Livre blanc sur la securite

Claform Securite Apercu

Des enquêtes que les gens terminent

Un apercu complet de la maniere dont nous protegeons vos donnees a travers les couches d'infrastructure, d'application, d'authentification et operationnelles.

Synthese

La securite des la conception

Claform est une plateforme d'enquetes et de retours d'experience d'entreprise qui traite des millions de reponses dans plus de 190 pays via 8 canaux de distribution. La securite n'est pas une reflexion apres coup ; c'est un principe de conception fondamental integre dans chaque couche de notre architecture.

Notre philosophie de securite repose sur la defense en profondeur : de multiples controles qui se chevauchent et garantissent qu'aucun point de defaillance unique ne peut compromettre l'integrite ou la confidentialite des donnees. Nous combinons un chiffrement conforme aux normes du secteur, des controles d'acces stricts, une surveillance continue et des audits reguliers par des tiers pour maintenir la confiance des organisations qui traitent des donnees de retour d'experience sensibles.

Ce document fournit un apercu technique de nos controles de securite dans six domaines : infrastructure, application, protection des donnees, authentification, conformite et securite operationnelle.

Securite de l'infrastructure

Notre plateforme s'appuie sur une infrastructure cloud de niveau entreprise concue pour une haute disponibilite, une tolerance aux pannes et une defense en profondeur.

Hebergement cloud

Heberge sur AWS avec des deploiements multi-AZ dans des regions geographiquement distribuees. Les groupes d'auto-scaling maintiennent les performances en cas de charge maximale.

Isolation reseau

Virtual Private Cloud (VPC) avec sous-reseaux prives, passerelles NAT et groupes de securite stricts. Aucun acces direct a Internet pour les serveurs d'application.

Protection contre les attaques DDoS

AWS Shield Advanced avec le CDN CloudFront assure une attenuation DDoS multi-couches. La limitation du debit et les regles WAF bloquent le trafic malveillant avant qu'il n'atteigne la logique applicative.

Sauvegarde et restauration

Instantanes quotidiens automatises de la base de donnees avec une retention de 30 jours. Restauration a un instant donne dans les 5 dernieres minutes. Replication des sauvegardes inter-regions pour la reprise apres sinistre.

Securite de l'application

La securite est integree tout au long de notre cycle de developpement, de la revue de code a la surveillance en production.

Validation des entrees

Toutes les entrees utilisateur sont validees, assainies et parametrees a plusieurs niveaux. La verification stricte des types avec TypeScript previent des categories entieres de vulnerabilites a l'execution.

Couverture de l'OWASP Top 10

Protections systematiques contre tous les risques du OWASP Top 10, y compris l'injection, l'authentification defaillante, le XSS, le CSRF, la deserialisation non securisee et la mauvaise configuration de la securite.

Analyse des dependances

Analyse automatisee de toutes les dependances a chaque build. Snyk et GitHub Dependabot surveillent les vulnerabilites connues. Les CVE critiques sont corrigees sous 24 heures.

Tests d'intrusion

Tests d'intrusion annuels par des cabinets de securite certifies. Analyse continue et automatisee des vulnerabilites. Programme de bug bounty pour la divulgation responsable.

Protection des donnees

Toutes les donnees sont chiffrees au repos et en transit a l'aide d'algorithmes cryptographiques conformes aux normes du secteur et d'une gestion stricte des cles.

AES-256-GCM au repos

Toutes les donnees stockees, y compris les reponses aux enquetes, les fichiers televerses et les informations personnelles identifiables, sont chiffrees avec AES-256-GCM. Le chiffrement transparent des donnees au niveau de la base de donnees ajoute une seconde couche.

TLS 1.3 en transit

Toutes les communications reseau utilisent TLS 1.3 avec des suites de chiffrement robustes. Les en-tetes HSTS imposent le HTTPS. L'epinglage de certificats dans les SDK mobiles previent les attaques de type homme du milieu.

