La sécurité est notre priorité
SOC2 TYPE 2
Chez Axya, nous prenons la sécurité et la confidentialité des données de nos clients très au sérieux.
Certification SOC2 Type 2
La plateforme est construite en considérant la sécurité comme une caractéristique préalable essentielle. Nous suivons les meilleures pratiques recommandées pour le développement web sécurisé, la gestion de l'infrastructure cloud et la formation des employés.
Nous sommes fiers d'annoncer qu'Axya a réussi avec succès l'audit SOC 2 Type 2 et a reçu un rapport d'attestation sans réserve.
Cette évaluation rigoureuse et indépendante de nos pratiques, politiques, procédures et opérations en matière de sécurité de l'information valide notre dévouement et notre conformité aux normes SOC 2 pour la sécurité.
Pour plus d'informations sur SOC2, veuillez consulter cet article de blog →.
Vous pouvez également explorer notre Politique de divulgation responsable →
Découvrez qui sont les chercheurs en sécurité exceptionnels présentés dans notre Temple de la renommée →.
Sécurité du produit
Chez Axya, nous sommes fiers de fournir une solution complète qui allie une sécurité robuste, une disponibilité ininterrompue et un contrôle personnalisable des données. Notre produit intègre un mélange de fonctionnalités de sécurité essentielles telles que le contrôle d'accès basé sur les rôles, une authentification renforcée et le chiffrement des données pour protéger vos informations.
Nous comprenons l'importance de la disponibilité de vos données, c'est pourquoi nous avons mis en place des mesures pour garantir que notre produit reste accessible en tout temps.
Vous pouvez compter sur Axya pour être là quand vous en avez besoin, vous permettant de vous concentrer sur vos tâches sans interruption. Nous croyons également en votre droit de contrôler vos données. Avec notre plateforme, vous avez la capacité de personnaliser et de définir comment vos données sont partagées et avec qui.
Nous vous donnons le pouvoir de prendre des décisions éclairées, d'octroyer des autorisations et de gérer l'accès selon vos besoins spécifiques.
SSO
Chez Axya, nous préconisons avec enthousiasme et fournissions l'authentification unique SAML (SSO) comme méthode d'authentification pratique. Grâce au SSO SAML, les administrateurs clients ont la capacité d'autoriser l'accès utilisateur à Axya sans effort, en utilisant leur fournisseur d'identité actuel ou la solution SSO. Notre système s'intègre de manière transparente avec tous les principaux fournisseurs d'identité, assurant ainsi un processus de gestion des accès fluide et efficace.
Authentification
Axya utilise un service d'authentification et d'autorisation fiable et sécurisé pour protéger les données d'identité critiques. Les mots de passe sont hachés et salés de manière sécurisée en utilisant des algorithmes standard de l'industrie, tandis que la communication réseau est protégée par TLS avec un chiffrement AES.
Contrôle d'accès basé sur les rôles
Au cœur de notre conception de produit se trouve une mise en œuvre robuste du contrôle d'accès basé sur les rôles (RBAC), assurant une séparation méticuleuse des autorisations pour accéder aux informations. Nous avons méticuleusement défini et appliqué des permissions strictes pour les acheteurs, les fournisseurs et les administrateurs, garantissant que chaque rôle dispose de niveaux d'accès distincts et appropriés.
Sécurité renforcée avec l'authentification MFA
Chez Axya, nous donnons la priorité à votre sécurité. C'est pourquoi nous offrons l'Authentification Multifacteur (MFA) aussi bien pour les utilisateurs que pour les administrateurs. La MFA ajoute une couche supplémentaire de protection en requérant une deuxième forme de vérification lors de la connexion. En activant la MFA, nous nous assurons que l'accès non autorisé est considérablement réduit, offrant ainsi une tranquillité d'esprit et une sécurité renforcée pour vos comptes et informations sensibles.
Confidentialité
Toutes les données sur notre plateforme sont chiffrées, qu'elles soient au repos ou en transit. Les données au repos sont chiffrées à l'aide de l'algorithme de chiffrement standard de l'industrie AES-256 (Advanced Encryption Standard) de 256 bits, tandis que les données en transit sont protégées par SSL/TLS.
