Formulários Online Seguros Jotform
Na Jotform, nossa reputação é baseada na capacidade de fornecer aos nossos usuários os mais altos níveis de segurança para seus formulários.
Por que Jotform é segura?
Garantir a privacidade e segurança dos seus dados é uma de nossas principais prioridades. Você não precisa se preocupar, pois sabe que sempre tomaremos todas as precauções para fornecer um serviço de formulários online com segurança de alto nível.
Como é possível tornar seus formulários ainda mais seguros?
Na Jotform, oferecemos diversas opções de segurança para seus dados, facilitando a escolha dos níveis de privacidade e segurança que você deseja para seus formulários.
Você pode optar por armazenar seus dados na União Europeia (UE) ativando a opção adequada a partir da guia Dados, localizada nas configurações da sua conta. Após sua confirmação, os dados dos seus formulários serão movidos para nossos servidores Europeus em Frankfurt, na Alemanha, gerenciados pelo Google. Uma vez concluída a transferência, você será automaticamente redirecionado para eu.jotform.com ao fazer login. Você não precisa se preocupar com a segurança dos seus dados. Jotform está em total conformidade com o Regulamento Geral de Proteção de Dados da UE.
Com Jotform Empresas, você pode usar a geolocalização para hospedar os dados de seus formulários em servidores em quase qualquer parte do mundo. Como muitos países — incluindo a Austrália — possuem leis que exigem este recurso, esta pode ser uma ferramenta inestimável para negócios globais.
Você pode fazer o backup de seus dados com um único clique a partir da guia Dados, nas configurações de sua conta. Ao iniciar uma operação de backup, começamos preparando um único arquivo ZIP contendo o código HTML dos seus formulários, uma versão em formato CSV dos envios recebidos, bem como quaisquer arquivos enviados.
Estes backups podem ser baixados ou armazenados em nosso banco de dados. Se você deseja fazer o backup apenas de seus formulários, também é possível fazer o download de seu código-fonte no formato zip e armazená-lo localmente a partir das opções de Publicação.
Jotform oferece duas alternativas diferentes de CAPTCHA para dificultar o preenchimento do formulário por bots e, ao mesmo tempo, facilitar o preenchimento dos seus respondentes. Você pode usar um CAPTCHA básico ou reCAPTCHA, conforme fornecido pelo Google.
Também implementamos múltiplas verificações dentro do processo de submissão para analisar se cada envio foi realmente realizado por uma pessoa. Caso algum spam passe pela verificação, nossa equipe de suporte 24h o ajudará a identificar a causa e creditará sua conta, se necessário. Como medida adicional de proteção contra spams, você também pode limitar a quantidade de envios do seu formulário, de modo que apenas um envio possa ser efetuado por IP ou computador. Se preferir, você também pode habilitar ambas as opções para uma maior proteção. Além disso, você também pode optar por desativar seus formulários em um horário específico ou após este atingir um certo número de envios.
Quais outras medidas tomamos para proteger seus dados?
Quando se trata da segurança de formulários, disponibilidade e desempenho, sempre excedemos expectativas. Fazemos todo o possível para manter nosso serviço seguro.
Os servidores da Jotform estão parcialmente localizados em uma arquitetura baseada em nuvem com a Google Cloud e a Amazon Web Services (AWS). Os data centers da Google Cloud estão localizados no estado de Iowa (EUA) e em Frankfurt (Alemanha, UE). Os data centers da AWS estão localizados no estado da Virgínia (EUA) e em Frankfurt (Alemanha, UE).
Os servidores da Google Cloud hospedam nossos servidores de aplicativos e dados redundantes numa configuração ativo/ativo, e todos os dados são também replicados nos servidores da AWS a cada hora para fins de backup. Isso proporciona uma redundância a nível de plataforma, além da redundância obtida com o uso de múltiplos servidores em uma única plataforma. No evento de precisarmos migrar da plataforma principal (Google Cloud) para a plataforma secundária (AWS), esta arquitetura nos ajudará na recuperação de uma falha a nível de plataforma. Todos os dados permanecem em sua região de origem, logo, dados originados na UE devem sempre residir na UE.
Hospedar as ferramentas Jotform nessas plataformas de nuvem líderes também nos fornece alguns benefícios extras em termos da implementação de práticas de segurança recomendadas em áreas como gerenciamento do ciclo de vida de hardware, segurança física e infraestrutura de rede. Nossos servidores são atualizados e corrigidos regularmente.
Com uma conta Jotform Empresas, você pode ativar o login único (SSO) para aumentar a segurança e, ao mesmo tempo, facilitar o trabalho conjunto de seus funcionários para administrar sua empresa. Escolha entre diversos métodos de login, acompanhe as ações dos usuários e mantenha o controle sobre a segurança da sua conta.
