Introduction
Ce document décrit les mesures et les efforts de PlanRadar pour fournir des normes modernes et élevées en matière de sécurité des données, de confidentialité et de disponibilité des services pour notre logiciel.
Infrastructures / Hébergement
Livres blancs et campagnes AWS Information
Gestion de la configuration
Nous suivons les principes de l’infrastructure immuable et de l’infrastructure en tant que code. En cas d'erreur/défaillance, le système peut être régénéré en fonction de ses modèles et de son code source. Nous utilisons Kubernetes et Argocd pour gérer notre infrastructure.
Haute disponibilité / Évolutivité
AWS rend notre système réactif aux pics de charge élevés et fournira automatiquement plus de ressources si cela est nécessaire. Nos clients ne subiront aucun impact sur les performances.
Protection contre les vulnérabilités DDOS/Web
Notre application Web est protégée par le système de proxy Web cloudflare.
Développement de logiciels
Mise en œuvre
Notre système est basé sur une technologie open source moderne, robuste et éprouvée. Notre application Web est développée avec Ruby on Rails en utilisant une version à jour prise en charge par les correctifs de sécurité. Nos clients mobiles sont développés en Java, Objective-C et .NET.
Tous les transferts de données se font via HTTPS/TLS et les données sont cryptées au repos. (Dans notre base de données relationnelle et dans notre stockage objet). Toutes les images, plans et documents sont stockés dans le système de stockage Amazon S3 hautement durable.
OWASP
Dans notre implémentation, nous suivons le principe de sécurité dès la conception.
TDD
Toutes nos fonctionnalités de base sont implémentées avec la méthodologie de développement piloté par les tests.
Mesures de sécurité des applications
L'application est protégée par plusieurs proxys et équilibreurs de charge. Nous avons les possibilités de connexion fédérée d'authentification multifactorielle avec SAMl, de politiques de mot de passe personnalisées, de tentatives de connexion limitées, de blocages d'utilisateurs en cas de tentatives de connexion erronées et d'une configuration détaillée des autorisations utilisateur.
Processus
Employés
Tous nos employés, mais en particulier ceux du support et de l'ingénierie, sont conscients de la confidentialité/sécurité des données et bénéficient de formations et de SOP pour un traitement responsable des données de nos clients. Tous les employés n’ont accès qu’au minimum nécessaire à nos systèmes informatiques. Les données clients ne sont accessibles que par certains employés.
La gestion des incidents
Les incidents de sécurité et de confidentialité sont collectés à chaque point de contact, puis acheminés vers l'unité organisationnelle responsable. Nos systèmes de journalisation détectent les anomalies dans l'utilisation du système et envoient des alarmes automatisées si nécessaire. Nous avons des procédures écrites pour la reprise après sinistre et les restaurations de sauvegarde.
Accéder
L'accès aux systèmes administratifs est limité à certains VPN et protégé par une authentification à 2 facteurs.
Certification de gestion de la sécurité de l'information ISO/IEC 27001
Nous détenons une certification ISO visible ici :
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.