Termly s'engage à répondre aux besoins de ses clients en matière de protection et de sécurité des données. Cette page présente un résumé de nos pratiques et de nos politiques, qui nous aident à assurer la sécurité de vos informations personnelles. Nous mettons tout en œuvre pour que nos systèmes et notre infrastructure soient protégés contre tout accès, perte, altération, divulgation ou destruction non autorisés ou accidentels.
Authentification
Une politique uniforme en matière de mots de passe a été mise en place pour les produits de nos clients :
Nous proposons également des options d'authentification SSO utilisant Google afin que les utilisateurs puissent activer l'authentification multifactorielle à l'aide de ces méthodes.
Les clients qui interagissent avec les services Termly via l'interface utilisateur doivent s'authentifier avant de pouvoir accéder aux données non publiques des clients.
Autorisation
Nous stockons les données des clients dans des systèmes de stockage sécurisés. Les utilisateurs ne peuvent pas accéder directement à l'infrastructure sous-jacente de l'application. L'accès aux données sensibles est basé sur les rôles (sur la base du "besoin de savoir"), uniquement à des fins spécifiques.
Séparation des environnements
Nous séparons les environnements de développement, de test et d'exploitation afin de minimiser les risques d'accès non autorisé ou de modification de l'environnement opérationnel.
Accès des employés
Un nombre limité de nos employés formés ont accès aux données des clients par le biais d'interfaces contrôlées. L'objectif de cet accès est de fournir une assistance efficace aux clients, de détecter les incidents de sécurité et d'y répondre, de résoudre les problèmes potentiels et de faciliter la sécurité des données.
Les employés se voient accorder un accès en fonction de leur rôle, et toutes les demandes d'accès sont enregistrées. Seuls quelques employés désignés ont accès à l'infrastructure. Termly Les employés n'ont pas d'accès physique aux bases de données des clients. Tous les employés reçoivent une formation à la protection de la vie privée et à la sécurité au cours de leur processus d'intégration et comme condition pour conserver leur emploi.
L'accès aux données critiques et sensibles est basé sur les rôles (sur la base du "besoin de savoir"), uniquement aux fins de l'exécution des fonctions des services, et est révoqué immédiatement pour les employés licenciés.
Sécurité physique et environnementale
L'infrastructure de nos produits est hébergée par des fournisseurs d'infrastructures externalisées à plusieurs locataires. Leurs contrôles de sécurité physique et environnementale font l'objet d'un audit portant sur un large éventail de normes et de règles de conformité.
Voir https://aws.amazon.com/compliance/ pour plus d'informations.
Traitement par des tiers
Afin de fournir à nos clients le service conformément à notre DPA, nous entretenons des relations contractuelles avec des fournisseurs. Cela inclut les accords contractuels, les politiques de confidentialité et les programmes de conformité des fournisseurs. La conformité des fournisseurs en matière de protection de la vie privée et de sécurité est vérifiée au cours de la procédure d'évaluation des fournisseurs.
Sécurité des réseaux
Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent des implémentations de nuages privés virtuels (VPC), l'affectation de groupes de sécurité et des règles de pare-feu traditionnelles. Nous avons mis en place une solution de pare-feu d'application Web (WAF) pour protéger les applications accessibles par l'internet. Le WAF est conçu pour identifier et prévenir les attaques contre les services réseau accessibles au public.
Les données sont cryptées pendant le transfert
Nous utilisons des protocoles de cryptage testés et éprouvés et désactivons les protocoles obsolètes et vulnérables. Tout accès au produit nécessite des connexions sécurisées.
Cryptage des données par mot de passe
Les données relatives aux mots de passe sont stockées sous la forme d'un hachage unidirectionnel salé utilisant des algorithmes modernes.
Détection
Nous avons conçu notre infrastructure de manière à enregistrer de nombreuses informations sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Des systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Notre personnel, y compris le personnel chargé de la sécurité, des opérations et de l'assistance, est réactif en cas d'incidents connus.
Réponse et suivi
Nous tenons un registre des incidents de sécurité connus qui comprend des descriptions, des dates et des heures d'activités pertinentes, ainsi que l'issue de l'incident. Les incidents de sécurité suspectés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou d'assistance, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, nous prendrons les mesures appropriées pour minimiser les dommages causés aux produits et aux clients ou la divulgation non autorisée. Nous informerons nos clients conformément aux conditions de service.
Disponibilité de l'infrastructure
Termly est hébergé sur une infrastructure en nuage AWS logiquement séparée et distribuée. Il nous arrive de subir des interruptions de service lorsque l'infrastructure AWS est en panne, mais celles-ci sont peu fréquentes et généralement limitées à une poignée de services spécifiques.
Tous les événements liés à l'indisponibilité du système et de l'infrastructure sont enregistrés et étudiés par les équipes chargées de l'infrastructure et des logiciels, et des mesures appropriées et commercialement raisonnables sont prises en réponse à chaque événement. L'état actuel, ainsi que les incidents récents, peuvent être consultés à l'adresse suivante : https://status.staging.termly.io/.
Termly utilise des services de protection contre les attaques par déni de service (DDOS) pour éviter les interruptions de service dues à des attaques par déni de service malveillantes.
Tolérance aux fautes
Les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et le basculement des protections en cas de défaillance importante du traitement. Les données des clients sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité.
Redondance et basculement transparent
Les instances de serveurs et les autres services qui soutiennent les produits sont conçus de manière à éviter les points de défaillance uniques. Cette conception aide nos opérations à maintenir et à mettre à jour les applications et le backend des produits tout en limitant les temps d'arrêt.
Continuité des activités
Termly maintient des politiques et des procédures pour s'assurer que Termly puisse continuer à remplir ses fonctions critiques en cas d'événement extraordinaire. Cela inclut la résilience des centres de données et les procédures de reprise après sinistre pour les données critiques et les fonctions de traitement.
Git est utilisé pour le contrôle de version des dépôts privés et publics. Toute modification de la branche principale doit être approuvée par l'équipe d'ingénieurs. Les modifications apportées au code sont testées à l'aide d'une série de tests automatisés et manuels. Cela comprend à la fois l'analyse statique du code et l'exécution de suites de tests unitaires, fonctionnels et d'intégration sur les artefacts. Les bases de données de vulnérabilités sont régulièrement examinées et évaluées pour détecter les nouvelles vulnérabilités et déterminer si elles s'appliquent à nos systèmes/fournisseurs.
Suite au GDPR et au CCPA, Termly s'engage à prendre toutes les précautions utiles afin de préserver la confidentialité et la sécurité des données et, notamment, de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, corruption, circulation ou accès non autorisés, ainsi que contre toute autre forme de traitement illicite ou de divulgation à des personnes non autorisées. En plus de la conformité réglementaire, afin d'attester de l'engagement de Termlyà respecter les normes rigoureuses de l'industrie, nous nous préparons actuellement au processus d'audit SOC2.