Rock Robotic applique les meilleures pratiques de l'industrie pour assurer sa sécurité. Ce document décrit les mesures que nous prenons pour éviter que vos données ne tombent entre de mauvaises mains.
Plate-forme & Sécurité des données
Sécurité Internet
Tout comme la sécurité de notre réseau physique, la majorité de la sécurité de notre réseau virtuel est gérée par AWS. Amazon fournit des environnements complètement isolés dans lesquels nous déployons nos applications, et ils le font pour plus d'un million d'entreprises et d'organisations gouvernementales à travers le monde. Parmi les clients bien connus qui utilisent Amazon pour protéger leurs données figurent la NASA, Shell, Autodesk, British Gas, GE, Hitachi, Lafarge, Trimble et le département d'État américain. Pour plus d'informations sur les pratiques de sécurité des réseaux virtuels d'AWS, consultez leur livre blanc sur la sécurité.
En plus de la sécurité décrite ci-dessus, Rock Robotic met en œuvre plusieurs autres mesures de bonnes pratiques sur site et dans AWS pour garantir davantage la sécurité de vos données :
Authentification & Autorisation
Rock Robotic utilise Auth0 pour gérer notre système d'authentification et d'autorisation. Auth0 est certifié ISO27001, ISO27018, SOC 2 Type II, PCI DSS, EU-US Privacy shield et Gold CSA Star. Pour en savoir plus sur la plate-forme de sécurité d'Auth0, consultez leur papier blanc.
Le contrôle des changements
Nous maintenons toute la configuration dans le code pour maintenir la transparence en ce qui concerne les modifications sous-jacentes du réseau et de l'infrastructure. Il est vérifié dans le contrôle de version et toutes les modifications sont examinées pour la sécurité, l'évolutivité et la durabilité avant le déploiement. Nous testons également toutes les modifications de manière approfondie dans un environnement de préproduction dédié avant le déploiement dans l'environnement de production.
Sécurité du serveur
Correctifs de sécurité
Les serveurs de Rock Robotic sont automatiquement et continuellement mis à jour avec les dernières mises à jour de sécurité. Cela garantit que nous sommes en mesure de minimiser notre exposition aux vulnérabilités connues.
Cryptage de disque
Les serveurs de Rock Robotic utilisent l'utilisation du cryptage complet du disque pour s'assurer que les données qui y sont stockées ne sont pas accessibles à d'autres. Cela protège les données à la fois en cas d'accès physique aux serveurs et lorsque les disques sont éliminés.
Sécurité des applications
Le contrôle des changements
En tant qu'application Web, les modifications de code sont effectuées et déployées de manière continue. Aucune action n'est requise pour mettre à jour vers la dernière version au-delà de l'actualisation du navigateur. Afin de maintenir la sécurité des applications, la qualité du code et de minimiser l'introduction de bogues, nous suivons un cycle de vie de développement logiciel (SDLC) strict.
Conception & Développement
Les nouvelles fonctionnalités et les changements sont soigneusement architecturés et conçus. Une fois approuvé, le développement commence et tout le code est vérifié dans le contrôle de code source.
Examen
Tous les changements de code sont soumis à un examen par les pairs pour la qualité, les performances et l'exactitude. Le code est également revu du point de vue de la sécurité, conformément à la Les 10 principales directives de l'OWASP.
Version intermédiaire
Après la période d'examen, les modifications sont déployées dans un environnement intermédiaire où elles sont minutieusement testées par les développeurs et notre équipe d'assurance qualité. Nous effectuons à la fois des tests de fonctionnalité et de régression pour nous assurer que les modifications se comportent comme prévu et n'ont pas introduit d'erreurs ailleurs.
Production
Lorsque ce test est terminé et que tous les correctifs requis sont apportés, les modifications sont déployées pour une utilisation par le client. Des modifications importantes ou expérimentales peuvent être déployées en tant que fonctionnalités bêta pendant une durée limitée. Les utilisateurs auront la possibilité d'activer ou de désactiver ces fonctionnalités pendant cette période.
Après la publication
Les commentaires et les rapports de bogues sont recueillis auprès des clients, et les modifications et correctifs sont apportés le cas échéant.
Urgences
Dans de rares situations où des modifications doivent être appliquées rapidement pour corriger des bogues ou récupérer d'un incident de sécurité ou d'indisponibilité, certaines des étapes ci-dessus telles que les révisions de code, les tests et la version intermédiaire peuvent être ignorées. Si tel est le cas, toutes les modifications seront soumises à examen et à des tests une fois que les choses seront revenues à la normale.
Authentification & Autorisation
Mots de passe
La méthode de connexion principale de Rock Robotic se fait par adresse e-mail et mot de passe. Votre mot de passe n'est jamais stocké en texte brut. Tous les mots de passe sont stockés avec une sécurité de pointe chez Auth0.
Les mots de passe doivent également répondre à deux exigences de complexité : (1) comporter au moins huit caractères, (2) contenir une minuscule (a-z), une majuscule (A-Z) et un chiffre (0-9), (3) contenir l'un des caractères spéciaux suivants (!@#$%^&*), (4) ne pas être l'un des cinq mots de passe précédents, (4) ne doit contenir aucune partie de vos données personnelles et (5) ne doit pas exister dans ce liste des 10 000 mots de passe les plus courants.
Si vous oubliez votre mot de passe, il peut être réinitialisé en fournissant l'e-mail lié à votre compte. Un lien avec un jeton cryptographique est envoyé à l'adresse indiquée, vous permettant de réinitialiser votre mot de passe.
