Confiança por meio da conformidade

A Zscaler obteve o certificado ISO 27001 seguindo as práticas recomendadas da ISO/IEC 27002:2013, atestando que nossos serviços são baseados em práticas recomendadas reconhecidas internacionalmente para gestão de segurança da informação e controles de segurança abrangentes.

A Zscaler obteve o certificado ISO 27001, incluindo a extensão ISO 27701, atestando que os nossos serviços são baseados em práticas recomendadas reconhecidas internacionalmente tanto para gestão de segurança da informação como para sistemas de gestão de informação de privacidade.

ISO/IEC 27018:2014 é um código de práticas que se concentram na proteção de dados pessoais na nuvem. Com base no padrão de segurança da informação ISO/IEC 27002, ele fornece orientação de implementação sobre os controles do ISO/IEC 27002 aplicáveis a informações de identificação pessoal (PII) na nuvem pública.

A Zscaler obteve o certificado ISO 27017 para abordar riscos e ameaças à segurança da informação específicos da nuvem, referentes aos controles das cláusulas 5 a 18 dos padrões ISO/IEC 27002: 2013 e ISO/IEC 27001. Esta certificação atesta que nossos serviços são baseados em práticas recomendadas reconhecidas internacionalmente, tanto para provedores de serviços na nuvem quanto para clientes de serviços na nuvem.

O relatório SOC 2, tipo II fornece validação independente de que nossos controles de segurança estão de acordo com os princípios e critérios de serviços de confiança aplicáveis do Instituto Americano de Contadores Públicos Certificados.

Os relatórios System and Organization Controls (SOC) da Zscaler são relatórios de exame independentes de terceiros que demonstram como a Zscaler alcança os principais objetivos e controles de conformidade. O SOC 3 é um relatório público que descreve os controles internos sobre segurança, disponibilidade, integridade de processamento e confidencialidade. SSAE 18/ISAE 3402 tipo II.

A Zscaler obteve a certificação Security, Trust & Assurance Registry (STAR) nível 2 da Cloud Security Alliance (CSA) em nível ouro.

A Zscaler está empenhada em tratar os dados de seus clientes e parceiros globais de acordo com as práticas recomendadas de segurança e privacidade. Criamos esta avaliação apenas para fins informativos, para ajudar as organizações a compreender como lidamos com dados sigilosos no que diz respeito aos serviços e produtos da Zscaler.

O Deutsche Cyber-Sicherheitsorganisation (DCSO), centro alemão de competência em segurança cibernética, foi fundado em 2015 pelos grupos Allianz, BASF, Bayer e Volkswagen para combater o crime cibernético organizado e a espionagem industrial. O DCSO pretende reunir empresas, autoridades e instituições e criar um espaço para troca confiável de dados entre elas. O serviço de avaliação de fornecedores na nuvem do DCSO avalia o nível de segurança dos provedores de serviços na nuvem.

A TISAX® (Trusted Information Security Assessment Exchange) permite a aceitação mútua de avaliações de segurança da informação na indústria automobilística e fornece um mecanismo comum de avaliação e troca, garantindo o compartilhamento seguro de informações sigilosas com empresas parceiras para inspirar confiança por toda a cadeia de abastecimento automobilística. A Zscaler concluiu uma avaliação da TISAX.

O Zscaler Internet Access for Japanese Government (ZIA-JG) e o Zscaler Private Access for Japanese Government (ZPA-JG) são serviços na nuvem registrados no Programa de Avaliação e Gerenciamento de Segurança de Sistemas de Informação (ISMAP) do Japão. Esses serviços foram auditados por terceiros independentes e aceitos pelos reguladores do programa ISMAP para atender aos padrões de segurança do governo japonês. Evidências da certificação ISMAP para os serviços da Zscaler podem ser encontradas na lista de serviços na nuvem do ISMAP(disponível apenas em japonês). Para obter mais informações sobre o ISMAP, consulte o site oficial do ISMAP.

A plataforma Zscaler Zero Trust Exchange atingiu o mais alto nível de certificação (nível 3) sob o padrão Segurança na Nuvem Multicamadas (MTCS) de Singapura (SS 584). Essa certificação atesta que a Zero Trust Exchange atende aos requisitos de segurança de casos de uso de alto impacto por organizações regulamentadas e pelo governo em Singapura, com base em auditorias rigorosas conduzidas por uma entidade certificadora de MTCS independente. Evidências da certificação MTCS da Zscaler podem ser encontradas na lista de serviços na nuvem certificados operada pela Infocomm Media Development Authority (IMDA) de Singapura, onde a Zero Trust Exchange está listada como um SaaS certificado. Mais informações sobre o MTCS podem ser encontradas no mesmo site.

A publicação 1075 do Internal Revenue Service (“IRS 1075”) estabelece padrões para segurança da informação, diretrizes e contratos para a proteção de agências governamentais dos EUA e de seus agentes que acessam informações fiscais federais (FTIs). Embora o IRS não publique uma designação ou certificação oficial para conformidade com a publicação 1075, a Zscaler oferece suporte a organizações para proteger FTIs gerenciadas na plataforma da Zscaler, alinhando nossas implementações de controles de segurança NIST 800-53 e FedRAMP com os respectivos requisitos de segurança da publicação 1075 do IRS. A Zscaler trabalhou em estreita colaboração com o IRS para garantir que nossas GovClouds (EUA) atendam aos requisitos da publicação 1075 para armazenamento e processamento de FTIs.