Jotform Empresas é compatível com a autenticação de usuários SAML e com soluções populares de SSO, como Active Directory, Okta, Google e OneLogin. O Multi SSO permite a autenticação de usuários através de vários provedores de identidade simultaneamente, como o Google e a Microsoft. Isso aumenta a flexibilidade e a segurança para equipes e organizações dispersas com diversas necessidades de autenticação.
Use SSO para proteger formulários internos com Jotform Empresas. Com SSO, os usuários devem ser autenticados antes de visualizar ou preencher formulários, garantindo que seus dados confidenciais sejam coletados de forma segura.
Além de implementarmos recursos para aumentar sua segurança, mantemos boas práticas em nosso back-end para garantir que sua conta permaneça segura. Monitoramos sessões para restringir devidamente o acesso à sua conta e construímos Jotform de forma a manter cada conta isolada.
Criamos proteções para detectar ataques comuns, como injeção de SQL e cross-site scripting. Mais importante, revisamos ativamente nosso código em busca de possíveis problemas de segurança (além de avaliarmos todos os feedbacks dos usuários) para resolver quaisquer problemas, caso surjam. Nossa declaração de privacidade refere-se ao nosso nível de comprometimento em garantir que seus dados não sejam usados de maneira incorreta.
Todo código desenvolvido é implementado ao ambiente de produção apenas após a realização de certos procedimentos, incluindo testes em sistemas preparatórios. Nosso sistema de implementação e processo de desenvolvimento contínuo nos permite atualizar e corrigir nosso sistema sempre que necessário.
Verificações de PCI são realizadas regularmente para detectar qualquer tipo de vulnerabilidade das interfaces publicamente disponíveis. A cada trimestre, são realizados testes internos e externos de ASV (Approved Scanning Vendor ou, em português, Fornecedor de Digitalização Aprovado) para PCI. Além dessas varreduras, testes de intrusão são realizados periodicamente na Jotform.
Também temos um programa de recompensas no qual oferecemos pagamentos por relatos de vulnerabilidades, garantindo que sejamos os primeiros a ter conhecimento sobre elas. Corrigimos todos os problemas relatados ao nosso programa de recompensas de forma prioritária e no menor tempo possível.
Temos uma camada de roteamento externa fornecida pelo CloudFlare que fornece filtragem básica para lidar e gerenciar qualquer potencial ataque DDoS (negação de serviço). As verificações de segurança são realizadas periodicamente, conforme descrito no capítulo de auditorias/VA/PT. Nossos servidores estão configurados para permitir apenas o nível mínimo absoluto de acesso necessário para mantê-los.
Todos os usuários, protocolos e portas desnecessárias são desativadas e monitoradas. Nossos funcionários podem acessar os servidores somente através de uma rede privada virtual com uma conexão criptografada de 2048 bits com chaves privadas. Além dos serviços de segurança de terceiros, nossa experiente equipe de operações de desenvolvimento monitora continuamente qualquer comportamento suspeito em todo o sistema.
Perguntas Frequentes
-
Os formulários possuem algum recurso de segurança?
Sim. Seus formulários são armazenados através de uma conexão SSL (Secure Sockets Layer) de 256 bits. Ao optar por criptografar seus formulários, seus envios são protegidos por sua senha personalizada. Além disso, você pode habilitar um uma camada extra de privacidade e proteção contra spam, como definido na seção "Como é possível tornar seus formulários ainda mais seguros?" acima.
-
Vocês armazenam todos os dados de formulários criptografados? Vocês enviam e-mails de notificação para formulários criptografados?
Se você deseja criptografar seus formulários, seus envios serão transferidos e armazenados de forma criptografada. As notificações por e-mail para estes formulários não são criptografadas, logo, não podem conter dados de envios.
-
Meus dados, em trânsito ou em repouso, estarão protegidos ao usar seu sistema?
Sim, ao criptografar seu formulário, os dados de envios são criptografados durante a transmissão para nossos servidores usando uma criptografia SSL de 256 bits. Chegando aos nossos servidores, o SSL é descriptografado e seus dados criptografados são armazenados em nossos servidores. Apenas o detentor da senha de encriptação pode acessar os dados do formulário.
-
Mecanismos de busca podem indexar os dados do meu formulário?
A Jotform não incentiva a indexação de envios pelos mecanismos de pesquisa. Usuários também podem limitar o acesso a envios apenas para suas próprias contas, se desejarem, e tornar seus envios inacessíveis ao público.
-
Como são armazenados os uploads de arquivos enviados através dos meus formulários?
