La sécurité chez Axya

Axya prend très au sérieux la sécurité et la confidentialité des données des clients.

Le logiciel est construit en considérant la sécurité comme une caractéristique préalable. Nous suivons les meilleures pratiques recommandées pour le développement web sécurisé, la gestion de l'infrastructure cloud et la formation des employés. Nous travaillons à l'obtention d'un certificat de conformité SOC2 pour illustrer et vérifier nos contrôles de sécurité en partenariat avec Drata.

Nous sommes fiers d'annoncer qu'Axya a terminé avec succès l'audit SOC 2 Type 1 et a reçu un rapport d'attestation irréprochable.

Cette évaluation rigoureuse et indépendante de nos pratiques, politiques, procédures et opérations de sécurité de l'information en place valide notre dévouement et notre adhésion aux normes SOC 2 en matière de sécurité.

Pour en savoir plus sur les normes SOC2, consultez cet article de blog.

Sécurité du Produit

Le produit est un mélange de caractéristiques de sécurité comme le contrôle d'accès basé sur les rôles, l'authentification forte, le cryptage et l'intégrité des données. En outre, nous nous assurons que le produit est disponible à tout moment. Les clients ont un contrôle total sur les données de la plateforme, ainsi que sur les personnes avec lesquelles les données peuvent être partagées et les autorisations nécessaires.

Contrôle d'accès

La conception de notre produit repose sur un contrôle d'accès basé sur les rôles pour une séparation adéquate des autorisations d'accès aux informations, c'est-à-dire que nous avons des autorisations strictes et distinctes pour les acheteurs, les vendeurs et les administrateurs.

Confidentialité

Toutes les données sur notre plateforme sont cryptées, qu'elles soient au repos ou en transit. Les données au repos sont cryptées à l'aide de l'algorithme de cryptage standard AES-256 (Advanced Encryption Standard), tandis que les données en transit sont protégées par SSL/TLS.

Disponibilité

Nous veillons à ce que la plateforme soit disponible 24 heures sur 24 et 7 jours sur 7 pour les personnes autorisées. Nous surveillons tous les aspects cruciaux susceptibles d'entraîner un temps d'arrêt et avons mis en place de multiples moyens par lesquels les alertes sont transmises, afin que des mesures appropriées soient prises pour éviter les temps d'arrêt. Nous utilisons également des technologies d'automatisation afin de disposer d'un pipeline complet de nouveaux déploiements pour les pires scénarios.

Sécurité du Cloud

Nous utilisons les services cloud AWS réputés et sécurisés. Notre infrastructure en nuage est configurée sur la base des pratiques sécuritaires recommandées par AWS.

Autorisation d'accès

L'accès au cloud est réservé aux employés autorisés et formés. Nous suivons le principe du moindre privilège, c'est-à-dire que les employés reçoivent les autorisations minimales requises pour effectuer la tâche. Nous utilisons les services AWS et des centres de données situés dans la région du Canada sur plusieurs zones de disponibilité.

Sécurité des applications Web

Nous utilisons une stratégie de défense en profondeur pour protéger nos composants cloud hébergeant notre application et contenant les données des clients. Les multiples couches de défense se composent d'un pare-feu (WAF) qui a des règles pour la détection et la prévention de DDoS, XSS, injection SQL, inondation HTTP, blocage des scanners et des sondes, liste noire des IP malveillantes, etc., ensuite il y a des groupes de sécurité qui limitent l'accès aux ports critiques, des correctifs programmés pour les serveurs, etc.

Gestion des catastrophes et des incidents

Nous avons conçu notre technologie en tenant compte des possibilités de reprise après sinistre. Nous sauvegardons les données de nos clients en temps réel et toutes les sauvegardes sont cryptées. Nous avons également mis en place un système de protection contre la suppression accidentelle des données et pour garantir leur intégrité. Nous surveillons également en permanence notre infrastructure en nuage à l'aide de plusieurs outils tels que Cloudwatch, Prometheus, etc. En outre, nous avons également mis en place de multiples canaux pour communiquer les alertes, afin que les mesures correctives soient prises rapidement.

Sécurité de l'Application

Notre application est développée selon les meilleures pratiques de sécurité recommandées pour le développement d'applications web. Nos développeurs sont formés à ces pratiques et sont régulièrement informés des nouvelles pratiques de sécurité. Nous prenons des initiatives telles que la réalisation de revues de sécurité des applications, la conduite de tests de vulnérabilité, etc. afin de garantir que l'application est exempte de bogues et sécurisée tout au long du cycle de vie du développement logiciel.

Développement sécurisé

Notre application est développée à l'aide de frameworks open-source sécurisés bien connus qui disposent de fonctionnalités permettant de mettre en œuvre des contrôles pour atténuer les risques tels que SQLi, XSS, CSRF, etc. répertoriés par l'OWASP. Nous disposons également de processus planifiés pour trouver et corriger les vulnérabilités des applications.

Environnements de test et AQ

Nous utilisons des environnements distincts pour les tests et la production. Avant le déploiement de toute nouvelle fonctionnalité en production, celle-ci est testée de manière approfondie sur plusieurs environnements et plusieurs séries de tests d'assurance qualité sont effectuées jusqu'à ce que des performances sécurisées satisfaisantes soient atteintes.

Sécurité des Ressources Humaines

Chez Axya, nous vérifions les antécédents des employés et nous nous assurons que tous les employés comprennent et pratiquent une bonne hygiène de sécurité.

Formation

Tous les employés reçoivent une formation sur la sécurité dans le cadre du processus d'intégration et sont également formés régulièrement.

Politiques et confidentialité

Nous avons élaboré des politiques qui contribuent à réguler la sécurité globale de l'entreprise et qui sont revues et affinées chaque année. Tous les employés sont liés par l'accord de confidentialité.

Contactez-nous

Si vous avez des questions concernant la sécurité de notre plateforme ou si vous pensez avoir trouvé une quelconque vulnérabilité sur notre application, veuillez nous contacter à l'adresse security@axya.co