Nous prenons la sécurité et la confidentialité au sérieux, en adhérant à des normes de sécurité de niveau entreprise qui protègent les données de vos clients.
Politique de sécurité
Équipe en charge de la sécurité
Notre équipe surveille en permanence les notifications de sécurité de toutes les bibliothèques logicielles tierces et, si elles sont identifiées, nous appliquons immédiatement tous les correctifs de sécurité pertinents dès qu’ils sont publiés. Nos ingénieurs collaborent avec les équipes de produits pour s’assurer que l’ensemble du code et de l’infrastructure de TaxDome suit un processus de cycle de vie de développement sécurisé.
Infrastructure
Toutes les applications et les infrastructures de donnée de TaxDome sont hébergés sur Amazon Web Services (AWS), une plateforme d’informatique sur le cloud hautement évolutive intégrant des fonctions de sécurité et de protection de la vie privée de bout en bout.
Conçus dans une optique de redondance, de tolérance aux pannes et de reprise après sinistre, nos services sont répartis sur trois zones de disponibilité distinctes (centres de données). Toute notre infrastructure se trouve dans notre cloud privé virtuel (VPC) et l’accès à la production est limité au personnel d’assistance aux opérations. Cela nous permet de bénéficier d’une protection complète par pare-feu, d’adresses IP privées et d’autres fonctions de sécurité.
Pour en savoir plus sur la sécurité de AWS, veuillez vous référer à https://aws.amazon.com/security/.
Temps de fonctionnement et disponibilité des données
Nous nous efforçons d’atteindre un temps de disponibilité de 99,99 % pour tous nos produits et, pour ce faire, nous hébergeons nos systèmes de surveillance et de données en dehors d’AWS et utilisons une variété d’outils pour surveiller et signaler avec précision toute anomalie susceptible d’avoir une incidence sur la fourniture de nos services.
Tous nos services sont déployés dans au moins trois zones de disponibilité afin d’atténuer les problèmes de disponibilité d’un seul centre de données. Dans le cas d’une urgence qui empêcherait AWS de fournir des services à l’une des zones de disponibilité (AZ) d’une région, nous n’avons pas la possibilité de récupérer des données jusqu’à ce que le service soit rétabli dans nos AZ.
Dans le cas improbable où les données stockées dans la base de données de TaxDome seraient perdues ou endommagées, nous serions en mesure de les restaurer à partir d’une sauvegarde, avec une perte de données ne dépassant pas 5 minutes. Pendant cette période, nous ne prévoyons pas de plans d’urgence supplémentaires pour fournir des données en raison de la nature très courte du temps de récupération.
Données et centre de données
Toutes les données sont stockées aux États-Unis dans des centres de données multi-locataires conformes à la loi HIPAA et contrôlés par Amazon Web Services, et sont protégées par un accord d’utilisation des données signé avec AWS. Seules les personnes au sein d’Amazon qui ont un besoin professionnel légitime de disposer de ces informations connaissent l’emplacement réel de ces centres de données, et les centres de données eux-mêmes sont sécurisés par une variété de contrôles physiques afin d’empêcher tout accès non autorisé.
Application
Grâce à l’utilisation d’analyses automatisées et manuelles, ainsi qu’à l’examen constant de la sécurité des bibliothèques de tiers, nous nous assurons au mieux de nos capacités que nous livrons des produits exempts de défauts de sécurité et que les données sont traitées en stricte conformité avec les instructions de nos clients. Toutes les communications de l’application web de TaxDome sont conformes aux normes PCI et supportent TLS v1.2, et ne peuvent pas être vues par une tierce partie. Nous appliquons le même niveau de cryptage que celui utilisé par les banques et les institutions financières.
En outre, nous prenons en charge un certain nombre de fonctions axées sur la sécurité afin d’assurer la protection de vos données.
- Cryptage des données – Toutes les données des clients sont cryptées au repos, y compris : les adresses e-mail des utilisateurs, les mots de passe des utilisateurs, les clés API, y compris les clés de tiers stockées par Apps.
- Les données propres à l’entreprise sont séparées par une séparation logique au niveau des données, en fonction des autorisations d’accès et des rôles au niveau de l’application.
- Sécurité de l’API – Dans notre API v2.0, nous prenons en charge l’authentification OAuth/SAML et une interface utilisateur pour révoquer les jetons d’appareil.
Sécurité pour les e-mails
TaxDome supporte le cryptage TLS pour tous les courriels entrants et sortants. Pour une explication du fonctionnement du cryptage des courriels, nous vous recommandons cette FAQ de Google.
Pratiques techniques et opérationnelles
Nous concevons tous les services en gardant à l’esprit la haute disponibilité. Notre objectif est de fournir un temps de disponibilité de 99,99 % pour tous nos produits. Pour atteindre cet objectif, nous suivons un certain nombre de bonnes pratiques d’ingénierie.
- Infrastructure immuable – Nous n’apportons pas de modifications au code vivant ou aux serveurs en cours d’exécution dans la production. Le cas échéant, nous traitons nos logiciels et la configuration de notre infrastructure comme du code. Cela signifie que toutes les modifications sont soumises à un examen formel du code, à des tests automatisés et à un processus de déploiement automatisé.
- Intégration et déploiement continues – Nous utilisons des outils d’automatisation de l’intégration et du déploiement continus et de gestion de la configuration pour construire, tester et déployer le code plusieurs fois par jour.
- Réponse aux incidents – Notre équipe dédiée à l’infrastructure et à la sécurité est en rotation pour répondre immédiatement à tout incident de sécurité ou de disponibilité.
- Audits de sécurité – Régulièrement, une société de sécurité indépendante effectue un test de pénétration en boîte blanche sur notre système et notre base de code. Sur demande, les résultats du dernier audit peuvent être fournis aux clients actuels ou potentiels.
- Analyse PCI mensuelle – Nous effectuons une analyse PCI tous les mois afin de maintenir une conformité PCI de niveau 3, en adhérant à des normes industrielles strictes pour le stockage, le traitement et la transmission des informations de carte de crédit en ligne. En plus de crypter les informations de paiement des clients. Toute vulnérabilité découverte est traitée en priorité, résolue et déployée dès que possible après sa découverte.
- Permission et contrôles administratifs – TaxDome permet de définir des niveaux de permission pour tous les employés ayant accès à TaxDome. Nous suivons le principe du moindre privilège pour tout système ayant accès à des données personnelles et nous disposons d’outils automatisés de contrôle et d’enregistrement de l’accès, de la saisie, de la suppression et de la modification des données.
Dernière mise à jour October 25, 2023