La sécurité chez Axya

Contrôle d'accès

La conception de notre produit repose sur un contrôle d'accès basé sur les rôles pour une séparation adéquate des autorisations d'accès aux informations, c'est-à-dire que nous avons des autorisations strictes et distinctes pour les acheteurs, les vendeurs et les administrateurs.

Confidentialité

Toutes les données sur notre plateforme sont cryptées, qu'elles soient au repos ou en transit. Les données au repos sont cryptées à l'aide de l'algorithme de cryptage standard AES-256 (Advanced Encryption Standard), tandis que les données en transit sont protégées par SSL/TLS.

Disponibilité

Nous veillons à ce que la plateforme soit disponible 24 heures sur 24 et 7 jours sur 7 pour les personnes autorisées. Nous surveillons tous les aspects cruciaux susceptibles d'entraîner un temps d'arrêt et avons mis en place de multiples moyens par lesquels les alertes sont transmises, afin que des mesures appropriées soient prises pour éviter les temps d'arrêt. Nous utilisons également des technologies d'automatisation afin de disposer d'un pipeline complet de nouveaux déploiements pour les pires scénarios.

Autorisation d'accès

L'accès au cloud est réservé aux employés autorisés et formés. Nous suivons le principe du moindre privilège, c'est-à-dire que les employés reçoivent les autorisations minimales requises pour effectuer la tâche. Nous utilisons les services AWS et des centres de données situés dans la région du Canada sur plusieurs zones de disponibilité.

Sécurité des applications Web

Nous utilisons une stratégie de défense en profondeur pour protéger nos composants cloud hébergeant notre application et contenant les données des clients. Les multiples couches de défense se composent d'un pare-feu (WAF) qui a des règles pour la détection et la prévention de DDoS, XSS, injection SQL, inondation HTTP, blocage des scanners et des sondes, liste noire des IP malveillantes, etc., ensuite il y a des groupes de sécurité qui limitent l'accès aux ports critiques, des correctifs programmés pour les serveurs, etc.

Gestion des catastrophes et des incidents

Nous avons conçu notre technologie en tenant compte des possibilités de reprise après sinistre. Nous sauvegardons les données de nos clients en temps réel et toutes les sauvegardes sont cryptées. Nous avons également mis en place un système de protection contre la suppression accidentelle des données et pour garantir leur intégrité. Nous surveillons également en permanence notre infrastructure en nuage à l'aide de plusieurs outils tels que Cloudwatch, Prometheus, etc. En outre, nous avons également mis en place de multiples canaux pour communiquer les alertes, afin que les mesures correctives soient prises rapidement.

Développement sécurisé

Notre application est développée à l'aide de frameworks open-source sécurisés bien connus qui disposent de fonctionnalités permettant de mettre en œuvre des contrôles pour atténuer les risques tels que SQLi, XSS, CSRF, etc. répertoriés par l'OWASP. Nous disposons également de processus planifiés pour trouver et corriger les vulnérabilités des applications.

Environnements de test et AQ

Nous utilisons des environnements distincts pour les tests et la production. Avant le déploiement de toute nouvelle fonctionnalité en production, celle-ci est testée de manière approfondie sur plusieurs environnements et plusieurs séries de tests d'assurance qualité sont effectuées jusqu'à ce que des performances sécurisées satisfaisantes soient atteintes.

Formation

Tous les employés reçoivent une formation sur la sécurité dans le cadre du processus d'intégration et sont également formés régulièrement.

Politiques et confidentialité

Nous avons élaboré des politiques qui contribuent à réguler la sécurité globale de l'entreprise et qui sont revues et affinées chaque année. Tous les employés sont liés par l'accord de confidentialité.