Nous prenons la sécurité et la confidentialité au sérieux, en respectant les normes de sécurité au niveau de l'entreprise qui protègent les données de vos clients.
Équipe de sécurité
Notre équipe surveille constamment les notifications de sécurité de toutes les bibliothèques logicielles tierces et, si nécessaire, nous appliquons immédiatement tous les correctifs de sécurité pertinents dès qu'ils sont publiés. Nos ingénieurs travaillent en collaboration avec les équipes produits pour s'assurer que tout le code et l'infrastructure de TaxDome suivent un processus de cycle de vie de développement sécurisé.
Infrastructure
Toutes les applications et l'infrastructure de données de TaxDome’sont hébergées sur Amazon Web Services (AWS), une plate-forme de cloud computing hautement évolutive avec des fonctionnalités de sécurité et de confidentialité intégrées.
Conçus dans un souci de redondance, de tolérance aux pannes et de reprise après sinistre, nos services sont répartis sur trois zones de disponibilité distinctes (centres de données). Toute notre infrastructure se trouve dans notre cloud privé virtuel (VPC), l'accès à la production étant limité au personnel d'assistance aux opérations. Cela nous permet de bénéficier d'une protection complète par pare-feu, d'adresses IP privées et d'autres fonctions de sécurité.
Pour plus de détails spécifiques concernant la sécurité AWS, veuillez vous référer à https://aws.amazon.com/security/.
Disponibilité des données
Nous nous efforçons d'obtenir un temps de fonctionnement de 99,99 % pour tous nos produits et, à cette fin, nous hébergeons nos systèmes de surveillance et de journalisation en dehors d'AWS et utilisons divers outils pour surveiller et signaler avec précision toute anomalie susceptible d'avoir un impact sur la prestation de nos services.
Tous nos services sont déployés dans au moins trois zones de disponibilité afin d'atténuer tout problème de disponibilité d'un seul centre de données. Dans l'éventualité d'une urgence qui empêcherait AWS de fournir un service à l'une des zones de disponibilité (AZ) d'une région, nous n'avons pas la possibilité de récupérer les données jusqu'à ce que le service soit rétabli dans nos AZ.
Dans le cas peu probable où les données stockées dans la base de données TaxDome seraient perdues ou endommagées, nous serions en mesure de les restaurer à partir d'une sauvegarde avec une perte de données ne dépassant pas 5 minutes. Pendant ce temps, nous ne prévoyons pas de plans d'urgence supplémentaires pour fournir des données, étant donné la brièveté du temps de récupération.
Données et centre de données
Toutes les données sont stockées aux États-Unis dans des datastores multi-locataires conformes à la loi HIPAA, dans des centres de données contrôlés par Amazon Web Services, et sont protégées par un BAA signé avec AWS. Seules les personnes au sein d'Amazon qui ont un besoin commercial légitime de disposer de ces informations connaissent l'emplacement réel de ces centres de données, et les centres de données eux-mêmes sont sécurisés par divers contrôles physiques pour empêcher tout accès non autorisé.
Vos données sont sauvegardées par jour
The data is hosted entirely on Amazon Web Services (AWS), which provides end-to-end security and has privacy features built in. Our team takes additional proactive measures to ensure the backups are continuous and data can be restored to any point within the backup retention period, multiple times and on multiple servers.
The storage location depends on your country: If you’re in Canada, your data is stored on the Canadian AWS. This way all local data storage regulations are met.
Application
Grâce à l'utilisation d'analyses automatisées et manuelles, ainsi qu'à un examen constant de la sécurité des bibliothèques de tiers, nous nous assurons au mieux de nos capacités que nous livrons des produits exempts de défauts de sécurité et que les données sont traitées dans le strict respect des instructions de nos clients. Toutes les communications de l'application web TaxDome sont conformes aux normes PCI et supportent TLS v1.2, et ne peuvent pas être vues par un tiers. Nous appliquons le même niveau de cryptage que celui utilisé par les banques et les institutions financières.
De plus, nous prenons en charge un grand nombre de fonctionnalités axées sur la sécurité pour aider à proteger vos données
- Cryptage des données — Toutes les données des clients sont cryptées au repos, notamment : les adresses électroniques des utilisateurs, les mots de passe des utilisateurs, les clés API, y compris les clés de tiers stockées par Apps.
- Les données propres à l'entreprise sont séparées par une séparation logique au niveau des données, en fonction des autorisations d'accès et des rôles au niveau des applications.
- Sécurité API - Dans notre API v2.0, nous prenons en charge l'authentification OAuth/SAML et une interface utilisateur permettant de révoquer les jetons de dispositif.
Sécurité des e-mails
TaxDome supporte le cryptage TLS sur tous les emails entrants et sortants. Pour une explication du fonctionnement du cryptage des e-mails, nous vous recommandons cet aperçu de Google.
Ingénierie et processus opérationnels
Nous concevons tous les services en tenant compte de la haute disponibilité. Notre objectif est de garantir une disponibilité de 99,99 % pour tous nos produits. Afin d'atteindre cet objectif, nous suivons un certain nombre de bonnes pratiques d'ingénierie.
- Infrastructure immuable - Nous n'apportons pas de modifications au code actif ou aux serveurs en production. Le cas échéant, nous traitons nos logiciels et la configuration de notre infrastructure comme du code. Cela signifie que toutes les modifications sont soumises à un examen formel du code, à des tests automatisés et à un processus de déploiement automatisé.
- Intégration et déploiement continues - Nous utilisons des outils d'automatisation de l'intégration et du déploiement continus et de gestion de la configuration pour construire, tester et déployer le code plusieurs fois par jour.
- Réponse aux incidents - Notre équipe dédiée à l'infrastructure et à la sécurité est sur un planning d'astreinte rotatif pour répondre immédiatement à tout incident de sécurité ou de disponibilité.
- Audits de sécurité - Régulièrement, une société de sécurité indépendante effectue un test d'audit de pénétration en boîte blanche sur notre système et notre base de code. Sur demande, les résultats du dernier audit peuvent être fournis aux clients actuels ou potentiels.
- Analyse PCI mensuelle - Nous effectuons une analyse PCI tous les mois afin de maintenir une conformité PCI de niveau 3, en respectant les normes industrielles strictes en matière de stockage, de traitement et de transmission des informations relatives aux cartes de crédit en ligne. En plus de crypter les informations de paiement des clients. Toute vulnérabilité découverte est traitée en priorité, résolue et déployée dès que possible après sa découverte.
- Permissions et contrôles administratifs - TaxDome permet de définir des niveaux de permission pour tous les employés ayant accès à TaxDome. Nous suivons le principe du moindre privilège pour tout système ayant accès à des données personnelles et nous disposons d'outils automatisés de contrôle et d'enregistrement de l'accès, de la saisie, de la suppression et de la modification des données.
