Présentation de la sécurité

introduction

Les informations et les systèmes d'information Vtiger sont des atouts précieux et doivent être protégés. Ceci est réalisé en mettant en place des cadres de sécurité appropriés pour gérer les risques pour Vtiger et assurer la continuité des activités en prévenant les incidents de sécurité et en réduisant leur impact potentiel.

Sécurité organisationnelle

Les politiques et procédures sont définies et mises en œuvre dans tous les domaines et processus métier. Les politiques sont utilisées pour tester les contrôles et pour protéger la confidentialité, la disponibilité et l'intégrité des informations et des ressources d'information de Vtiger.

Vérification des employés

Chaque employé est contrôlé avant de rejoindre officiellement l'entreprise. Vtiger emploie un fournisseur tiers externe pour effectuer la vérification des antécédents, ce qui comprend la vérification des antécédents judiciaires, des antécédents professionnels, le cas échéant, et des antécédents scolaires

Formation et sensibilisation

Un contenu de sensibilisation à la sécurité est créé et diffusé au sein de différentes équipes pour s'assurer que les employés de Vtiger sont au courant des politiques de sécurité de l'information, des menaces émergentes et des vecteurs d'attaque courants. En plus de ces sessions de sensibilisation à la sécurité sont menées pour sensibiliser aux menaces, aux pratiques de sécurité et aux politiques de l'entreprise.

Sécurité physique

La sécurité d'entreprise de Vtiger est responsable de la protection des actifs de Vtiger dans des emplacements physiques. Vtiger surveille les locaux avec des caméras de vidéosurveillance, des séquences de sauvegarde sont disponibles jusqu'à une certaine période, en fonction des exigences de cet emplacement. L'accès aux locaux est accordé sur utilisation de l'identification biométrique et des cartes-clés.

En cas de ressources cloud (comme AWS, DigitalOcean, OVH), les FAI cloud sont responsables de sécuriser les actifs et de maintenir des contrôles de sécurité appropriés. Plus de détails sur la façon dont les contrôles de sécurité du FAI peuvent être trouvés ici .

Sécurité opérationnelle

Ces pratiques se concentrent sur la surveillance des systèmes de communication en temps réel des menaces actives et des procédures pour protéger les systèmes d'information.

Journalisation et surveillance

L'infrastructure et les applications sont surveillées 24h / 24 et 7j / 7 avec des outils propriétaires et d'entreprise. Nous surveillons le trafic interne dans notre réseau et l'utilisation des appareils et terminaux. Nous enregistrons les journaux d'événements, les journaux d'audit, les journaux de pannes, les journaux d'administrateur et les journaux d'opérateur et ces journaux sont analysés pour détecter les anomalies et les incidents. Ces journaux sont stockés en toute sécurité dans une capacité isolée.

Évaluation de la vulnérabilité

Vtiger emploie également une équipe de sécurité pour découvrir et corriger les vulnérabilités de nos logiciels, ainsi que pour inciter nos membres de la communauté plus large de la sécurité des logiciels à identifier et signaler les vulnérabilités.

Sauvegarde

Vtiger prend chaque jour des sauvegardes de bases de données et de fichiers de chaque instance client. Cette sauvegarde est stockée sur un serveur distinct pour se protéger contre le risque de défaillance matérielle. Dans le cas d'une telle panne, l'accès aux données et aux services peut être restauré dans les 8 heures.

Correctifs de sécurité

Vtiger effectue une maintenance préventive pour se protéger contre toute vulnérabilité potentielle en déployant des correctifs au fur et à mesure qu'ils sont développés en interne ou autrement disponibles.

Sécurité des données

Les données sont essentielles à l'entreprise et pour maintenir la confidentialité, la disponibilité et l'intégrité des données à tout moment, nous suivons des directives strictes qui tournent autour de notre architecture, de notre développement et de nos opérations.

Pratiques d'ingénierie

Les équipes d'ingénierie suivent les directives de codage sécurisé, ainsi que l'examen / filtrage manuel du code avant son déploiement dans la production.

Les directives de codage sécurisé sont basées sur les normes OWASP et mises en œuvre en conséquence pour protéger contre les menaces courantes et les vecteurs d'attaque (comme l'injection SQL, les scripts intersites) au sein de la couche d'application.

Isolement des données

Vtiger suit une architecture multi-locataire, donc chaque instance a son propre espace distinct qui lui est alloué. Ces instances ne connaissent pas toutes les autres instances et s'exécutent donc séparément.

Chiffrement

En transit

Toutes les données transférées entre votre navigateur et les serveurs de Vtiger sont sécurisées avec la norme industrielle TLS 1.2 / 1.3. Cela inclut les applications Web, l'API, les applications mobiles et l'accès au client de messagerie IMAP / POP / SMTP.

Nous avons activé des configurations sécurisées telles que Perfect Forward Secret (PFS) et HTTP Strict Transport Security Header (HSTS) pour tout notre trafic Web, ce qui oblige le navigateur à se connecter uniquement via un canal de communication crypté.

Au repos

Les disques de stockage de tous les serveurs sont chiffrés à l'aide du chiffrement au niveau du disque.

Les données client utilisant des champs sensibles sont cryptées à l'aide de la norme de cryptage avancé 256 bits (AES), nous utilisons AWS Key Management Service (KMS) pour la gestion des clés.

Les sauvegardes sont chiffrées à l'aide d'AES-256 sur AWS S3.

Conservation et suppression des données

Nous conservons les données des clients tant qu'ils sont des abonnés actifs du service, en cas d'annulation ou d'inactivité, les règles suivantes garantissent l'élimination des données.

Pour les comptes d'essai qui ne démarrent pas un abonnement payant, les données sont supprimées 12 jours après la fin de l'essai.

Pour les comptes payés qui sont annulés, les données sont supprimées 90 jours après la date d'annulation du compte.

Pour les comptes payés qui ont un échec de paiement, le compte sera suspendu dans les 15 jours et fermé après 90 jours. Toutes les données seront supprimées 1 semaine après la fermeture du compte.

Pour les comptes gratuits, les données sont supprimées après 60 jours d'inactivité du compte.

Les données de facturation utilisées pour la génération de factures sont conservées pendant 7 ans à des fins commerciales.

Emplacement des données

Les serveurs de Vtiger sont situés aux États-Unis, dans l'Union européenne (Irlande, Francfort), en Australie, à Singapour, au Japon et en Inde. Le serveur sur lequel vos données sont stockées dépend de la région dans laquelle vous vous trouvez au moment où vous démarrez votre essai gratuit de Vtiger.

La gestion des incidents

Processus qui décrit les activités d'une organisation pour identifier, analyser et corriger les dangers afin de prévenir une réapparition future. S'il n'est pas géré, un incident peut dégénérer en situation d'urgence, de crise ou de catastrophe.

Rapports

Des équipes dédiées sont chargées d'examiner les différents incidents survenant dans l'environnement qui vous concerne, nous suivons les actions obligatoires de traitement et de signalement. Nous suivons la cause profonde du problème et prenons des mesures de précaution pour éviter cela à l'avenir. D'autres mesures et contrôles sont mis en place pour atténuer des situations similaires.

Notification de violation

Si une violation est découverte au niveau du service, Vtiger alertera ses clients et les autorités concernées dans les 72 heures suivant la découverte.