Gestion des cles

Les cles de chiffrement sont gerees via AWS KMS avec une rotation annuelle automatique. Les cles ne sont jamais stockees aux cotes des donnees. Des modules materiels de securite (HSM) protegent les cles maitresses.

Detection des PII

La detection automatisee des PII dans les reponses aux enquetes en texte libre identifie les noms, e-mails, numeros de telephone et adresses. Les donnees signalees peuvent etre automatiquement caviardees ou soumises a une revue.

Authentification et controle d'acces

Gestion des identites de niveau entreprise avec plusieurs facteurs d'authentification, des autorisations granulaires et un controle complet des sessions.

SSO SAML 2.0

Prise en charge native d'Okta, Azure AD, OneLogin, Google Workspace et de tout fournisseur d'identite SAML 2.0. Provisionnement just-in-time et mappage automatique des roles.

Authentification multifacteur TOTP

MFA par mot de passe a usage unique base sur le temps avec prise en charge des applications d'authentification. Peut etre imposee a l'echelle de l'organisation ou par role. Codes de recuperation avec stockage securise.

Definition de la portee des cles API

Cles API a granularite fine avec des autorisations par point de terminaison, des limites de debit, des restrictions IP et une expiration automatique. Piste d'audit complete de l'utilisation des cles.

Gestion des sessions et liste d'autorisation IP

Delais d'expiration de session configurables, limites de sessions simultanees, deconnexion forcee et liste d'autorisation IP geographique. Surveillance des sessions en temps reel et detection des anomalies.

Conformite et certifications

Nous concevons notre plateforme pour l'aligner sur les reglementations mondiales de protection des donnees afin de repondre aux exigences des secteurs reglementes.

RGPD avec accord de traitement des donnees

Conformite totale au RGPD, y compris les droits des personnes concernees (acces, rectification, effacement, portabilite), la gestion du consentement et un accord complet de traitement des donnees (DPA).

TCPA et CASL

Conformite integree pour les campagnes SMS et vocales avec le suivi du consentement TCPA, la gestion des desinscriptions et la conformite a la Canadian Anti-Spam Legislation (CASL).

SOC 2 (controles Type II)

Construite autour des principes de confiance SOC 2 Type II : securite, disponibilite et confidentialite. Les clients Enterprise peuvent demander notre documentation de securite actuelle sous NDA.

BAA HIPAA disponible

Accord de partenariat (Business Associate Agreement) disponible pour les organisations de sante. Traitement des donnees conforme a la HIPAA, controles d'acces et journalisation des audits pour les informations de sante protegees.

Securite operationnelle

La securite va au-dela de la technologie pour s'etendre a nos collaborateurs, nos processus et nos pratiques organisationnelles.

Verifications des antecedents des employes

Tous les employes font l'objet de verifications approfondies de leurs antecedents avant leur embauche. L'acces aux systemes de production necessite une habilitation de securite supplementaire.

Formation a la securite

Formation annuelle obligatoire de sensibilisation a la securite pour tous les employes. Les ingenieurs suivent des cours supplementaires de codage securise et des simulations d'hameconnage.

Reponse aux incidents

Plan documente de reponse aux incidents avec des roles definis, des procedures d'escalade et des modeles de communication. Exercices reguliers sur table et revues post-incident.

Divulgation des vulnerabilites

Programme de divulgation responsable avec des canaux de signalement clairs. Les chercheurs en securite peuvent signaler les vulnerabilites a security@claform.com avec une protection de type safe harbor.

Telecharger le livre blanc complet

Obtenez le livre blanc complet sur la securite au format PDF pour une consultation hors ligne, des audits de conformite ou pour le partager avec votre equipe de securite.

Telecharger le livre blanc sur la securite (PDF)

Besoin d'une analyse plus approfondie ?

Planifiez une revue de securite avec notre equipe. Nous nous ferons un plaisir de vous presenter notre architecture, de partager les rapports SOC 2 et de repondre a vos questionnaires de securite.