos nossos processos internos de tratamento de vulnerabilidades e a eficácia das plataformas de prêmio de bug que usamos. Para aprimorar o nosso programa de prêmio de bug e os nossos esforços de divulgação de vulnerabilidades, desenvolvemos um Repositório Central de Bugs e processos de fluxo de trabalho relacionados que estejam alinhados com a ISO 29147 e 30111. Esse repositório recebe informações da HackerOne, Bugcrowd e security@zoom.us (o último não requer um acordo de confidencialidade), que são triadas por meio do Praetorian. Estabelecemos um processo contínuo de revisão com reuniões diárias e aprimoramos a nossa coordenação com pesquisadores de segurança e avaliadores terceirizados.

Perguntas e respostas

Como reportar um prêmio de bug à Zoom?

Você pode enviar solicitações de prêmio de bug para security@zoom.us, e a nossa equipe dedicada analisará cada solicitação e designará alguém para resolver o problema.

Vocês ainda fornecem criptografia para contas pagas e gratuitas?

Sim, todas as reuniões são criptografadas com criptografia AES de 256 bits no modo GCM, tanto para as contas pagas quanto para as gratuitas. Também disponibilizaremos a criptografia ponta a ponta das reuniões para contas gratuitas e pagas no intuito de criar um ambiente de reunião altamente seguro.

A Zoom coleta ou vende dados do usuário?

Quando os clientes usam a nossa plataforma, a Zoom coleta informações necessárias para o fornecimento do serviço, como endereços IP, mas a empresa não vende e nunca venderá dados do usuário.

A Zoom pode adicionar uma opção para que os administradores redefinam as configurações de código de acesso e Sala de espera globalmente?

Como administrador da conta, você pode ativar ou até bloquear essas configurações no nível da conta, o que habilitará essas configurações de segurança para todas as reuniões e usuários por padrão. Você também pode ativar o código de acesso e a Sala de espera no nível do grupo ou do usuário.

Como a Sala de espera funciona?

Quando a Sala de espera estiver ativada, os participantes serão colocados em um salão virtual onde o anfitrião poderá avaliar quem está tentando ingressar na reunião e admiti-los, um por um ou todos de uma vez. O recurso Sala de espera pode ser ativado no nível da conta, grupo, usuário ou reunião.

Agradecemos pelo apoio

Obrigado por participarem da sessão desta semana e por enviarem suas perguntas! Agradecemos profundamente seu apoio em nossa jornada para tornar a Zoom a plataforma de comunicações empresariais mais segura do mundo.

Se você perdeu a sessão desta semana, pode assistir à gravação aqui:

Para enviar comentários ou fazer uma pergunta à Zoom, escreva para answers@zoom.us. E não esqueça de se inscrever no webinar “Pergunte ao Eric” da próxima semana.

Não esqueça de compartilhar esta postagem