Integrações mais seguras para o Workplace

O Workplace alterou os Termos da Plataforma para garantir a segurança das integrações que usam as APIs da plataforma do Workplace.

Observação: estas informações se aplicam a clientes com integrações hospedadas e operadas por um desenvolvedor terceirizado. Se precisar de ajuda para navegar pelas informações deste artigo, entre em contato com o Suporte do Workplace.

A proteção das informações das pessoas é um compromisso fundamental para o Workplace. Para oferecer a nossos clientes um local seguro para trabalhar, precisamos garantir que não apenas o Workplace, mas todos os desenvolvedores de nossa plataforma estejam em conformidade com nossos elevados padrões de segurança. Foi por isso que, em maio de 2019, anunciamos uma atualização de nossos Termos da Plataforma, em que os desenvolvedores terceirizados precisarão passar por um processo de análise escalonada para continuar a ter acesso às APIs do Workplace e oferecer integrações aos clientes do Workplace. Desde então, trabalhamos em estreita colaboração com os desenvolvedores para ajudá-los a cumprir nossos elevados padrões e processo de análise escalonada.

Para reforçar a segurança de nossa plataforma, em 16 de dezembro de 2019, começamos a remover o acesso às integrações que não tiverem passado por nosso processo de análise atualizado.

A partir de 1º de setembro de 2019, talvez você tenha recebido mensagens no Workplace indicando que algumas de suas integrações requerem atenção. Esta página fornece os recursos de que você precisará para agir a respeito disso.

Que tipos de integrações estão disponíveis no Workplace?

Hoje, existem duas formas de conectar uma integração ao Workplace. Nós as chamamos de “integrações personalizadas” e “integrações de terceiros”.

  • Integração personalizada: essa maneira de instalar uma integração indica que você (ou outro administrador de sua instância do Workplace) criou uma integração no Painel Administrativo. Para criá-la, você precisou passar por algumas telas para selecionar permissões para a integração e gerar um token de acesso (ou seja, uma cadeia de caracteres longa de letras e números, como uma chave ou senha) que você copiou e colou em uma integração desenvolvida internamente ou enviou a um desenvolvedor. Somente integrações criadas por você ou em seu nome (por exemplo, software personalizado) usadas apenas por você e operadas (hospedadas e executadas) em um ambiente que você controla devem ser instaladas como integrações personalizadas.
  • Integração de terceiros: essa maneira de instalar uma integração indica que você foi até nosso Diretório de Integrações ou ao site de outra empresa e instalou uma integração, sem criar ou enviar a ninguém um token de acesso. Como parte do processo de instalação, você teria visto uma tela de consentimento informando a quais permissões a integração de terceiros tem acesso e solicitando a aceitação dessas permissões. Todas as integrações oferecidas por desenvolvedores terceirizados (por exemplo, software não personalizado, mesmo que certos aspectos sejam personalizados) operadas (hospedadas e executadas) em um ambiente que você não controla totalmente devem ser instaladas como integrações de terceiros.

No momento, sabemos que há várias integrações no Workplace instaladas como integrações personalizadas que deveriam estar instaladas como integrações de terceiros, porque são hospedadas ou executadas por desenvolvedores terceirizados. O processo de análise atualizado se aplica a integrações de terceiros, e não a integrações personalizadas. Portanto, é importante que todas as integrações sejam classificadas corretamente. Se suspeitarmos que uma integração instalada como personalizada deveria ser instalada como integração de terceiros, ela será tratada como integração de terceiros e começaremos a remover o acesso caso não tenha passado por nosso processo de análise até 16 de dezembro de 2019.

Por que estou vendo uma mensagem sobre “integrações que não passaram pelo processo de análise atualizado”?

Acreditamos que uma ou mais das integrações que você está usando esteja operando fora da abrangência de nossos novos Termos da Plataforma. Os motivos podem ser:

  • Você está usando uma integração de terceiros que não passou por nosso processo de análise (veja mais detalhes na seção “O que significa dizer que uma integração não passou pelo processo de análise atualizado?”).
  • Você está usando uma integração instalada como personalizada, mas que deveria estar instalada como integração de terceiros e que ainda não passou por nosso processo de análise obrigatório.

O que devo fazer a seguir?

Você pode optar por continuar a usar as integrações que não passaram pela análise até 16 de dezembro de 2019. Após essa data, começaremos a remover o acesso às integrações que não tiverem passado por nosso processo de análise atualizado. Veja abaixo um cronograma com os principais eventos e as medidas que você pode tomar:

  • A partir de 1º de setembro de 2019: compartilharemos um lembrete inicial para notificar os administradores com integrações de terceiros que não passaram por análise em suas instâncias (incluindo integrações instaladas como personalizadas que devem ser instaladas como integrações de terceiros). Os administradores podem ver a quais integrações nos referimos na página Integrações do Painel Administrativo. Você pode optar por continuar a usar essas integrações até 16 de dezembro de 2019. Recomendamos que você converse com seus desenvolvedores para saber se eles planejam passar pela análise.
  • 1º de outubro de 2019: as integrações instaladas atualmente como integrações personalizadas que acreditarmos que, na verdade, são fornecidas e operadas por terceiros serão automaticamente desativadas, a menos que um administrador tome alguma medida no Painel Administrativo para continuar usando essa integração.
    Se você achar que uma integração necessária foi desativada, poderá reativá-la no Painel Administrativo e continuar a usá-la até 16 de dezembro de 2019. Você também deverá entrar em contato com o desenvolvedor ou a empresa que forneceu a integração ou com nossa equipe de suporte direto se acreditar que a integração foi classificada incorretamente. Todas as integrações já instaladas como integrações de terceiros continuarão funcionando.
  • 16 de dezembro de 2019: começaremos a remover o acesso a todas as integrações personalizadas que julgarmos serem fornecidas e operadas por terceiros, bem como as integrações de terceiros que não tenham passado pelo processo de análise atualizado. Não será mais possível continuar a usar essas integrações.

