Confidentialité et sécurité
Culture de la sécurité d’Earnix
La sécurité et la confidentialité des informations sont des valeurs fondamentales pour Earnix. Nous tenons à nous assurer que notre programme de sécurité reste à la fois à la pointe de la technologie et leader du secteur.
Nous nous adaptons et faisons face au changement avec une discipline en constante évolution, en continuant à nous assurer que nous protégeons la confidentialité, l’intégrité et la disponibilité des données de nos clients.
Cryptage
Earnix fournit une plateforme de Software-as-a-Service sécurisée, fiable et résiliente, qui a été conçue dès le départ sur la base des meilleures pratiques du secteur.
Earnix sécurise les données à l’aide d’algorithmes puissants et conformes aux normes du secteur :
Les données en transit sont cryptées à l’aide du protocole standardisé TLS 1.2 (Transport Layer Security).
Les données inactives sont cryptées à l’aide de la norme AES-256 (Advanced Encryption Standard 256 bits ).
Sécurité des applications
La confidentialité et la sécurité sont étroitement intégrées dans les solutions d’Earnix. Les principes et les aspects du développement sécurisé sont définis et intégrés dans les processus de développement de l’entreprise, y compris, notamment, les recommandations de développement sécurisé de l’OWASP top 10, du CIS et de l’AWS. Des procédures SSDLC (Secure System Development Life cycle) officielles sont en place.
Contrôle d’accès
La politique de droits d’accès et les contrôles d’accès sont mis en œuvre en fonction des rôles, du besoin de savoir et des principes du moindre privilège.
Des règles et des principes sont définis pour l’octroi des droits d’accès aux systèmes d’information ainsi que pour le contrôle de la connexion au réseau.
La solution Earnix prend en charge les méthodes d’authentification suivantes :
Authentification unique (SSO) avec le fournisseur d’identité (IdP) du client
Authentification multifacteur (MFA)
Auth0
Jeton JWT
Protection des données
Earnix met en place des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, les données sont traitées conformément aux obligations contractuelles d’Earnix. Cela s’applique à la quantité de données collectées, à l’étendue de leur traitement, à la durée de leur stockage et au contrôle d’accès selon les principes du besoin de savoir et du moindre privilège.
Earnix met en œuvre des mesures techniques et organisationnelles ainsi que des principes de traitement des données sensibles afin de mettre en œuvre et d’intégrer efficacement les mesures de protection nécessaires.
Test de pénétration
Earnix effectue des tests de pénétration tous les ans. Les tests couvrent à la fois l’infrastructure (par exemple, l’infrastructure AWS) ainsi que l’application Earnix elle-même. Ces deux processus sont menés par un fournisseur externe indépendant, spécialisé dans la cybersécurité et les technologies du cloud.
Haute disponibilité
La solide infrastructure cloud d’entreprise est utilisée de manière à assurer la haute disponibilité des composants critiques et à exploiter les vastes capacités de redondance de l’infrastructure disponibles dans les centres de données.
Sauvegarde, récupération après sinistre et continuité des activités
La solution Earnix est certifiée ISO 22301 (systèmes de gestion de la continuité des activités). Les livraisons dans le cloud sont gérées conformément aux pratiques de récupération après sinistre, qui utilisent de nombreuses fonctionnalités de la plateforme AWS pour la résilience, la sauvegarde et la haute disponibilité. La plateforme comprend plusieurs niveaux de redondance à tous les niveaux de l’infrastructure, notamment le réseau, l’électricité, l’accès des fournisseurs d’accès Internet, etc.