Sécurité et conformité

Q: Quelles sont les certifications de sécurité de Redzone ?

Redzone est certifié SOC-2 Type II et utilise les contrôles de sécurité présents dans le cadre ISO27001. Nos fournisseurs d'hébergement cloud sont conformes aux normes SOC et ISO.

Q: Est-ce que Redzone est conforme au RGPD ?

Oui, Redzone respecte le RGPD et les exigences des États américains applicables en matière de notification des violations de données personnelles. En cas de violation de données personnelles, Redzone prendra des mesures pour enquêter, traiter et atténuer la violation conformément aux normes relatives aux incidents de sécurité de notre addendum sur le traitement des données.

Redzone s'engage à protéger les informations de ses clients. Nous sommes certifiés SOC-2 Type II et utilisons les contrôles de sécurité présents dans le cadre ISO27001. Nos fournisseurs d'hébergement cloud sont conformes aux normes SOC et ISO.

Redzone respecte le RGPD et les exigences applicables des États américains en matière de notification des violations de données personnelles. En cas de violation de données personnelles, Redzone prendra des mesures pour enquêter, traiter et atténuer la violation conformément aux normes « Incidents de sécurité » de notre addendum sur le traitement des données. Redzone informera les clients concernés d'une violation personnelle dans les délais requis par la loi et conformément à l'addendum sur le traitement des données. Aucune notification n'est requise pour un incident qui n'entraîne pas un accès non autorisé à des données personnelles ou à un équipement Redzone stockant des données personnelles.

Sécurité des applications

Redzone utilise des tests automatisés et des évaluations par les pairs pour garantir que son logiciel est développé de manière cohérente et sécurisée. Redzone maintient une mentalité de « virage vers la gauche » décrite dans un cycle de vie de développement logiciel qui peut être mis à disposition sur demande. Les contrôles inhérents réduisent les risques liés au cross-site scripting, à l'injection SQL et aux meilleures pratiques en matière de sécurité des API.

Les environnements de développement et de préparation sont logiquement séparés de la production. Les environnements clients ne sont jamais utilisés dans les environnements de développement ou de préparation.

Une formation annuelle sur le code sécurisé est obligatoire pour tous les ingénieurs logiciels. La formation est axée sur les 10 principaux risques de sécurité de l'OWASP.

Pour garantir que les failles de sécurité du logiciel Redzone sont continuellement identifiées et corrigées, Redzone a intégré la validation de sécurité à ses flux de travail d'intégration continue. L'intégration dans CI garantit que tout le code est scanné en permanence pour détecter les failles de sécurité avant son acceptation. Comme ce processus se déroule en permanence, les vulnérabilités nouvelles et existantes peuvent être identifiées. Avant la fusion, le système Redzone CI vérifiera le code et exécutera notre ensemble de tests standard.

Redzone travaille avec une organisation indépendante pour effectuer des tests d'intrusion annuels. Nous utilisons également un programme de bug bounty ouvert tout au long de l'année pour nous assurer que nous évaluons la sécurité de notre plateforme à partir des vulnérabilités les plus récentes. En cas de détection, l'équipe établit des priorités et travaille rapidement pour atténuer les problèmes potentiels identifiés par ces examens.

Redzone chiffre toutes les données au repos et en transit. Toute communication réseau externe utilise un cryptage HTTPS/TLS 1.2 ou supérieur en transit. Les données au repos sont chiffrées à l'aide du chiffrement par clé AES-256. Les mots de passe sont hachés à sens unique avec plusieurs salves.

Toutes les activités critiques dans Redzone sont enregistrées et surveillées afin de détecter les comportements anormaux. Nous capturons et stockons également les journaux à partir du code des applications et des systèmes des fournisseurs avec lesquels nous travaillons. Une fois capturés, les journaux internes et externes sont examinés via un logiciel et un SOC 24h/24 et 7j/7 pour détecter toute activité inhabituelle.

Sécurité opérationnelle

Redzone dispose d'un conseil de sécurité de l'information pour toutes les préoccupations de l'entreprise. Des représentants des différents départements de l'entreprise participent aux discussions sur les questions de sécurité et de conformité, tandis que les membres de la direction prennent les décisions de haut niveau nécessaires. L'équipe de sécurité interne dédiée de Redzone est soutenue par un SOC 24h/24 et 7j/7. Notre équipe de sécurité interne travaille dans toute l'entreprise pour maintenir des normes de sécurité strictes.

Tous les employés et sous-traitants de Redzone sont tenus de se conformer aux politiques et pratiques de sécurité internes. Nos politiques et procédures sont conçues pour garantir la conformité à la fois à la loi et aux meilleures pratiques en matière de sécurité. Nous révisons ces politiques chaque année pour nous assurer que nous sommes à jour. Tous les employés sont tenus de suivre une formation individuelle en matière de sécurité et des remises à niveau annuelles sur la formation en matière de sécurité.

Redzone restreint l'accès à ses systèmes et à son infrastructure selon le principe du moindre privilège. Ceci est revu au moins une fois par an, et l'accès est supprimé lorsque le personnel n'en a plus besoin.

Redzone applique une politique de mot de passe et une authentification multifactorielle pour protéger les systèmes sensibles. Redzone fournit à tous ses employés un gestionnaire de mots de passe de niveau professionnel et vérifie chaque année les mots de passe complexes correctement stockés dans un coffre-fort.

Redzone dispose de plans de continuité des activités et de reprise après sinistre. Redzone assure des sauvegardes quotidiennes de toutes les données. La sauvegarde validée la plus récente sera conservée en dehors de l'infrastructure Amazon Web Services (« AWS »). Redzone met également en œuvre une stratégie de sauvegarde continue au sein d'AWS qui permet une restauration ponctuelle à tout moment au cours des trente (30) derniers jours (à l'exception de la dernière heure). Outre ses pratiques de sauvegarde de routine, Redzone réplique également les données en direct dans au moins trois (3) zones de disponibilité AWS afin de toujours disposer d'une copie complète en direct de toutes les données en temps réel.

Redzone organise régulièrement des événements Red Team pour rester offensive face aux menaces de sécurité. Cela inclut la suppression aléatoire de l'accès, les tentatives de spear phishing internes, les campagnes de phishing et l'utilisation d'outils tels que Atomic Red Team.

Sécurité des produits

L'application Redzone prend en charge deux options d'authentification : l'authentification SSO d'entreprise (SAML 2.0) et l'authentification Redzone native.

Redzone permet un délai d'expiration de mot de passe configurable, conformément à la norme 21 CFR Part 11.

Il existe plusieurs niveaux d'autorisation d'administrateur distincts dans l'application Redzone Admin. Cela permet aux administrateurs d'avoir accès pour gérer uniquement les données et les paramètres spécifiques liés à leur rôle. Vous trouverez de plus amples informations dans la section Sécurité de la base de connaissances Redzone.

La gestion des appareils mobiles (MDM) est le processus de sécurisation des données d'entreprise en surveillant, gérant et sécurisant les appareils tels que les ordinateurs portables, les smartphones et les tablettes. L'application Redzone permet aux équipes informatiques de contrôler et de distribuer des politiques, des applications et des paramètres sécurisés aux appareils. De plus amples informations concernant les meilleures pratiques et les exigences d'accès minimales peuvent être disponibles sur demande.

Un DNS sécurisé ou des plages d'adresses IP spécifiques pour l'environnement cloud Redzone sont disponibles sur demande.