    • Você pode instalar uma integração semelhante de um desenvolvedor aprovado encontrada no nosso Diretório de Integrações.
    • Mediante solicitação, determinadas integrações com acesso limitado a seus dados podem se qualificar para uma isenção e seguirem em uso no Workplace até 31 de dezembro de 2020. Entre em contato com nosso Suporte Direto antes de 15 de janeiro de 2020 para nos consultar a respeito dessa possibilidade.
    • As integrações dos desenvolvedores que fornecerem provas de práticas robustas de segurança e que estiverem na etapa final de nosso processo de análise do aplicativo terão até 28 de fevereiro de 2020* para concluir o processo. No Painel Administrativo, está indicado o prazo final para o desenvolvedor concluir nosso processo de análise para todas as integrações ainda não aprovadas.
    • *Atualização: o prazo para os desenvolvedores converterem integrações personalizadas não aprovadas em aplicativos de terceiros foi estendido. As integrações afetadas pela alteração serão exibidas com o novo prazo, 1º de maio de 2020.
O Workplace realizava análises de segurança de integrações no passado?

Sim. Todas as integrações disponíveis em nosso diretório anunciadas na F8 2018 passaram por uma análise de segurança antes do lançamento. O processo de análise elevada do aplicativo introduzido este ano é formal e escalonado, com o intuito de elevar os padrões para todos os desenvolvedores que participam de nosso ecossistema.

Meu provedor de identidade (IDP) está sendo sinalizado. O que isso significa e o que posso fazer a respeito disso?

A maioria das integrações de IDP no Workplace até agora foi instalada como integrações personalizadas. Estamos trabalhando com os desenvolvedores para convertê-las em integrações de terceiros compatíveis. Se você tiver um gerente de conta com esses desenvolvedores, entre em contato com ele para entender o plano e o cronograma.

Informações dos administradores do G Suite

Para seguir usando o G Suite para provisionamento após 16 de dezembro, será preciso configurar uma maneira diferente de importar as pessoas de sua empresa para o Workplace. Veja aqui como fazer isso.

O que quer dizer quando uma integração não passou pelo processo de análise atualizado?

Em maio de 2019, comunicamos aos desenvolvedores da plataforma uma atualização no processo de análise de integração do Workplace. Esse processo define as etapas de verificação que as integrações de terceiros devem cumprir para que sejam disponibilizadas aos clientes do Workplace.

  • Para todas as integrações, as etapas incluem: a verificação da empresa, a confirmação dos Termos da Plataforma e a análise.
  • Para as integrações de terceiros que solicitaram acesso a mais dados, o processo de análise inclui ainda um teste de penetração de terceiros e uma solicitação de informações (RFI) de segurança.

Se as suas integrações forem sinalizadas, significa que elas ainda não passaram por todas as etapas obrigatórias da análise.

Vocês podem desativar uma integração de que precisamos! O que posso fazer?

Recomendamos analisar qual de suas integrações foi rotulada como “não aprovada” e qual pode ser desativada na data indicada no Painel Administrativo para essa integração. Se tiver preocupação quanto à possibilidade de desativação de uma integração de que precise, existem algumas alternativas:

  • Você pode instalar uma integração semelhante de um desenvolvedor aprovado encontrada no nosso Diretório de Integrações.
  • Mediante solicitação, determinadas integrações com acesso limitado a seus dados podem se qualificar para uma isenção e seguirem em uso no Workplace até 31 de dezembro de 2020. Entre em contato com nosso Suporte Direto antes de 15 de janeiro de 2020 para nos consultar a respeito dessa possibilidade.

As integrações dos desenvolvedores que fornecerem provas de práticas robustas de segurança e que estiverem na etapa final de nosso processo de análise do aplicativo terão até 28 de fevereiro de 2020* para concluir o processo. No Painel Administrativo, está indicado o prazo final para o desenvolvedor concluir nosso processo de análise para todas as integrações ainda não aprovadas.

*Atualização: o prazo para os desenvolvedores converterem integrações personalizadas não aprovadas em aplicativos de terceiros foi estendido. As integrações afetadas pela alteração serão exibidas com o novo prazo, 1º de maio de 2020.

O que acontece se eu quiser continuar usando a integração após o prazo final?

Infelizmente, começaremos a remover o acesso às integrações que ainda não tiverem passado por nosso processo de análise em 16 de dezembro de 2019. Sugerimos que você converse com o desenvolvedor para saber se ele planeja passar pela análise até essa data. Você também pode selecionar no Diretório de Integrações um provedor alternativo aprovado com uma integração semelhante.

Sabemos da importância das integrações para sua experiência no Workplace. Mediante solicitação, determinadas integrações com acesso limitado a seus dados podem se qualificar para uma isenção e seguirem em uso no Workplace até 31 de dezembro de 2020. Entre em contato com nosso Suporte Direto antes de 15 de janeiro de 2020 para nos consultar a respeito dessa possibilidade.

Acredito que uma de minhas integrações personalizadas foi incorretamente sinalizada como desenvolvida ou operada por terceiros.

Se uma integração operada (hospedada e executada) em um ambiente que você controla foi sinalizada, abra um tíquete com o Suporte do Workplace, e nós a examinaremos.

Se tiver perguntas específicas, entre em contato com o Suporte do Workplace.

A nova experiência do Workplace

Continue lendo