Principes de sécurité - Signitic

Document  »

Principes de sécurité

1. Général

Conditions Générales
Mentions légales
Politique de confidentialité

2. RGPD

Cookies
DPA
Sous-traitants ultérieurs

3. Sécurité

Principes de sécurité

4. Formulaires

Formulaire de contact
Création de compte utilisateur
Téléchargement de ressources
v1.4 - 29 décembre 2024

Ce document décrit comment Signitic répond aux principes de sécurités présentés par le document du National Cyber Security Centre (NCSC) ainsi que le SecNumCloud de l’ANSSI, y compris ce qui relève de la responsabilité de Signitic (le fournisseur de services) et ce qui relève de la responsabilité du client.

PROTECTION DES DONNÉES EN TRANSIT

Toutes les données transmises entre les services de Signitic le sont à l'aide de protocoles de cryptage puissants. Signitic prend en charge les dernières suites de chiffrement sécurisées recommandées pour chiffrer tout le trafic en transit, y compris l'utilisation des protocoles TLS 1.2, le chiffrement AES256 et les signatures SHA2, lorsque cela est possible.

PROTECTION ET RÉSILIENCE DES ACTIFS

Toutes les données des clients résident entièrement dans notre environnement de production AWS.

L'emplacement des données est eu-west-3a, eu-west-3b et eu-west-3c à Paris (FRANCE).

Signitic fournit des services conformément aux lois qui lui sont applicables en tant que prestataire de services.

Les clients passent un contrat avec Signitic SAS, une société française.

Les catégories suivantes de données du client seront stockées dans un centre de données situé en France :

  • Fichiers (images)
  • Données (utilisateurs, templates, etc.)
  • Données utilisées pour l'analyse et la mesure de la qualité du service, par exemple, les journaux (journaux aseptisés).

Toutes les données des clients résident entièrement dans notre environnement de production AWS. Les protections physiques sont entièrement assurées par AWS, qui dispose d'un large éventail de certifications et d'attestations de sécurité pour sa sécurité physique. Vous trouverez plus de données sur la sécurité des centres de données AWS ici.

Par défaut, Signitic protège les données des clients dans le cadre de ses contrôles de sécurité fondamentaux. Signitic définit des politiques et des normes exigeant que les supports soient correctement nettoyés une fois qu'ils ne sont plus utilisés. 

L'hébergeur de Signitic est responsable de la suppression des données des disques alloués à l'utilisation de Signitic avant qu'ils ne soient réutilisés.

Les hébergeurs de Signitic doivent s'assurer que le matériel est mis au rebut de manière responsable. 

Signitic utilise les services déployés par son fournisseur d'hébergement pour répartir les opérations de production sur trois sites physiques distincts. Ces trois sites se trouvent dans une même région géographique, mais protègent le service de Signitic contre les pertes de connectivité, l'infrastructure électrique et d'autres pannes courantes propres à chaque site. Les

transactions de production sont répliquées entre ces sites distincts afin de protéger la disponibilité du service de Signitic en cas d'événement catastrophique spécifique à un lieu.

Signitic conserve également une copie de sauvegarde complète des données de production dans un emplacement distant très éloigné de l'emplacement de l'environnement d'exploitation principal. Les sauvegardes complètes sont enregistrées dans cet emplacement distant au moins une fois par jour et les transactions sont enregistrées en continu. Signitic teste les sauvegardes au moins une fois par trimestre pour s'assurer qu'elles peuvent être restaurées avec succès. Une résilience physique supplémentaire est assurée par nos fournisseurs d'hébergement.

SÉPARATION ENTRE LES UTILISATEURS

Signitic est hébergé dans un Virtual Private Cloud (VPC) d’Amazon Web Services. Il s'agit d'une solution multitenant où les données sont séparées logiquement. Chaque appel d'API à toutes les couches de la pile technologique utilise un accountID comme clé primaire. Lorsqu'un utilisateur se connecte à Signitic, les informations d'identification sont vérifiées dans notre base de données des utilisateurs. Cela garantit que tous les appels de l'utilisateur sont dirigés sur le bon compte. La séparation logique garantit que les clients ne peuvent accéder qu'à leurs propres données et à celles de personne d'autre.

