Mesures techniques et organisationnelles

Vue d'ensemble
Redzone s'engage à protéger vos données. Cette page détaille les mesures prises par Redzone pour protéger les données des clients. Cette page est destinée à fournir des informations techniques et organisationnelles générales, ainsi que les informations requises par l'article 32 du Règlement général sur la protection des données (RGPD) ou d'autres lois applicables.

Environnement d'hébergement
Les services logiciels Redzone sont sans serveur et hébergés sur le cloud Amazon Web Services (« AWS »). Les services logiciels sont pris en charge par l'infrastructure de centre de données redondante d'Amazon. L'infrastructure virtuelle AWS est conçue pour fournir une « haute disponibilité » optimale tout en garantissant une confidentialité et une séparation complètes des clients et un impact minimal des interruptions sur les opérations. L'infrastructure est conçue et gérée conformément aux principales réglementations, normes et meilleures pratiques du secteur, notamment SOC 1/SSAE 16, SOC 2, SOC 3, HIPAA, ISO 27001 et autres.
Les centres de données AWS sont situés géographiquement aux États-Unis et dans le reste du monde dans des « zones de disponibilité » afin d'assurer stratégiquement la redondance de l'infrastructure en cas de panne ou de catastrophe.

Infrastructures
Accès physique
Redzone est un environnement entièrement hébergé dans le cloud. Nous n'exploitons aucun routeur, équilibreur de charge, serveur DNS ou serveur physique. Notre liste de fournisseurs de cloud se trouve sur notre page de liste des sous-processeurs du site Web de Redzone.

L'infrastructure en tant que code
Redzone audite, teste et examine par des pairs toute modification apportée à notre code. Cela fournit un processus sécurisé et automatisé pour toutes les modifications appliquées. Redzone utilise les dépôts GitHub pour gérer l'ensemble du code source. Pour contrôler l'accès aux référentiels de code de Redzone, l'accès est activé à l'aide d'une solution SSO centralisée. Les politiques organisationnelles de GitHub sont également activées et obligent les ingénieurs à utiliser l'authentification à deux facteurs.

Administration du système
Redzone utilise AWS pour tirer parti d'un service cloud entièrement géré pour l'application Redzone. Nous analysons activement les vulnérabilités de sécurité et de configuration à l'aide d'un EDR. Si des problèmes sont détectés, ils sont corrigés en fonction des risques présentés.

Sécurité des applications
Développement de logiciels sécurisés
Redzone utilise des tests automatisés et des évaluations par les pairs pour garantir que son logiciel est développé de manière cohérente et sécurisée.

Examens du code
Les modifications apportées au code Redzone sont examinées par les pairs. Le code est ensuite testé dans un environnement de développement. Enfin, la demande du locataire est examinée par Apple pour vérifier sa conformité à ses exigences avant d'être acceptée et publiée via l'App Store.

Protections de connexion des utilisateurs finaux
Nous protégeons nos utilisateurs finaux contre les attaques en utilisant l'EDR combiné à des services SOC tiers. Toutes les informations sont cryptées au repos et en transit conformément aux meilleures pratiques du secteur.

Test de pénétration
Redzone travaille avec une organisation indépendante pour effectuer des tests d'intrusion annuels. Nous utilisons également un programme de bug bounty ouvert tout au long de l'année pour nous assurer que nous évaluons la sécurité de notre plateforme à partir des vulnérabilités les plus récentes. En cas de détection, l'équipe établit des priorités et travaille rapidement pour atténuer les problèmes potentiels identifiés par ces examens.

Chiffrement et transfert de données
Redzone chiffre toutes les données au repos et en transit. Toute communication réseau externe utilise le cryptage TLS en transit. Nous utilisons également les outils de cryptage de notre fournisseur de stockage de données dans le cloud pour crypter les données au repos.

Surveillance
Toutes les activités sur les systèmes de Redzone sont enregistrées et surveillées. Nous capturons et stockons également les journaux à partir du code des applications et des systèmes des fournisseurs avec lesquels nous travaillons. Une fois capturés, les journaux internes et externes sont examinés via un logiciel et un SOC 24h/24 et 7j/7 pour détecter toute activité inhabituelle.

Sécurité opérationnelle
L'équipe de sécurité
Redzone dispose d'une équipe de sécurité de l'information pour répondre à toutes les préoccupations de l'entreprise. Des représentants des différents départements de l'entreprise participent aux discussions sur les questions de sécurité et de conformité, tandis que les membres de la direction prennent les décisions de haut niveau nécessaires. L'équipe de sécurité interne dédiée de Redzone est soutenue par un SOC 24h/24 et 7j/7. Notre équipe de sécurité interne travaille dans toute l'entreprise pour maintenir des normes de sécurité strictes.

Les personnes et les processus
Tous les employés et sous-traitants de Redzone sont tenus de se conformer aux politiques et pratiques de sécurité internes. Nos politiques et procédures sont conçues pour garantir la conformité à la fois à la loi et aux meilleures pratiques en matière de sécurité. Nous révisons ces politiques au moins une fois par an pour nous assurer que nous sommes à jour.

Accès des employés aux données
Redzone restreint l'accès à ses systèmes et à son infrastructure selon le principe du moindre privilège. Ceci est revu au moins une fois par an, et l'accès est supprimé lorsque le personnel n'en a plus besoin.

Mots de passe et authentification
Redzone applique une politique de mot de passe et une authentification multifactorielle pour protéger les systèmes sensibles.

Continuité des activités et reprise après sinistre
Redzone dispose de plans de continuité des activités et de reprise après sinistre. Redzone assure des sauvegardes quotidiennes de toutes les données. La sauvegarde validée la plus récente sera conservée en dehors de l'infrastructure Amazon Web Services (« AWS »). Redzone met également en œuvre une stratégie de sauvegarde continue au sein d'AWS qui permet une restauration ponctuelle à tout moment au cours des trente (30) derniers jours (à l'exception de la dernière heure). Outre ses pratiques de sauvegarde de routine, Redzone réplique également les données en direct dans au moins deux (2) zones de disponibilité AWS afin de toujours disposer d'une copie complète en direct de toutes les données en temps réel.

Conformité
Vue d'ensemble
Redzone s'engage à protéger les informations de ses clients. Nous sommes certifiés SOC-2 Type II et utilisons les contrôles de sécurité présents dans le cadre ISO27001. Nos fournisseurs d'hébergement cloud sont conformes aux normes SOC et ISO.

Notification d'une violation de données personnelles
Redzone respecte le RGPD et les exigences applicables des États américains en matière de notification des violations de données personnelles. En cas de violation de données personnelles, Redzone prendra des mesures pour enquêter, traiter et atténuer la violation conformément aux normes « Incidents de sécurité » de notre addendum sur le traitement des données. Redzone informera les clients concernés d'une violation personnelle dans les délais requis par la loi et conformément à l'addendum sur le traitement des données. Aucune notification n'est requise pour un incident qui n'entraîne pas un accès non autorisé à des données personnelles ou à un équipement Redzone stockant des données personnelles.

Nous contacter
Si vous avez des questions ou des préoccupations, n'hésitez pas à nous contacter à l'adresse suivante :
support@rzsoftware.com