O Zscaler Internet Access (ZIA) e o Zscaler Private Access (ZPA) têm autorização JAB-High. Além disso, o ZIA é atualmente a única solução de Secure Access Service Edge (SASE) e Trusted Internet Connections (TIC) 3.0 que obteve a mais alta autorização do FedRAMP.

Agências governamentais, como o Departamento de Defesa dos Estados Unidos (DoD), podem aproveitar nossas plataformas zero trust líderes de mercado para enfrentar os desafios relacionados a experiência do usuário e custos de garantir o acesso a aplicativos baseados na nuvem para usuários remotos e híbridos.

O Zscaler Internet Access (ZIA) e o Zscaler Private Access (ZPA) mantêm a autorização Moderate do FedRAMP desde 2018, permitindo que agências federais, comandos do DoD e prestadores de serviços federais aproveitem ao máximo a Zscaler Zero Trust Exchange.

Com o ZIA e o ZPA em mãos, as agências podem colher os benefícios da segurança zero trust para reduzir despesas gerais, agilizar operações e reduzir custos.

O Zscaler Private Access (ZPA) obteve uma autorização provisória de operação (P-ATO) em nível de impacto 5 (IL5), conforme publicado no Guia de Requisitos de Segurança de Computação na Nuvem do Departamento de Defesa dos Estados Unidos (DoD CC SRG). Isso permite a agências governamentais e seus contratados usar a plataforma Zscaler Zero Trust Exchange para sistemas que gerenciam suas informações não classificadas controladas (CUI) mais sigilosas, bem como sistemas de segurança nacional (NSSs) não classificados. O Zscaler Internet Access (ZIA) obteve a autorização de operação (ATO) em nível de impacto 2 (IL2). A Unidade de Inovação de Defesa (DIU) do DoD selecionou a Zscaler para testar o ZPA e o ZIA como tecnologias de acesso seguro.

A Zscaler está em conformidade com o padrão federal de processamento de informações (FIPS 140-2) e atende aos requisitos do NIST para módulos criptográficos. Veja os certificados nº 3154 para Zscaler Mobile Cryptographic Module, nº 3159 para Zscaler Crypto Module e nº 3188 para Zscaler Java Crypto.

O Zscaler Private Access (ZPA) e o Zscaler Internet Access (ZIA) foram auditados por um auditor do IRAP certificado. O relatório demonstra que a Zscaler está em conformidade com as normas relacionadas do governo australiano.

O relatório do regulamento internacional sobre o tráfico de armas (ITAR) contempla as plataformas Zscaler Acesso privado (ZPA) e Zscaler Internet Access (ZIA) Government Cloud (“GovCloud”).

A Zscaler mantém conformidade com os serviços de informação de justiça criminal, garantindo a proteção das informações conforme exigido pelas políticas de segurança do CJIS.

Em reconhecimento e apoio aos “Padrões de Acessibilidade Eletrônica e de Informação” definidos pela Seção 508 do Rehabilitation Act, publicamos autoavaliações de acessibilidade de produtos da Zscaler usando Modelos Voluntários de Acessibilidade de Produtos (VPATs). A Seção 508 foi promulgada para eliminar barreiras na tecnologia da informação, disponibilizar novas oportunidades para pessoas com deficiência e encorajar o desenvolvimento de tecnologias que ajudarão a alcançar estes objetivos.

A Zscaler concluiu a análise da Trusted Internet Connection (TIC) 3.0 Overlay com o Departamento de Segurança Interna dos Estados Unidos (DHS) e com a Agência de Segurança Cibernética e de Infraestrutura (CISA). A TIC é uma iniciativa federal de segurança cibernética destinada a melhorar a segurança de redes e perímetros em todo o governo federal. O objetivo da TIC 3.0 é proteger dados, redes e fronteiras federais, além de fornecer visibilidade sobre o tráfego das agências, incluindo comunicações na nuvem.

A Publicação Especial 800-63C do Instituto Nacional de Padrões e Tecnologia (NIST) fornece requisitos para provedores de identidade (IdPs) e partes usuárias (RPs) de sistemas de identidade federados. A federação permite que um determinado IdP forneça atributos de autenticação e (opcionalmente) atributos de assinante para vários RPs administrados separadamente através do uso de asserções. Da mesma forma, os RPs podem usar mais de um IdP.

O Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 cria padrões e diretrizes relativos à segurança da informação que são geralmente aplicáveis aos sistemas de informação federais dos EUA. A Zscaler adere à NIST 800-53, garantindo proteções suficientes de confidencialidade, integridade e disponibilidade da informação e dos sistemas de informação.