CADRE DE GOUVERNANCE

L'équipe de sécurité de Signitic, dirigée par notre responsable technique, est responsable de la mise en œuvre et de la gestion de notre programme de sécurité. Le responsable technique est soutenu par les membres de l'équipe de sécurité de Signitic ainsi que des spécialistes sécurités de sa maison mère, qui se concentrent sur l'architecture de sécurité, la sécurité des produits, les opérations de sécurité de l'entreprise, les opérations de sécurité de la production, et les risques et la conformité.

Signitic dispose également d'un délégué à la protection des données (DPO). Pour communiquer avec notre délégué à la protection des données, veuillez envoyer un courriel à dpo@signitic.com.

Signitic surveille, vérifie et améliore en permanence la conception et l'efficacité opérationnelle de ses contrôles de sécurité. Ces activités sont régulièrement réalisées par des évaluateurs tiers accrédités et par l'équipe interne de Signitic.

SÉCURITÉ OPÉRATIONNELLE

L'outil de gestion Github est utilisé pour gérer de manière centralisée les serveurs de production de Signitic tout au long de leur cycle de vie et pour s'assurer que les configurations de sécurité de base sont systématiquement appliquées à tous les serveurs.

L'équipe évaluera les risques et l'impact de la vulnérabilité nouvellement signalée sur l'environnement de production de Signitic et déterminera en conséquence les stratégies de remédiation appropriées, conformément à la politique de gestion des vulnérabilités de Signitic.

L'hébergeur de Signitic, Amazon Web Services (AWS), est responsable de l'application des correctifs et de la correction des failles de l'infrastructure, ainsi que de la maintenance de la configuration de cette dernière. Pour plus d'informations, veuillez consulter le modèle de responsabilité partagée d'AWS. 

Signitic maintient un programme interne de gestion des vulnérabilités pour identifier et corriger les problèmes. Signitic exécute des scanners de vulnérabilité visant les points d'extrémité internes et externes.

Signitic surveille les serveurs, les postes de travail et les appareils mobiles afin de conserver et d'analyser une vue complète de l'état de sécurité de son infrastructure d'entreprise et de production. Les accès administratifs, l'utilisation de commandes privilégiées et les appels système sur tous les serveurs du réseau de production de Signitic sont enregistrés. L'analyse des journaux est automatisée, dans la mesure du possible, pour détecter les problèmes potentiels et alerter. Tous les journaux de production sont stockés dans un réseau séparé dont l'accès est limité au personnel concerné.

Signitic a établi des politiques et des procédures pour répondre aux incidents potentiels. Les procédures définissent les types d'événements qui doivent être gérés via le processus de réponse aux incidents et les classent en fonction de leur gravité. En cas d'incident, les clients concernés sont informés par e-mail par notre équipe. Les procédures de réponse aux incidents sont testées et mises à jour au moins une fois par an.

SÉCURITÉ DU DÉVELOPPEMENT ET DES ÉQUIPES

Signitic s'assure que les vérifications des antécédents sont effectuées pour toutes les personnes travaillant chez Signitic avant de commencer à travailler. Ces activités sont réalisées dans les limites légales de la juridiction locale.

L'accès aux données des clients est réservé à un groupe restreint d'ingénieurs. En cas de licenciement ou de départ d'un employé, Signitic révoque tout accès au système dès que possible (toujours dans les 24 heures).

Les clients sont responsables du recrutement et de la formation de leur propre personnel, ainsi que de l'attribution des rôles corrects aux utilisateurs.

La sécurité opérationnelle chez Signitic commence par notre cycle de vie de développement sécurisé, qui garantit que toutes les nouvelles fonctionnalités publiées sont examinées avant la mise en production. Signitic réalise des tests d'intrusions en boîte blanche, grise et noire de façon annuelle.

