Relatório do CEO: Agora que os 90 dias passaram, o que vem a seguir para a Zoom

Relatório do CEO: Agora que os 90 dias passaram, o que vem a seguir para a Zoom

Durante os primeiros meses de 2020, a equipe da Zoom trabalhou de maneira ininterrupta para gerenciar o excepcional fluxo de novos e diferentes tipos de usuários em nossa plataforma. A aumento repentino e vertiginoso da demanda em nossos sistemas foi diferente de tudo o que a maioria das empresas já experimentou. No final de março, percebemos que a nossa missão de fornecer comunicações por vídeo de maneira fácil e intuitiva a milhões de participantes de reunião diários precisava abordar também a segurança e a privacidade, áreas a que precisamos dedicar mais esforços.

Em 1º de abril de 2020, prometemos fazer várias melhorias na nossa segurança e privacidade. O programa de 90 dias que anunciamos naquele dia reorientou nossa empresa para 7 compromissos que incorporavam segurança e privacidade permanentemente no DNA da Zoom. A seguir, você verá uma atualização de status de cada um desses compromissos e saberá quais são os próximos planos da Zoom.

Compromisso 1: Congelamento da criação de novos recursos em 1º de abril e direcionamento do foco de todas as equipes de engenharia para os nossos maiores problemas de confiança, segurança e privacidade.

Status: Decidimos pelo congelamento da criação de novos recursos por 90 dias para todas os esforços não relacionados à privacidade, proteção ou segurança. Com todos os nossos esforços de engenharia e produto voltados para essa direção, lançamos mais de 100 recursos, incluindo:

  • Zoom 5.0
    • Criptografia AES de 256 bits no modo GCM (disponível para todos os usuários de contas gratuitas e pagas)
    • Atualizações de interface do usuário – ícone Segurança e escudo de criptografia verde com localização do datacenter com um clique
    • Denunciar usuário
    • Padrões de reunião, como senha, sala de espera e compartilhamento de tela limitado
    • Outros recursos, como a capacidade de o anfitrião desativar o login de vários dispositivos, consentimento para ativar áudio, expiração da gravação na nuvem, controles mais rigorosos do Zoom Chat e muito mais
  • Aquisição da Keybase e início da criação da criptografia ponta a ponta para todos os usuários, tanto gratuitos quanto pagos
  • Encaminhamento de dados personalizado por região geográfica

Conforme avançamos, implementamos mecanismos para garantir que a segurança e a privacidade continuem sendo uma prioridade em cada fase do desenvolvimento dos nossos produtos e recursos:

  • Fase de design: Requisitos de segurança, avaliação de risco e modelagem de ameaças
  • Criação: Diretrizes de código seguro, varredura de autoatendimento e ferramentas de CI/CD
  • Teste: Teste de segurança, execução de testes automatizados e ferramentas de teste da Web
  • Preparação: Configuração segura, monitoramento de integridade e requisitos de validação
  • Produção: Monitoramento da segurança do nosso sistema, integridade do sistema e panorama de ameaças

Compromisso 2: Realização de uma análise abrangente com especialistas terceirizados e usuários para entender e garantir a segurança de todos os nossos novos casos de usos.

Status: Trabalhamos com um grupo de especialistas terceirizados para analisar e aperfeiçoar nossos produtos, práticas e políticas, incluindo nosso conselho consultivo CISO, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Pretoriano, Crowdstrike, o Centro de Democracia e Tecnologia e outras organizações nas áreas de privacidade, segurança e inclusão. As contribuições de todos nessa lista foram enormes, e estamos muito agradecidos pela ajuda.

Compromisso 3: Preparação de um relatório de transparência com informações detalhadas relacionadas a solicitações de dados, registros ou conteúdo.

Status: Fizemos progressos significativos na definição da estrutura e abordagem de um relatório de transparência que detalha as informações relacionadas às solicitações de dados, registros ou conteúdo que a Zoom recebe. Esperamos fornecer os dados fiscais do segundo trimestre em nosso primeiro relatório ainda este ano. Além disso, criamos recentemente um guia de como respondemos às solicitações governamentais. Também atualizamos nossas políticas de privacidade para torná-las mais fáceis de entender e adicionamos uma Declaração de Direitos de Privacidade para a Califórnia. Esses documentos podem ser encontrados em zoom.com/privacy-and-legal.

Compromisso 4: Aprimoramento do nosso atual programa de prêmio de bug.

Status: Desenvolvemos um Repositório Central de Bugs e processos de fluxo de trabalho relacionados. Esse repositório recebe relatórios de vulnerabilidade da HackerOne, Bugcrowd e security@zoom.us (o último não requer um acordo de confidencialidade), que são triados por meio do Praetorian. Estabelecemos um processo contínuo de revisão com reuniões diárias e aprimoramos a nossa coordenação com pesquisadores de segurança e avaliadores terceirizados. Também contratamos um Chefe de Vulnerabilidade e Prêmio de Bug e vários engenheiros de segurança de aplicativos, e estamos em processo de contratação de mais engenheiros de segurança, todos dedicados a lidar com vulnerabilidades. Além disso, estamos focados em melhorar nossos tempos de resposta. No geral, nosso processo de prêmio de bug é sólido, mas se tornará ainda mais forte se cumprirmos nossos objetivos de contratação. Agradecemos à Luta Security por sua ajuda nesse processo.

