Livre blanc sur la securite
Claform Securite Apercu
Des enquêtes que les gens terminent
Un apercu complet de la maniere dont nous protegeons vos donnees a travers les couches d'infrastructure, d'application, d'authentification et operationnelles.
Synthese
La securite des la conception
Claform est une plateforme d'enquetes et de retours d'experience d'entreprise qui traite des millions de reponses dans plus de 190 pays via 8 canaux de distribution. La securite n'est pas une reflexion apres coup ; c'est un principe de conception fondamental integre dans chaque couche de notre architecture.
Notre philosophie de securite repose sur la defense en profondeur : de multiples controles qui se chevauchent et garantissent qu'aucun point de defaillance unique ne peut compromettre l'integrite ou la confidentialite des donnees. Nous combinons un chiffrement conforme aux normes du secteur, des controles d'acces stricts, une surveillance continue et des audits reguliers par des tiers pour maintenir la confiance des organisations qui traitent des donnees de retour d'experience sensibles.
Ce document fournit un apercu technique de nos controles de securite dans six domaines : infrastructure, application, protection des donnees, authentification, conformite et securite operationnelle.
Securite de l'infrastructure
Notre plateforme s'appuie sur une infrastructure cloud de niveau entreprise concue pour une haute disponibilite, une tolerance aux pannes et une defense en profondeur.
Hebergement cloud
Heberge sur AWS avec des deploiements multi-AZ dans des regions geographiquement distribuees. Les groupes d'auto-scaling maintiennent les performances en cas de charge maximale.
Isolation reseau
Virtual Private Cloud (VPC) avec sous-reseaux prives, passerelles NAT et groupes de securite stricts. Aucun acces direct a Internet pour les serveurs d'application.
Protection contre les attaques DDoS
AWS Shield Advanced avec le CDN CloudFront assure une attenuation DDoS multi-couches. La limitation du debit et les regles WAF bloquent le trafic malveillant avant qu'il n'atteigne la logique applicative.
Sauvegarde et restauration
Instantanes quotidiens automatises de la base de donnees avec une retention de 30 jours. Restauration a un instant donne dans les 5 dernieres minutes. Replication des sauvegardes inter-regions pour la reprise apres sinistre.
Securite de l'application
La securite est integree tout au long de notre cycle de developpement, de la revue de code a la surveillance en production.
Validation des entrees
Toutes les entrees utilisateur sont validees, assainies et parametrees a plusieurs niveaux. La verification stricte des types avec TypeScript previent des categories entieres de vulnerabilites a l'execution.
Couverture de l'OWASP Top 10
Protections systematiques contre tous les risques du OWASP Top 10, y compris l'injection, l'authentification defaillante, le XSS, le CSRF, la deserialisation non securisee et la mauvaise configuration de la securite.
Analyse des dependances
Analyse automatisee de toutes les dependances a chaque build. Snyk et GitHub Dependabot surveillent les vulnerabilites connues. Les CVE critiques sont corrigees sous 24 heures.
Tests d'intrusion
Tests d'intrusion annuels par des cabinets de securite certifies. Analyse continue et automatisee des vulnerabilites. Programme de bug bounty pour la divulgation responsable.
Protection des donnees
Toutes les donnees sont chiffrees au repos et en transit a l'aide d'algorithmes cryptographiques conformes aux normes du secteur et d'une gestion stricte des cles.
AES-256-GCM au repos
Toutes les donnees stockees, y compris les reponses aux enquetes, les fichiers televerses et les informations personnelles identifiables, sont chiffrees avec AES-256-GCM. Le chiffrement transparent des donnees au niveau de la base de donnees ajoute une seconde couche.
TLS 1.3 en transit
Toutes les communications reseau utilisent TLS 1.3 avec des suites de chiffrement robustes. Les en-tetes HSTS imposent le HTTPS. L'epinglage de certificats dans les SDK mobiles previent les attaques de type homme du milieu.
