Politique de sécurité

Audit et certification :

Vmaker travaille avec des sociétés tierces indépendantes pour se conformer à des pratiques de sécurité qui répondent constamment aux meilleurs standards de l'industrie. Nous sommes une entreprise certifiée ISO 27001:2013. Vmaker est disposé à partager la certification ISO sur demande raisonnable des clients.

Vmaker utilise la plateforme de paiement Stripe. Pour plus d'informations sur les pratiques de sécurité de Stripe, veuillez consulter https://stripe.com/docs/security/stripe.

Cadre de confidentialité :

Vmaker veille à ce que ses processus et procédures soient conformes au Règlement général sur la protection des données (RGPD) et à la Loi californienne sur la protection de la vie privée des consommateurs (CCPA). Pour plus de détails, veuillez consulter notre politique de confidentialité ici.

Tests de vulnérabilité :

Vmaker suit un processus structuré de développement et de publication du code. Dans le cadre de ce processus, tout le code est relu par des pairs. Vmaker met à disposition des ingénieurs des outils d'analyse de code spécialement conçus à cet effet. Vmaker effectue également des tests post-production continus basés sur les menaces en temps réel. Vmaker réalise des tests internes rigoureux et continus de la surface de son application via divers types d'exercices de tests de pénétration. De plus, Vmaker coordonne des tests de pénétration externes avec des testeurs certifiés et qualifiés.

Tests de pénétration réguliers et analyses de sécurité :

Le backend de Vmaker est régulièrement analysé à l'aide d'outils de surveillance et de détection des vulnérabilités reconnus dans l'industrie. De plus, une fois par an, nous effectuons un test de pénétration approfondi et détaillé avec des sociétés tierces spécialisées.

Formation à la sécurité pour l'équipe Vmaker :

Tous les membres de notre équipe suivent régulièrement une formation de sensibilisation à la sécurité afin d'accroître leur vigilance.

Chiffrement des données :

Les données en transit et au repos sont chiffrées. Nous utilisons AWS KMS (Key Management Service) pour toutes nos clés. La connexion de données à notre application est chiffrée et authentifiée à l'aide d'un protocole fort (TLS 1.2), d'un échange de clés robuste (ECDHE_RSA avec P-256) et d'un chiffrement puissant (AES_128_GCM). Nous utilisons un certificat SSL signé par GoDaddy. Toutes les commandes de chiffrement symétrique utilisées dans le HSA utilisent la norme AES (Advanced Encryption Standards), en mode Galois Counter (GCM) avec des clés de 256 bits. Les appels analogues pour le déchiffrement utilisent la fonction inverse. Le volume Amazon EC2 EBS est chiffré à l'aide d'AES-256-XTS. Cela nécessite deux clés de volume de 256 bits, soit l'équivalent d'une clé de 512 bits. La clé de volume est chiffrée sous une clé principale client et stockée avec les métadonnées du volume.

Formation / Sensibilisation :

Vmaker dispose d'un programme formel et documenté de formation à la sensibilisation à la sécurité lors de l'intégration et d'autres formations, qui ont lieu tous les six mois.

Réponse aux incidents et système de signalement :

Vmaker dispose d'un plan de réponse aux incidents documenté et formel. Vmaker effectue des tests annuels de ses processus d'urgence. Nos employés sont formés à la communication interne des incidents et nos clients sont informés des incidents affectant leur service par e-mail. Vmaker dispose d'un processus de gestion des incidents bien défini et rigoureux pour les événements de sécurité. Si un incident concerne les données d'un client, Vmaker informera le client et soutiendra les efforts d'enquête via notre équipe d'assistance dans les 72 heures. Après la résolution d'un événement de sécurité, nous enregistrons une analyse détaillée de la cause racine. Celle-ci est ensuite assimilée par Vmaker afin de détecter toute action future. Vmaker peut répondre à des demandes spécifiques de données de locataires lorsqu'elles sont formulées par les autorités. Les clients sont informés individuellement si un incident impacte leurs données.

Automatisation du processus de build :

Vmaker dispose d'un processus d'automatisation établi qui nous permet de déployer sans effort des modifications sur l'application et la plateforme Vmaker. Cela nous permet de traiter les problèmes de sécurité dès que possible.

Infrastructure Vmaker :

Vmaker fonctionne sur Amazon Web Services (« AWS ») ; toutes nos données et systèmes concernés sont hébergés sur AWS. Ainsi, l'infrastructure AWS et la sécurité réseau sont prises en charge par AWS comme détaillé dans le rapport SOC2 d'AWS. De plus, l'équipe de sécurité cloud de Vmaker surveille et révise périodiquement la configuration réseau et la sécurité de l'environnement concerné.

Les services et données de Vmaker sont hébergés sur Amazon Web Services (AWS) (us-west-2 et us-east-1). Les données des clients Vmaker sont stockées dans des bases de données multi-locataires. Nous appliquons des contrôles de confidentialité stricts pour garantir que les données d'un client sont isolées de celles des autres. Vmaker effectue des tests d'intégration pour vérifier nos contrôles de confidentialité. Ces tests sont exécutés à chaque mise à jour de notre code, et l'échec d'un seul test empêche la mise en production du nouveau code. Chaque système Vmaker utilisé pour traiter les données des clients est correctement configuré et mis à jour selon des méthodes commercialement raisonnables, conformément aux standards reconnus de renforcement des systèmes et aux pratiques de sécurité de l'industrie.

Transfert de données :

Les données de Vmaker sont chiffrées en transit à l'aide d'un chiffrement 256 bits. Nos API et points de terminaison d'application sont uniquement en TLS/SSL et obtiennent une note « A+ » lors des tests SSL Labs. Vmaker utilise des suites de chiffrement robustes et dispose de fonctionnalités telles que HSTS et Perfect Forward Secrecy entièrement activées. Vmaker chiffre également les données au repos à l'aide d'un algorithme de chiffrement AES-256 conforme aux standards de l'industrie.

Authentification :

Vmaker adopte le modèle de sécurité Zero Trust, basé sur un processus strict de vérification d'identité. Ce cadre dicte que seuls les utilisateurs et appareils authentifiés et autorisés peuvent accéder aux applications et aux données. En même temps, il protège ces applications et utilisateurs contre les menaces avancées sur Internet. Vmaker applique un modèle de sécurité Zero Trust. Être sur le réseau Vmaker n'offre aucun privilège ou ressource supplémentaire. Vmaker a mis en place une authentification à deux facteurs (2FA) et des politiques de mot de passe strictes sur GitHub, Google, AWS et Intercom pour garantir la sécurité de l'accès aux services cloud.

Autorisations et contrôles d'administration :

Vmaker permet de définir des niveaux d'autorisation pour tout employé ayant accès aux systèmes concernés. Les autorisations et accès peuvent inclure les paramètres de l'application, la facturation et les données utilisateur.

Application surveillée :

Vmaker s'assure que chaque action sur le réseau Vmaker est enregistrée et auditée. Les activités de contrôle en production sont également consignées.