La sécurité chez Axya

SSO

Chez Axya, nous préconisons et fournissons l'authentification unique SAML (SSO) comme méthode d'authentification pratique. Grâce au SAML SSO, les administrateurs des clients ont la possibilité d'autoriser l'accès des utilisateurs Axya sans effort, en s'appuyant sur leur fournisseur d'identité actuel ou leur solution SSO. Notre système s'intègre de manière transparente avec tous les principaux fournisseurs d'identité, ce qui garantit un processus de gestion d'accès efficace et sans problème.

Authentification

Axya utilise un service d'authentification et d'autorisation fiable et sécurisé pour protéger les données d'identité critiques. Les mots de passe sont hachés et salés en toute sécurité à l'aide d'algorithmes standard, tandis que la communication réseau est protégée par TLS avec cryptage AES.

Contrôle d'accès basé sur les rôles

Au cœur de la conception de notre produit se trouve une implémentation robuste du contrôle d'accès basé sur les rôles (RBAC), qui garantit une séparation méticuleuse des autorisations d'accès à l'information. Nous avons méticuleusement défini et appliqué des autorisations strictes pour les acheteurs, les fournisseurs et les administrateurs, garantissant que chaque rôle dispose de niveaux d'accès distincts et appropriés.

Autorisation d'accès

L'accès au cloud est réservé aux employés autorisés et formés. Nous suivons le principe du moindre privilège, c'est-à-dire que les employés reçoivent les autorisations minimales requises pour effectuer la tâche. Nous utilisons les services AWS et des centres de données situés dans la région du Canada sur plusieurs zones de disponibilité.

Sécurité des applications Web

Nous utilisons une stratégie de défense en profondeur pour protéger nos composants cloud hébergeant notre application et contenant les données des clients. Les multiples couches de défense se composent d'un pare-feu (WAF) qui a des règles pour la détection et la prévention de DDoS, XSS, injection SQL, inondation HTTP, blocage des scanners et des sondes, liste noire des IP malveillantes, etc., ensuite il y a des groupes de sécurité qui limitent l'accès aux ports critiques, des correctifs programmés pour les serveurs, etc.

Gestion des catastrophes et des incidents

Nous avons conçu notre technologie en tenant compte des possibilités de reprise après sinistre. Nous sauvegardons les données de nos clients en temps réel et toutes les sauvegardes sont cryptées. Nous avons également mis en place un système de protection contre la suppression accidentelle des données et pour garantir leur intégrité. Nous surveillons également en permanence notre infrastructure en nuage à l'aide de plusieurs outils tels que Cloudwatch, Prometheus, etc. En outre, nous avons également mis en place de multiples canaux pour communiquer les alertes, afin que les mesures correctives soient prises rapidement.

Développement sécurisé

Notre application est développée à l'aide de frameworks open-source sécurisés bien connus qui disposent de fonctionnalités permettant de mettre en œuvre des contrôles pour atténuer les risques tels que SQLi, XSS, CSRF, etc. répertoriés par l'OWASP. Nous disposons également de processus planifiés pour trouver et corriger les vulnérabilités des applications.

Environnements de test et AQ

Nous utilisons des environnements distincts pour les tests et la production. Avant le déploiement de toute nouvelle fonctionnalité en production, celle-ci est testée de manière approfondie sur plusieurs environnements et plusieurs séries de tests d'assurance qualité sont effectuées jusqu'à ce que des performances sécurisées satisfaisantes soient atteintes.

Formation

Tous les employés reçoivent une formation sur la sécurité dans le cadre du processus d'intégration et sont également formés régulièrement.

Politiques et confidentialité

Nous avons élaboré des politiques qui contribuent à réguler la sécurité globale de l'entreprise et qui sont revues et affinées chaque année. Tous les employés sont liés par l'accord de confidentialité.