Arquivos adicionados aos seus formulários são atribuídos uma URL bastante complexa. Apenas as pessoas que possuem esta URL conseguem fazer o download destes arquivos. Contudo, se você quiser aumentar ainda mais a segurança dos mesmos, é possível restringir o acesso a eles. Saiba mais sobre este recurso.
-
Sua organização lida com transações ou informações de cartão de crédito? Se este for o caso, você está em conformidade com o PCI DSS?
A Jotform possui certificação Payment Credit Industry Data Security Standard (PCI DSS) Service Provider Level I, o nível de segurança mais alto alcançável como um negócio que coleta pagamentos e possui integrações com cartões de crédito. Isto significa que, enquanto a maioria dos pagamentos são processados na própria página dos processadores, para o PayPal Pro, Authorize.Net, Worldpay US e PayJunction, informações de cartões de crédito são processadas em nossos servidores PCI — mas não são armazenadas de nenhuma forma.
-
Quais são os padrões de segurança (HTTPS / Criptografia) adotados pela Jotform?
Por padrão, Jotform utiliza o padrão de conexão TLSv1.2, além da criptografia SHA256/RSA para HTTPS. Para a criptografia de envios de formulários, Jotform utiliza chaves RSA de 2048 bits.
-
Como vocês evitam injeções XXS e SQL?
Aplicamos as melhores práticas para evitar tais vulnerabilidades e revisamos ativamente nosso código para prevenir problemas de segurança. Além disso, avaliamos todos os comentários de usuários e relatórios do nosso programa de recompensas no menor tempo possível.
-
Quais medidas de segurança vocês oferecem contra possíveis ataques maliciosos?
Usamos CloudFlare para proteção contra spam, phishing e ataques DDOS, além de OSSEC para a detecção de intrusões e monitoramento de nossos servidores.
-
Quem possui acesso às informações armazenadas em nosso banco de dados na Jotform?
Nossos servidores possuem um acesso restrito em níveis de rede e autenticação. A nível de rede, apenas um número limitado de acessos VPN são permitidos, enquanto o restante das solicitações de conexão são bloqueadas por nosso firewall. A nível de autenticação, apenas a equipe de Desenvolvimento, além de nosso CTO e CEO, possuem credenciais capazes de acessar estes servidores.
-
Vocês conduzem análises de vulnerabilidade internas ou externas, ou testes de penetração?
Sim. Além de testes PCI internos e externos, testes de intrusão são realizados periodicamente na Jotform. Também possuímos um programa de recompensas onde pessoas de fora da empresa podem nos reportar vulnerabilidades. Você pode saber mais sobre o assunto em nosso blog ou na seção Auditorias de Segurança acima.
-
Qual é a política de complexidade de senhas da sua empresa?
Não possuímos uma política de complexidade para senhas. Todas as senhas são criptografadas usando salt e SHA-256.
-
Sua empresa possui uma política de detecção de intrusos?
Jotform utiliza um Sistema Hospedeiro de Detecção de Intrusão (HIDS) nos servidores de aplicativos e um Sistema de Rede de Detecção de Intrusão (NIDS) nos escritórios de desenvolvimento. Adicionalmente, as políticas de detecção de intrusões do PCI são aplicadas, conforme definido pelos requisitos PCI.
-
Que tipo de "due diligence" é realizada nos funcionários da sua empresa?
Todos os funcionários Jotform devem passar por um rigoroso processo de avaliação antes de sua contratação. Além disso, todos os funcionários devem assinar (e estão sujeitos a) um contrato de não-divulgação (NDA).
-
Quais medidas de segurança de dados seu data center emprega? Este possui certificações relacionadas à segurança de dados, confidencialidade de dados e transmissão segura de dados? Seu data center está em conformidade com SOC 2?
Todos os data centers onde hospedamos nossos servidores possuem altíssimos padrões de segurança. Nossa principal plataforma é a Google Cloud e esta está em conformidade com: SSAE16 / ISAE 3402 Tipo II, SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Segurança na Nuvem), ISO 27018 (Privacidade na Nuvem), PCI DSS v3.2. Você pode encontrar mais informações sobre os selos de conformidade da Google Cloud em https://cloud.google.com/security/compliance.
-
Onde estão localizados seus datacenters? Vocês possuem servidores internos?
A Jotform utiliza as plataformas Google Cloud e AWS para atender a todas as necessidades de hospedagem da empresa e não mantém servidores locais. Para visualizar uma lista atual de locais de hospedagem na nuvem, confira a seção .
-
Seus sistemas são testados quanto a falhas de segurança?
Sim, nossos sistemas são regularmente testados contra ameaças internas e externas.