Gestion des cles
Les cles de chiffrement sont gerees via AWS KMS avec une rotation annuelle automatique. Les cles ne sont jamais stockees aux cotes des donnees. Des modules materiels de securite (HSM) protegent les cles maitresses.
Detection des PII
La detection automatisee des PII dans les reponses aux enquetes en texte libre identifie les noms, e-mails, numeros de telephone et adresses. Les donnees signalees peuvent etre automatiquement caviardees ou soumises a une revue.
Authentification et controle d'acces
Gestion des identites de niveau entreprise avec plusieurs facteurs d'authentification, des autorisations granulaires et un controle complet des sessions.
SSO SAML 2.0
Prise en charge native d'Okta, Azure AD, OneLogin, Google Workspace et de tout fournisseur d'identite SAML 2.0. Provisionnement just-in-time et mappage automatique des roles.
Authentification multifacteur TOTP
MFA par mot de passe a usage unique base sur le temps avec prise en charge des applications d'authentification. Peut etre imposee a l'echelle de l'organisation ou par role. Codes de recuperation avec stockage securise.
Definition de la portee des cles API
Cles API a granularite fine avec des autorisations par point de terminaison, des limites de debit, des restrictions IP et une expiration automatique. Piste d'audit complete de l'utilisation des cles.
Gestion des sessions et liste d'autorisation IP
Delais d'expiration de session configurables, limites de sessions simultanees, deconnexion forcee et liste d'autorisation IP geographique. Surveillance des sessions en temps reel et detection des anomalies.
Conformite et certifications
Nous concevons notre plateforme pour l'aligner sur les reglementations mondiales de protection des donnees afin de repondre aux exigences des secteurs reglementes.
RGPD avec accord de traitement des donnees
Conformite totale au RGPD, y compris les droits des personnes concernees (acces, rectification, effacement, portabilite), la gestion du consentement et un accord complet de traitement des donnees (DPA).
TCPA et CASL
Conformite integree pour les campagnes SMS et vocales avec le suivi du consentement TCPA, la gestion des desinscriptions et la conformite a la Canadian Anti-Spam Legislation (CASL).
SOC 2 (controles Type II)
Construite autour des principes de confiance SOC 2 Type II : securite, disponibilite et confidentialite. Les clients Enterprise peuvent demander notre documentation de securite actuelle sous NDA.
BAA HIPAA disponible
Accord de partenariat (Business Associate Agreement) disponible pour les organisations de sante. Traitement des donnees conforme a la HIPAA, controles d'acces et journalisation des audits pour les informations de sante protegees.
Securite operationnelle
La securite va au-dela de la technologie pour s'etendre a nos collaborateurs, nos processus et nos pratiques organisationnelles.
Verifications des antecedents des employes
Tous les employes font l'objet de verifications approfondies de leurs antecedents avant leur embauche. L'acces aux systemes de production necessite une habilitation de securite supplementaire.
Formation a la securite
Formation annuelle obligatoire de sensibilisation a la securite pour tous les employes. Les ingenieurs suivent des cours supplementaires de codage securise et des simulations d'hameconnage.
Reponse aux incidents
Plan documente de reponse aux incidents avec des roles definis, des procedures d'escalade et des modeles de communication. Exercices reguliers sur table et revues post-incident.
Divulgation des vulnerabilites
Programme de divulgation responsable avec des canaux de signalement clairs. Les chercheurs en securite peuvent signaler les vulnerabilites a security@claform.com avec une protection de type safe harbor.
Telecharger le livre blanc complet
Obtenez le livre blanc complet sur la securite au format PDF pour une consultation hors ligne, des audits de conformite ou pour le partager avec votre equipe de securite.
Telecharger le livre blanc sur la securite (PDF)Besoin d'une analyse plus approfondie ?
Planifiez une revue de securite avec notre equipe. Nous nous ferons un plaisir de vous presenter notre architecture, de partager les rapports SOC 2 et de repondre a vos questionnaires de securite.