Un temps de disponibilité fiable
Chez Axya, notre priorité est de fournir un service fiable à nos utilisateurs. Nous maintenons un temps de disponibilité de 99,8 % ou plus, ce qui garantit que notre plateforme reste accessible et disponible pour vos besoins. Vous pouvez compter sur Axya pour vous fournir un service cohérent et fiable, vous permettant de vous concentrer sur vos tâches sans interruption.
Sécurité du cloud
Chez Axya, nous donnons la priorité à la sécurité de vos données dans le cloud. Pour ce faire, nous avons choisi les services de cloud AWS, réputés et sécurisés, comme fournisseur d'infrastructure de confiance.
Notre environnement cloud est méticuleusement configuré conformément aux pratiques de sécurité recommandées par AWS. En adhérant à ces normes de pointe, nous renforçons la sécurité globale de notre plateforme, vous offrant ainsi une solution robuste et fiable basée sur le cloud.
Permission d'accès
Le cloud est accessible uniquement par les employés autorisés et formés. Nous suivons le principe du moindre privilège, c'est-à-dire que les employés se voient accorder les permissions minimales nécessaires pour réaliser la tâche. Nous utilisons les services AWS et les centres de données situés dans la région du Canada, répartis sur plusieurs zones de disponibilité.
Sécurité de l'application Web
Nous utilisons une stratégie de défense en profondeur pour protéger les composants de notre cloud qui hébergent notre application et contiennent les données de nos clients. Plusieurs couches de défense incluent un pare-feu (WAF) qui dispose de règles pour la détection et la prévention des attaques DDoS, XSS, d'injection SQL, de flooding HTTP, pour bloquer les scanners et sondes, mettre en liste noire les IP malveillantes, etc. Ensuite, il y a des groupes de sécurité qui limitent l'accès aux ports critiques, la planification des correctifs serveur, etc.
Gestion des sinistres et des incidents
Nous avons élaboré notre technologie en prenant en compte les possibilités de reprise après sinistre. Nous sauvegardons les données de nos clients en temps réel et toutes les sauvegardes sont chiffrées. Nous disposons également d'un système pour protéger contre la suppression accidentelle des données ainsi que pour garantir l'intégrité des données. Nous surveillons en continu notre infrastructure cloud à l'aide de plusieurs outils tels que Cloudwatch, Prometheus, etc. De plus, nous avons également mis en place plusieurs canaux pour communiquer les alertes, afin que les actions de remédiation soient prises rapidement.
Sécurité de l'application
Notre application est développée en suivant les meilleures pratiques de sécurité recommandées pour le développement d'applications web. Nos développeurs sont formés à ces pratiques et sont régulièrement sensibilisés aux nouvelles pratiques de sécurité. Nous avons des initiatives telles que la réalisation d'examens de sécurité des applications, la conduite de tests de vulnérabilité, etc. afin de garantir que l'application soit exempte de bugs et sécurisée tout au long de notre cycle de vie du développement logiciel.
Développement sécurisé
Notre application est développée en utilisant des cadres open-source sécuritaires et reconnus qui possèdent des fonctionnalités pour mettre en place des contrôles afin de mitiger les risques tels que SQLi, XSS, CSRF, etc. cités par OWASP. Nous avons également des processus planifiés pour la recherche et la correction des vulnérabilités de l'application.
Environnements de test et assurance qualité
Nous utilisons des environnements séparés pour les tests et la production. Avant le déploiement de toute nouvelle fonctionnalité en production, celle-ci est rigoureusement testée sur plusieurs environnements et de multiples séries de tests d'assurance qualité sont effectuées jusqu'à l'obtention de performances sécurisées satisfaisantes.
Sécurité des Ressources Humaines
Chez Axya, nous nous assurons d'effectuer des vérifications des antécédents des employés ainsi que de garantir que tous les employés comprennent et pratiquent une bonne hygiène de sécurité.
Formation
Tous les employés reçoivent une formation en sécurité dans le cadre du processus d'intégration et sont également formés sur une base régulière.
Politiques et confidentialité
Nous avons élaboré des politiques qui contribuent à réguler la sécurité globale de l'entreprise, lesquelles sont révisées et perfectionnées chaque année. Tous les employés sont liés par l'accord de confidentialité.
Une question?
Contactez-nous si vous avez des questions concernant la sécurité de notre plateforme ou si vous soupçonnez avoir découvert une vulnérabilité dans notre application.