Compromisso 5: Criação de um conselho CISO em parceria com os principais CISOs de todo o setor para facilitar um diálogo contínuo sobre as melhores práticas de segurança e privacidade.

Status: Lançamos nosso conselho CISO, composto por 36 CISOs de vários setores, incluindo SentinelOne, Universidade Estadual do Arizona, HSBC e Sanofi. O conselho, liderado por nosso Vice-Diretor de Tecnologia da Informação Gary Sorrentino, reuniu-se quatro vezes nos últimos três meses e discutiu assuntos de extrema relevância, como seleção de datacenter regional, criptografia, autenticação de reunião, além de recursos como senha, sala de espera e denunciar usuário. O conselho foi tão bem-sucedido que estenderemos esse programa com mesas redondas CISO, que são discussões interativas entre os clientes CISO e os nossos líderes da equipe de segurança, no intuito de entender melhor as medidas que a Zoom tomou e tomará no futuro para garantir a segurança e a privacidade da nossa plataforma. Os CISOs e CIOs interessados podem solicitar mais informações ao Executivo de Contas Zoom.

Compromisso 6: Realização de uma série de testes de invasão de caixa branca simultâneos para identificar e solucionar problemas.

Status: A Zoom contratou empresas como Trail of Bits, NCC Group e Bishop Fox para analisar toda a nossa plataforma. O escopo do trabalho delas abrangeu:

  • O ambiente de produção da Zoom, datacenters públicos e co-localizados:
    • Configuração da nuvem
    • Espaço de IP externo
    • Rede de produção interna
  • Aplicativo da Web principal e rede corporativa da Zoom:
    • Rede interna
    • Perímetro externo
  • API pública para clientes comuns
    • Clientes móveis
    • Clientes para desktop

A Zoom está comprometida com testes contínuos de intrusão de terceiros como base do seu programa de segurança.

Compromisso 7: Organização de um webinar semanal às quartas-feiras para fornecer atualizações de privacidade e segurança à nossa comunidade.

Status: Incluindo o de hoje, já realizamos 13 webinars, sempre às quartas-feiras, desde 1º de abril. Esses eventos virtuais contaram com a presença de vários dos nossos executivos e consultores que responderam às perguntas dos participantes ao vivo. Também compartilhamos um resumo e a gravação dos webinars em nosso blog às quartas-feiras. Continuaremos com esses webinars até o dia 15 de julho e depois passaremos para uma cadência mensal.

Outras atualizações importantes

Avançamos com outras etapas importantes:

  • Fizemos várias adições ou mudanças importantes de liderança desde 1º de abril, incluindo:
    • Jason Lee, Diretor de Segurança da Informação
    • Aparna Bawa foi nomeada Diretora de Operações e agora supervisiona as iniciativas de segurança da Zoom
    • Lynn Haaland, Vice-Conselheira Geral e Diretora de Conformidade e Ética, também foi nomeada Diretora de Privacidade
    • H.R. McMaster, que foi adicionado ao Conselho de Administração da Zoom
    • Josh Kallmer, Chefe Global de Políticas Públicas e Relações Governamentais
    • Ginny Lee, Assessora Jurídica Adjunta de Privacidade
    • Mara Davis, Assessora Jurídica Adjunta de Conformidade e Ética
    • Chefe de Vulnerabilidade e Prêmio de Bug, que inicia em 13 de julho
    • Andy Grant, Chefe de Segurança Ofensiva, que inicia em 13 de julho
  • Zoom Phone adicionado ao Zoom para o governo, que já está autorizado sob o Programa Federal de Gerenciamento de Risco e Autorização dos EUA (FedRAMP)
  • Continuamos comprometidos com o crescimento significativo da nossa equipe de engenharia com sede nos EUA para dar suporte ao aumento do uso, com a abertura de novos escritórios em Phoenix, Arizona e Pittsburgh, Pensilvânia

O que faremos a seguir

Esse período trouxe mudanças significativas para nossa empresa e tornou a privacidade e a segurança da nossa plataforma o ponto central para tudo o que fazemos. Temos nos esforçado ainda mais para justificar a confiança que os clientes depositam em nós. Tenho enorme orgulho do papel que a Zoom tem desempenhado para manter o mundo conectado em meio a uma crise e de tudo o que a nossa equipe realizou nos últimos 90 dias para garantir maior proteção para a nossa plataforma.

Mas não vamos parar por aqui. Privacidade e segurança são prioridades contínuas para a Zoom, e esse período de 90 dias, embora muito proveitoso, foi apenas o primeiro passo. Neste relatório, compartilhei informações sobre os novos processos e pessoas que ajudarão a Zoom em nossa jornada para nos tornarmos a plataforma de comunicações por vídeo mais segura e fácil de usar do mundo.

Muito obrigado aos nossos usuários por todo apoio, paciência e confiança. Nosso principal valor como empresa é o cuidado, e esperamos ter demonstrado isso através das nossas ações nos últimos 90 dias. Além disso, faremos o necessário para continuar zelando pelos usuários da plataforma por meio das nossas ações futuras.

Não esqueça de compartilhar esta postagem