Segurança e privacidade de dados
O Zoho Vault aproveita a técnica de hospedagem com teste de host – um mecanismo seguro e comprovado que encontrou uma ampla aceitação depois de passar por testes extensivos feitos por especialistas em segurança. A hospedagem à prova de host é baseada na ideia de hospedar dados confidenciais em uma forma criptografada para garantir que os clientes só possam acessar e gerenciar os dados usando uma senha mestra que nunca é transmitida ao servidor. O servidor está limitado a persistir e recuperar apenas os dados criptografados que o navegador encaminha, e nunca pode realmente acessar os dados confidenciais em sua forma simples. Toda a criptografia e descriptografia ocorrem no lado do cliente (navegador).
Todas as senhas e outros dados confidenciais que os usuários armazenam no Zoho Vault permanecem completamente privados e só podem ser visualizados pelo respectivo usuário. Todos os dados do usuário são criptografados e descriptografados no navegador com a senha mestra do Zoho Vault do usuário, e apenas os dados criptografados são armazenados nos servidores da Zoho. A senha mestra do usuário nunca é armazenada em nenhum lugar pelo Zoho Vault, o que significa que nem mesmo a Zoho pode acessar seus dados.
Conexão segura
Conforme mencionado acima, o que é enviado pela internet são somente dados criptografados (AES-256 bits). Também exigimos que todas as conexões com nossos servidores usem criptografia Transport Layer Security (TLS 1.2/1.3) com criptografias fortes, para todas as conexões.
Testado em relação a vulnerabilidades
- O Zoho Vault foi testado de forma abrangente contra XSS (scripts entre sites), inclusão de código SQL e outras vulnerabilidades.
- Todos os dados de entrada são validados
Compartilhamento seguro de senhas
O Zoho Vault permite que você compartilhe senhas com segurança entre os membros confiáveis de sua organização. O processo de compartilhamento foi projetado para acompanhar os padrões mais altos de segurança e privacidade das informações.
O processo de compartilhamento aproveita a hospedagem com teste de host e a criptografia RSA. As chaves públicas e privadas RSA são geradas para cada usuário da sua organização. O administrador da organização e os usuários "apertam as mãos" em um processo único para iniciar o processo de compartilhamento. Durante esse aperto de mãos, as chaves são compartilhadas entre o administrador e os usuários. Todo o processo acontece em segundo plano, sem a necessidade de nenhuma ação manual. Você pode encontrar detalhes de todo o processo abaixo, caso se interesse pelo aspecto técnico.
Etapa 1
Quando o administrador da empresa se inscreve no Zoho Vault, um par de chaves RSA pública-privada é gerado para ele com uma chave da organização. Esta chave da organização é uma chave AES de 256 bits exclusiva para cada empresa. A chave privada do administrador da empresa é criptografada usando uma senha mestra e armazenada no banco de dados do Zoho Vault. Da mesma forma, a chave da empresa também é criptografada usando a chave pública RSA do administrador da organização e armazenada no banco de dados. O Zoho Vault armazena apenas as chaves criptografadas da chave privada e da chave da organização do administrador da empresa. De acordo com o modelo de hospedagem à prova de host, a senha mestra do administrador da empresa não é armazenada em nenhum lugar do servidor. Ela permanece apenas com o administrador da organização.
Etapa 2
Quando os usuários da sua organização se inscrevem no Zoho Vault, um par de chaves RSA pública-privada é gerado para cada um deles. A chave privada do usuário é criptografada usando a senha mestra e armazenada no banco de dados do Zoho Vault.
Etapa 3
Quando o administrador da empresa e o usuário da empresa "apertam as mãos", a chave da organização criptografada armazenada no banco de dados é recuperada e descriptografada usando a chave privada do administrador da organização. A chave da organização é então criptografada usando a chave pública RSA do usuário e esta nova chave da organização criptografada é compartilhada com o usuário e armazenada em seu espaço no banco de dados. Esse processo é feito para cada usuário do Zoho Vault.
Etapa 4
Quando o usuário tenta compartilhar uma senha, a chave privada do usuário (armazenada de forma criptografada no banco de dados) é recuperada e descriptografada usando a senha mestra do usuário. A chave da organização criptografada que o administrador compartilhou com o usuário é então recuperada. A chave da organização criptografada é descriptografada usando-se a chave privada do usuário. A senha a ser compartilhada agora é criptografada usando-se a chave da organização.
Compartilhamento de senhas – Fluxo de eventos
Vamos usar um exemplo. Suponha que o usuário João seja o administrador da organização e queira compartilhar uma de suas senhas existentes com cinco outros usuários da empresa: Maria, José, Tânia, Rogério e Amanda.
- Como a senha compartilhada pertence a João, ela é armazenada no Zoho Vault após ser criptografada com a senha mestra de João
- Quando o compartilhamento é iniciado, a senha é descriptografada usando a senha mestra de João
- A senha agora é criptografada usando a chave da organização e é armazenada no banco de dados
- João agora compartilha essa senha com todos os cinco usuários. Internamente, essa senha, que foi criptografada com a chave da organização, é mapeada para Maria, José, Tânia, Rogério e Amanda.
Como os usuários recuperam essa senha?
- Os usuários descriptografam suas respectivas chaves privadas RSA usando as respectivas senhas mestras
- Os usuários então descriptografam a chave da organização criptografada usando suas respectivas chaves privadas RSA (obtidas na etapa anterior)
- O usuário recupera a senha usando a chave da organização.
O que acontece quando uma senha compartilhada é alterada?
Suponha que Maria altere a senha compartilhada.
- A senha compartilhada é descriptografada usando a chave da organização e ela é mostrada
- A nova senha é criptografada com a chave da organização e atualizada no banco de dados
Observação importante:
A chave da organização usada para criptografar e descriptografar senhas compartilhadas reside no navegador quando as senhas são compartilhadas na empresa. É possível que um usuário com experiência em tecnologia recupere a chave da organização quando estiver conectado ao Zoho Vault. No entanto, esta chave só pode ser explorada quando o titular obtém acesso ao banco de dados do Zoho Vault. Como os datacenters da Zoho seguem protocolos de segurança de última geração, isso é quase impossível. Como o Zoho Vault segue a técnica de hospedagem com teste de host, é impossível, mesmo para a Zoho, acessar a chave da organização.
Política de segurança da Zoho
cento e vinte milhões de usuários confiam nos aplicativos da Zoho
Com mais de 120 milhões de usuários acessando os serviços da Zoho no mundo todo, indivíduos e empresas contam com a segurança e a proteção de dados da Zoho para atender às próprias necessidades. Nós levamos a segurança muito a sério e desenvolvemos um abrangente conjunto de práticas, tecnologias e políticas para ajudar a garantir que seus dados fiquem seguros. Você pode consultar a Política de Segurança da Zoho para encontrar mais detalhes sobre nossa estratégia de segurança.
Obtenha segurança total para suas senhas
Zoho Vault é uma solução segura de gerenciamento de senhas para empresas e indivíduos