Este modelo explica de maneira direta e prática como as responsabilidades de segurança e conformidade se dividem entre a Mereo e seus clientes que utilizam a Plataforma. O objetivo é eliminar zonas cinzentas, facilitar auditorias e reduzir risco operacional.
1 - Responsabilidade da Mereo: “Segurança da plataforma”
A Mereo é responsável por proteger a infraestrutura e a plataforma. Exemplos de responsabilidades da Mereo:
- Infraestrutura física e virtual: computação, rede e armazenamento que hospedam a plataforma.
- Plataforma e camada de aplicação: manutenção, atualizações, correções de segurança aplicadas ao software central da Mereo.
- Segurança de desenvolvimento: pipelines CI/CD, revisão de código, controles de qualidade e testes de segurança.
- Segurança operacional: monitoramento contínuo, observabilidade, detecção de intrusão, resposta a incidentes e testes de penetração.
- Criptografia: proteção de dados em trânsito (TLS) e em repouso conforme políticas internas.
- Disponibilidade e continuidade: backups da infraestrutura, planos de recuperação e SLA de disponibilidade (conforme contrato).
- Gestão de vulnerabilidades e patches no ambiente da plataforma.
- Controle e segregação de dados entre clientes (multi-tenant isolation).
- Fornecimento de APIs, integrações e documentação de segurança.
- Fornecimento de evidências de conformidade e relatórios de auditoria quando aplicável.
2 - Responsabilidade do Cliente: “Segurança na plataforma”
O cliente é responsável pelas configurações, pelo conteúdo e pelo ambiente de acesso que ficam sob seu controle ao usar a Mereo. Exemplos de responsabilidades do cliente:
- Gestão de identidade e acesso: criação, revisão e remoção de contas; atribuição de permissões, uso de MFA e SSO/SCIM para provisionamento/desprovisionamento.
- Dados e conteúdo: classificação, censura, políticas de retenção, anonimização de pesquisas e decisões sobre criptografia adicional dos dados exportados.
- Ambiente de acesso: segurança de rede corporativa, estações e dispositivos dos usuários (antivírus, patches, MDM).
- Treinamento e governança: capacitação de usuários, políticas internas e resposta inicial a incidentes originados por conta de usuário.
- Backup local de dados exportados, quando necessário para políticas internas.
- Decisões sobre integrações com terceiros (CRMs, HRIS, SSO) e gerenciamento dos riscos dessas integrações.
3 - Controles compartilhados (Mereo + Cliente)
Estes controles exigem ações coordenadas; a responsabilidade final depende do contexto do serviço e da configuração do cliente:
- Gerenciamento de patches: Mereo aplica patches na plataforma; o cliente aplica patches em seus dispositivos e em software local que interage com a Mereo.
- Gerenciamento de configuração: Mereo garante configurações seguras por padrão da plataforma; o cliente é responsável por configurar permissões, exportações e integrações conforme sua política.
- Controle de acesso: Mereo fornece controles de autenticação e autorização; o cliente define políticas de senha, MFA e quem tem quais privilégios.
- Resposta a incidentes envolvendo credenciais comprometidas originadas na rede do cliente.
4 - Cenários práticos (quem faz o quê)
- Usuário com credenciais fracas é comprometido e dados são exportados: responsabilidade inicial do cliente (políticas de senha, MFA, treinamento). Mereo apoia na investigação e bloqueio de sessão no escopo da plataforma.
- Vulnerabilidade em uma biblioteca do app detectada por pen test: Mereo corrige e aplica patches na plataforma; cliente atualiza suas integrações se necessário.
- Exportação massiva por erro de permissão interna: cliente é responsável por revisar permissões; Mereo pode fornecer logs e suporte para auditoria e mitigação.
- Integração com HRIS que vaza dados por configuração incorreta: cliente e/ou terceiro integrador são responsáveis pela configuração; Mereo isola/limita o escopo conforme políticas de API e pode orientar configurações seguras.
Comentários
0 comentário
Por favor, entre para comentar.