Declaração de Segurança do Flosum DevOps

Visão geral

Flosum DevOps é uma solução abrangente de Gerenciamento do Ciclo de Vida de Aplicações (ALM) baseada em Salesforce, projetada especificamente para o Salesforce.com plataforma. O DevOps gerencia os processos de desenvolvimento desde o planejamento de requisitos até a implantação em produção. Como uma Salesforce.com aplicação nativa, o DevOps promove governança, conformidade e inovação rápida na entrega bem-sucedida de software.

Este documento fornece uma visão geral breve da abordagem de segurança do Flosum DevOps. Destina-se a arquitetos de segurança e especialistas que avaliam soluções críticas de gerenciamento do ciclo de vida de aplicações (ALM) em seus ambientes Salesforce.

Relação entre Salesforce e Flosum DevOps

O Flosum DevOps possui uma relação OEM com a Salesforce. Para cada cliente, a Flosum adquire uma organização (instância) totalmente nova com as licenças Salesforce relevantes para executar a aplicação DevOps, que é um pacote gerenciado nativo do Salesforce.

Todos os clientes que adquirem o Flosum DevOps já têm acesso ao Salesforce. Todas as políticas de segurança, data center, infraestrutura, continuidade de negócios, recuperação de desastres e disponibilidade aplicáveis às suas organizações Salesforce existentes se aplicam à organização Flosum DevOps, que é uma org do Salesforce Enterprise Edition—doravante referida como a Organização de Governança Flosum DevOps.

Esta Organização de Governança Flosum DevOps é similar à sua organização de produção existente, que você adquiriu diretamente da Salesforce para executar suas aplicações de negócios, como Sales Cloud, Service Cloud ou sua aplicação personalizada.

A Organização de Governança Flosum DevOps também é totalmente hospedada pela Salesforce e só pode ser acessada a partir da sua rede corporativa. Uma vez entregue aos seus administradores, a Flosum não terá mais acesso nem poderá modificá‑la.

Segurança física: O tratamento de segurança fornecido à sua Organização de Governança Flosum DevOps é o mesmo da arquitetura de org do Salesforce.

Arquitetura

O Flosum DevOps é usado apenas por clientes Salesforce. Clientes que não utilizam Salesforce não podem usar o Flosum.

O Flosum é totalmente construído na plataforma Force.com . O DevOps não possui quaisquer outros servidores ou presença em data centers. A Flosum, a empresa, não mantém servidores. A Salesforce hospeda completamente a aplicação Flosum DevOps (Pacote Gerenciado). Os clientes controlam quem tem acesso a partes específicas dos dados dentro da aplicação. Funcionários e pessoal da Flosum não conseguem acessar a aplicação nem seus dados.

Revisão de Segurança

A maioria dos clientes dedica um tempo significativo para revisar a segurança da plataforma Salesforce como parte de sua due diligence técnica. Todo o trabalho que um cliente realiza para avaliar a segurança da plataforma Salesforce também se aplica ao Flosum DevOps como uma aplicação nativa. Isso ocorre porque o DevOps é totalmente construído na plataforma Salesforce e opera dentro do ambiente Salesforce do cliente.

Endurecendo ainda mais a plataforma

A Flosum recomenda aproveitar as práticas recomendadas de segurança abrangentes da Salesforce para aprimorar ainda mais a segurança da plataforma, incluindo a aplicação Flosum DevOps.

Provisionamento de Usuários

Como o cliente controla completamente a Organização de Governança Flosum DevOps (uma organização Salesforce em nível de produção), e o pessoal da Flosum não tem acesso, o cliente é responsável por provisionar novos usuários dentro da aplicação. O cliente tem controle total sobre o gerenciamento de acesso dos usuários. Assim, as políticas da Salesforce ditam o gerenciamento de políticas de senha e podem ser substituídas pela sua infraestrutura de single sign-on.

Integração com Single Sign-On

A maioria dos clientes utiliza uma solução corporativa de single sign-on que armazena senhas para todas as aplicações e fornece uma interface frontal única para efetuar login em todas as aplicações de uma vez. Os clientes podem optar por integrar-se à sua solução corporativa de single sign-on assim como fizeram para a instância Salesforce de produção.

Conformidade

A Flosum está em conformidade com todas as certificações e conformidades atestadas pela plataforma Salesforce, incluindo ISO 27001/27018, SSAE 16/ISAE 3402 SOC-1, SOC 2, SOC 3, PCI-DSS, Selo de Privacidade Certificado TRUSTe, CSA STAR e mais.

Planos de Confiança, Disponibilidade e Continuidade de Negócios

O Flosum DevOps é totalmente construído na plataforma Salesforce; os mesmos Acordos de Nível de Serviço (SLAs) para disponibilidade, continuidade de negócios e recuperação de desastres que se aplicam à sua organização de produção Salesforce também se aplicam à Organização de Governança Flosum DevOps.

Gerenciamento de Mudanças e Processo de Atualização

A Flosum lança atualizações de software várias vezes ao ano. Algumas versões são menores, enquanto outras são maiores. Quase todas as versões têm novos recursos e aprimoramentos, e suportam a API de Metadata mais recente.

Veja como funciona:

A Flosum fornecerá comunicações digitais para informar os clientes sobre as próximas atualizações. Espera-se que os clientes se preparem para cada atualização, assim como fariam para qualquer release sazonal da Salesforce. Solicite que o pacote gerenciado DevOps seja atualizado para uma organização Sandbox Salesforce para testes.

A cada atualização, os novos recursos e aprimoramentos serão compartilhados por meio do nosso Portal de Sucesso e comunicações digitais. As atualizações do Pacote Gerenciado DevOps ocorrem duas semanas após a Salesforce concluir a implantação de sua release sazonal para todos os clientes. A razão principal é garantir que todas as organizações de produção e sandbox da Salesforce e do Flosum DevOps estejam na versão mais recente antes do lançamento do Pacote Gerenciado DevOps e da API de Metadata.

A Flosum também evita cuidadosamente agendar uma atualização que interfira nos cronogramas internos de implantação do cliente. Como resultado, as atualizações são realizadas somente com o consentimento completo e informado do cliente. A Flosum recomenda não solicitar atualizações duas semanas antes ou depois de implantações internas.

Gerenciamento de Dados

Os dados na aplicação do cliente são totalmente hospedados dentro da infraestrutura da Salesforce. Esta é a mesma infraestrutura que a organização de produção Salesforce utiliza para hospedar a aplicação de negócios Salesforce do cliente.

Gerenciamento de Incidentes

A Flosum fornece um portal de suporte dedicado para gerenciar incidentes de clientes. Os clientes podem criar seu login e conta e submeter incidentes através do portal.

Registro e Monitoramento

Quaisquer políticas ou práticas de registro ou monitoramento usadas com a organização de produção Salesforce de um cliente também são aplicáveis e utilizadas com a organização de Governança Flosum DevOps.

Ciclo de Vida de Desenvolvimento de Sistema

A Flosum utiliza um ciclo de vida de desenvolvimento de software abrangente para facilitar o desenvolvimento contínuo de aplicações, aprimoramento e melhorias.

A Flosum utiliza o Jira para capturar todos os requisitos da equipe de produto da Flosum. A Flosum utiliza o Salesforce Service Cloud para registrar incidentes e novas solicitações de recursos dos clientes. A Flosum é usada internamente para seu gerenciamento do ciclo de vida de aplicações. A Flosum possui uma equipe robusta de engenheiros de garantia de qualidade para garantir que a aplicação seja bem testada.