SÉCURITÉ DE LA CHAÎNE D'APPROVISIONNEMENT

Les sous-traitants de Signitic (fournisseurs externes qui traitent les données des clients) sont évalués par l’équipe de Signitic chargé des risques et de la conformité afin de s'assurer qu'ils utilisent des contrôles de sécurité adéquats dans leurs environnements respectifs. Dans le cas où Signitic intègre un autre sous-traitant, le personnel de Signitic effectue des examens de sécurité dans le cadre du processus de diligence raisonnable. Signitic effectue des évaluations annuelles des risques des sous-traitants secondaires pour s'assurer qu'ils maintiennent de manière adéquate leur position en matière de sécurité et de conformité.

IDENTITÉ ET AUTHENTIFICATION

Signitic fournit aux clients des contrôles pour gérer leurs utilisateurs et les utilisateurs administrateurs.

Les clients qui contactent notre équipe de support client (assistance) sont automatiquement identifiés.

Les clients sont responsables de l'intégration et de la gestion de leur fournisseur d'identité (pour l'authentification unique et l’approvisionnement) ainsi que de l'attribution des rôles dans Signitic.

Signitic utilise le contrôle d'accès basé sur les rôles et chaque rôle a son propre niveau de permissions et d'accès.

Les clients sont responsables de la gestion des comptes administrateurs utilisés pour installer les applications connectées à Signitic.

Les clients sont responsables de l'intégration et de la gestion de leur fournisseur d'identité (pour l'authentification unique et l’approvisionnement) ainsi que de l'intégration et de l'exclusion des utilisateurs (membres et invités).

L'authentification unique (SSO) basée sur SAML permet aux membres d'accéder à Signitic via un fournisseur d'identité.

Pour les utilisateurs qui s'authentifient via SSO, votre fournisseur d'identité est responsable de l'application de la politique de mot de passe.

Pour les utilisateurs qui s'authentifient via une adresse électronique, le mot de passe doit comporter au moins huit caractères, une majuscule, une minuscule, un chiffre, un caractère spécial. Une protection contre les attaques de type “brute force” est appliquée à chaque tentative de connexion via mot de passe (bannissement temporaire puis définitif).

PROTECTION DE L'INTERFACE EXTERNE

Signitic configure toutes les listes de contrôle d'accès (ACL), les groupes de sécurité et les ports/protocoles/services pour qu'ils refusent tout par défaut et autorisent par exception. Cela garantit que Signitic n'expose que les interfaces appropriées nécessaires à l'utilisation du service par nos clients, sans élargir inutilement la surface d'attaque. Nous utilisons des scanners et des outils automatisés pour vérifier que ces ressources sont correctement protégées.

Les clients sont responsables de l'intégration et de la gestion de leur fournisseur d'identité (pour l'authentification unique et l’approvisionnement), de l'embarquement et du débarquement des utilisateurs (membres et invités) ainsi que de l'attribution des rôles dans Signitic.

ADMINISTRATION SÉCURISÉE DES SERVICES

Le concept de moindre privilège est appliqué à tous les systèmes de Signitic, car ils sont tous capables d'étendre les permissions en fonction d'un profil défini. Signitic utilise un modèle de contrôle d'accès basé sur les rôles (RBAC) pour attribuer l'accès aux utilisateurs du système.

Les employés de Signitic ayant accès à l'environnement de production, aux outils internes et aux données des clients font l'objet d'un examen semestriel pour s'assurer que leur accès est approprié en fonction de leurs rôles et responsabilités professionnels. Toute anomalie (utilisateurs n'ayant plus besoin d'accès) est traitée en conséquence.

L'accès à l'environnement de production de Signitic nécessite que les utilisateurs se connectent à un hôte via des clés SSH et une authentification à deux facteurs.

Les clients sont responsables de la gestion des comptes administrateurs ainsi que de la communication des conditions de service liées à l'accès à leurs utilisateurs.

Signitic+33 4 69 96 99 76hello@signitic.com
Créer un compte
Solutions
Pour la DSIPour le marketingPour le commerce
Intégrations
Google WorkspaceMicrosoft 365MarketplacevCard
A PROPOS
PositiveTarifsSécuritéDocuments légaux
RESSOURCES
LexiqueCalculer ROIGuidesCas clientsComparatifsAlternativesLivres blancs
Mentions légales
|
Conditions Générales
|
Cookies
|
DPA
|
Politique de confidentialité
|
État des services