O StateRAMP é um programa de segurança cibernética que atende às necessidades dos funcionários de contratação e segurança dos governos estaduais e locais (SLGs) nos Estados Unidos. A Moderate Cloud do Zscaler Internet Access (ZIA) alcançou o status de autorização StateRAMP, demonstrando o compromisso da Zscaler em proteger dados e funcionários do governo estadual e local.

O programa de gerenciamento de autorização e riscos do Texas (TX-RAMP) fornece uma abordagem padronizada para avaliação de segurança, monitoramento contínuo e autorização de fornecedores terceirizados que processam os dados de uma agência estadual ou instituição pública de ensino superior no estado do Texas (agências). A Zscaler obteve a autorização TX-RAMP Nível 2, que permite que a Zscaler opere com dados confidenciais/regulamentados em sistemas de impacto moderado ou alto. 

O C5 (Cloud Computing Compliance Controls Catalog) é um esquema de certificação apoiado pelo governo alemão, introduzido na Alemanha pelo Departamento Federal de Segurança da Informação (BSI). O C5 ajuda as organizações a demonstrarem segurança operacional contra ataques cibernéticos comuns ao usar serviços na nuvem no contexto das recomendações de segurança para provedores de nuvem do governo alemão.

A Zscaler tem certificação no Catálogo de Produtos e Serviços STIC (CPSTIC) do Centro Criptológico Nacional Espanhol (CCN). A obtenção desse credenciamento indica que a Zscaler provou com sucesso a sua capacidade de fornecer serviços seguros à administração pública, bem como a empresas e organizações estrategicamente importantes na Espanha. Para obter essa qualificação, a Zscaler colaborou com um auditor imparcial terceirizado para passar pela avaliação necessária e atender aos padrões exigidos.

A Zscaler tem certificação no Catálogo de Produtos e Serviços STIC (CPSTIC) do Centro Criptológico Nacional Espanhol (CCN). A obtenção desse credenciamento indica que a Zscaler provou com sucesso a sua capacidade de fornecer serviços seguros à administração pública, bem como a empresas e organizações estrategicamente importantes na Espanha. Para obter essa qualificação, a Zscaler colaborou com um auditor imparcial terceirizado para passar pela avaliação necessária e atender aos padrões exigidos.

A lei de portabilidade e responsabilidade de planos de saúde de 1996 (HIPAA) aplica-se a informações de saúde identificadas individualmente relacionadas à condição de saúde física ou mental passada, presente ou futura de um indivíduo ou a qualquer outra informação de identificação que possa ser usada para identificar o indivíduo. A HIPAA foi ampliada em 2009 pela lei de tecnologias da informação em saúde para saúde econômica e clínica (HITECH). Conforme declarado pelo Departamento de Saúde e Serviços Humanos dos EUA, a regra de privacidade da HIPAA estabelece padrões nacionais para a proteção de determinadas informações de saúde.

As normas de segurança de dados da indústria de cartões de pagamento (PCI DSS) existe para oferecer proteção contra fraudes de cartão de crédito, ameaças à segurança e vulnerabilidades. A PCI é um órgão governamental estabelecido em setembro de 2006 como um consórcio entre MasterCard, American Express, Visa, JCB International e Discover Financial Services.

A APRA (Autoridade Australiana de Regulamentação Prudencial) é o principal regulador financeiro na Austrália e descreve seu propósito como a regulação prudencial das instituições financeiras da Austrália. A APRA supervisiona bancos, cooperativas de crédito, sociedades de construção, seguradoras gerais e resseguradoras, seguros de vida, seguros de saúde privados, sociedades amigas e a maioria dos membros do setor de aposentadoria, promovendo a segurança financeira das instituições e a estabilidade do sistema financeiro australiano. Este documento técnico descreve informações gerais para instituições financeiras que desejam usar os serviços da Zscaler.

A Zscaler está empenhada em agir de forma ética e íntegra em todas as suas relações comerciais e em promover um local de trabalho e uma cadeia de abastecimento livres da escravidão moderna e do tráfico humano, em que os trabalhadores sejam tratados com respeito e dignidade.

A Zscaler administra a maior plataforma de segurança na nuvem do mundo. A equipe de operações na nuvem da Zscaler se esforça para garantir a resiliência da plataforma diante de qualquer desastre natural ou humano ou outra emergência não planejada.

A declaração de supervisão 2/21 (SS 2/21 intitulada “Terceirização e gestão de riscos de terceiros” (2021) rege as atividades das instituições financeiras do Reino Unido para gestão de fornecedores. A PRA (Prudential Regulation Authority) faz parte do Banco da Inglaterra e é responsável pela regulamentação prudencial no Reino Unido. Como a Zscaler não é uma instituição financeira do Reino Unido, ela não se enquadra diretamente no âmbito da SS 2/21. O objetivo do relatório de atestado é oferecer contexto sobre como a Zscaler atende aos requisitos relevantes de segurança de dados do Capítulo 7 da norma.

Estamos empenhados em garantir que os nossos clientes e parceiros globais possam cumprir os requisitos de conformidade da República Popular da China. Para baixar uma lista completa de licenças/certificados e dos registros da Zscaler Clouds, envie este formulário de solicitação.