Quais são as práticas de segurança da Khan Academy?
Práticas de Segurança
A Khan Academy está comprometida em criar um ambiente on-line seguro e protegido para você. Levamos questões de privacidade e segurança a sério e queremos que você tenha certeza de como protegemos as informações que você compartilha conosco. Abaixo está um resumo de nossas práticas de segurança. Se você tiver dúvidas, entre em contato conosco em privacy@khanacademy.org e ficaremos felizes em respondê-las.
A Khan Academy testa e avalia regularmente seu programa de segurança. Atualizamos nosso programa e essas práticas de segurança em resposta a essas avaliações, bem como às mudanças nas tendências do setor, a fim de melhorar as proteções que elas fornecem.
Quais informações a Khan Academy coleta?
A Khan Academy coleta informações de contato e perfil, informações de conta e autenticação, informações de localização, informações de navegador ou dispositivo, informações de doadores e candidatos e outras informações não pessoais que podem estar vinculadas a contas. Para obter mais detalhes sobre essas categorias e exemplos do que elas incluem, consulte nossa política de privacidade em https://www.khanacademy.org/about/privacy-policy#what-information-do-we-collect (em inglês).
Conforme detalhado em nossa política de privacidade, não vendemos suas informações a terceiros ou exibimos publicidade na Khan Academy, o que também afirmamos como signatário do Student Privacy Pledge (https://studentprivacypledge.org/faqs/). Nossa missão é educação, não lucro.
Hospedagem de dados e servidor
O site e o aplicativo móvel da Khan Academy são hospedados nos EUA no Google AppEngine como parte do Google Cloud Platform (GCP). Selecionamos este provedor devido aos seus padrões de segurança de melhores práticas e contamos com eles para a segurança e estabilidade do servidor e do data center. Todos os dados no GCP são criptografados em repouso de acordo com as práticas de segurança do Google, sobre as quais você pode ler em: https://cloud.google.com/security/.
Adicionamos uma camada adicional de criptografia a todos os dados pessoais do usuário armazenados no GCP para que os dados possam ser visualizados apenas por pessoal com as permissões apropriadas. O acesso aos servidores da Khan Academy no AppEngine é restrito ao pessoal específico para a solução de problemas necessária. Os logs relacionados à segurança são igualmente restritos ao pessoal apropriado para uso na resposta a incidentes.
Além de usarmos o GCP, usamos a rede de distribuição de conteúdo da Fastly, que contribui ainda mais para o desempenho e a confiabilidade da Khan Academy.
Dados em trânsito
A Khan Academy apóia e incentiva o uso dos protocolos criptográficos mais recentes para todo o tráfego de rede, incluindo TLS 1.3, criptografia AES256 e assinaturas SHA256.
Resposta ao Incidente
No caso de um incidente de segurança de dados (ou ao investigar um possível incidente), aplicamos nosso plano de resposta a incidentes, que inclui processos para detecção inicial e relatório, comunicação às partes afetadas, isolamento, resolução e lições post-mortem aprendidas. Este plano de resposta a incidentes é executado pelo menos uma vez por ano para garantir que estamos prontos para lidar com o inesperado.
Gerenciamento de vulnerabilidades
A Khan Academy usa uma variedade de ferramentas, práticas e procedimentos para monitorar e proteger nossos dados e sistemas. Nossa equipe de segurança analisa boletins do setor da indústria para ajudar a avaliar o impacto das tecnologias emergentes e vulnerabilidades em nossos sistemas de produção. Também mantemos um programa confidencial de revelação de vulnerabilidade que envia relatórios de pesquisadores de segurança, e os relatórios são prontamente revisados, priorizados e abordados de acordo com sua gravidade.
Ciclo de vida de desenvolvimento de software (SDLC)
A Khan Academy emprega as melhores práticas da indústria no desenvolvimento de nosso produto, incluindo revisão de código manual, teste de engenheiro, teste de engenheiro de qualidade e teste automatizado para cada confirmação e alteração de código que se torna parte de nosso serviço. Seguimos o NIST, o OWASP e as melhores práticas e recomendações de segurança reconhecidas globalmente no decorrer do desenvolvimento de nosso produto. O acesso aos segredos de produção é restrito ao pessoal que precisa saber.
Práticas de Pessoal
Todos os funcionários da Khan Academy são avaliados com verificação de antecedentes antes de seu emprego conosco (sujeito à lei aplicável). Realizamos treinamento de segurança e privacidade com cada funcionário na contratação e anualmente a partir de então. Os laptops fornecidos pela empresa são gerenciados por nossa equipe de TI com detecção de ameaças no dispositivo e recursos de geração de relatórios.
Controle de acesso a dados
Ocasionalmente, os funcionários da Khan Academy precisam acessar os dados do usuário no desempenho de suas funções padrão. Por exemplo, a equipe de suporte pode precisar de acesso às informações do perfil para atender ao pedido de ajuda dessa pessoa. O acesso aos dados do usuário é controlado por meio de uma política de privilégios mínimos e deve ser concedido afirmativamente a cada funcionário, e esse acesso é então auditado e submetido a uma revisão trimestral. Todos os funcionários devem usar autenticação multifator para acessar os recursos da Khan Academy. Além disso, descrevemos nossas práticas para manter seus dados protegidos em uma política de segurança por escrito que todos os funcionários afirmam.
Terceiros
Para fornecer nosso serviço a você, nos envolvemos com vários fornecedores para fornecer nossos serviços, incluindo servidor e hospedagem de dados, atendimento ao cliente e ferramentas internas de produtividade e comunicação. Também fazemos parcerias com organizações que acreditamos serem do melhor interesse em servir ao nosso objetivo de fornecer uma educação de classe mundial para você. Temos acordos em vigor com esses terceiros que seguem nossos padrões de segurança de dados para proteger