Authentification unique (SSO)
Les utilisateurs disposant de comptes Google, Facebook ou GitHub peuvent utiliser les boutons "Se connecter avec" respectifs pour se connecter à Rock Robotic pour une expérience de connexion unique sans aucune configuration supplémentaire.
Authentification multifacteur (MFA)
MFA est requis lors de la connexion. De plus, tous les employés de Rock Robotic doivent se connecter avec MFA pour garantir davantage la sécurité des données.
Biscuits
Une fois qu'un utilisateur est connecté, Rock Robotic stocke les jetons de session sous forme de cookies sécurisés HTTP uniquement sur le navigateur de l'utilisateur pour les identifier comme ayant accès. Ceci est en outre protégé par l'utilisation de jetons CSRF (cross site request forgery) et de politiques CORS strictes pour empêcher les demandes inter-domaines et l'utilisation non autorisée du cookie. Les cookies expirent après deux semaines, ce qui signifie que les utilisateurs sont automatiquement déconnectés.
Atténuation de la vulnérabilité
En plus des revues de code mentionnées ci-dessus, nous utilisons plusieurs autres mesures pour nous assurer que les vulnérabilités ne sont pas présentes dans l'application.
Assainissement des données
Les données saisies par l'utilisateur peuvent être stockées dans une base de données et restituées dans le navigateur. Cela peut ouvrir la voie à des attaques par injection SQL et cross site scripting (XSS). Toutes les données saisies dans les bases de données ou rendues au format HTML sont nettoyées de manière appropriée.
Journalisation et surveillance
Afin de fournir une piste d'audit et de permettre une enquête rapide sur les menaces ou les problèmes potentiels, toutes les demandes adressées aux services de Rock Robotic sont enregistrées en toute sécurité avec suffisamment d'informations pour recréer les événements.
Certaines informations pouvant être enregistrées incluent les adresses IP, les en-têtes de demande, les charges utiles de demande, les informations sur l'appareil, les codes d'état, les temps de réponse et les tentatives de connexion infructueuses. Nous n'enregistrons jamais de données confidentielles ou sensibles. Tous les journaux sont conservés et sauvegardés pendant toute la durée de leur utilité. De plus, les taux d'erreur et les mesures de performance sont surveillés en permanence pour vous garantir la meilleure expérience utilisateur final possible.
Disponibilité
AWS est bien connu pour sa stabilité et sa fiabilité. Ceci est soutenu par des accords de niveau de service qui garantissent la disponibilité et tiennent AWS responsable des temps d'arrêt. Néanmoins, des pannes peuvent survenir dans des circonstances exceptionnelles.
C'est pourquoi nous avons conçu tous nos services pour qu'ils soient hautement disponibles et résistants aux pannes. La disponibilité de tous les hôtes et applications est surveillée en permanence. En cas de panne, un repli automatisé est lancé. Cette stratégie atténue les défaillances au niveau de l'instance et du centre de données.
De plus, les services comprenant l'application sont surveillés à l'aide d'un outil externe qui surveille la disponibilité à partir de plusieurs endroits à travers le monde. Si une panne survient, un membre technique de notre personnel est immédiatement alerté et une résolution est prise le plus rapidement possible en fonction de la gravité de la panne. Rock Robotic s'efforce de maintenir une disponibilité annuelle de 99 %.
Évolutivité
Depuis le début, nous avons conçu la plate-forme robotique Rock pour répondre aux grandes exigences en matière de données qui accompagnent le traitement, l'hébergement, l'analyse et la diffusion de données cartographiques de qualité topographique à travers le monde. Pour ce faire, nous tirons principalement parti de l'évolutivité infinie et de la couverture mondiale d'AWS. Ceci, associé à une mise à l'échelle automatique basée sur la demande, au niveau des applications et de l'infrastructure, signifie que nous pouvons rapidement et facilement faire évoluer nos applications et l'infrastructure sous-jacente pour répondre à n'importe quel niveau de demande.
Sécurité des informations
Rock Robotic classe toutes les informations soumises par les utilisateurs comme confidentielles et essentielles. Nous utilisons plusieurs méthodes pour nous assurer que les données des clients sont toujours disponibles et sécurisées :
Stockage et transmission de données
Toutes les données soumises vers et depuis la plate-forme Rock Robotic sont cryptées et transmises en toute sécurité via HTTPS à l'aide de TLSv1 ou supérieur, avec un chiffrement de 128 bits ou supérieur, selon le client. Tous les transferts internes de données entre les services Rock Robotic sont également protégés par cryptage.
Une fois soumises, toutes les données sont stockées en toute sécurité dans AWS avec des contrôles d'accès empêchant tout accès non autorisé. Les compartiments S3 sont configurés pour être privés par défaut et des clés d'accès ou des URL pré-signées sont nécessaires pour accéder aux données. De même, les bases de données sont protégées par un mot de passe et ne sont accessibles qu'à partir d'adresses IP figurant sur la liste blanche. L'accès et les autorisations pour modifier ou supprimer des données ne sont délégués que si nécessaire et sur la base du principe du moindre privilège.
Toutes les données à traiter ou à afficher sont chargées dans un compartiment S3 situé dans la région AWS USA-Est. De là, les données sont transférées, avec cryptage, vers les serveurs AWS aux États-Unis pour traitement. Ces serveurs stockent ces données, avec cryptage, jusqu'à ce qu'elles ne soient plus nécessaires au traitement.
Toutes les sorties résultant du traitement sont poussées vers un compartiment S3 dans USA-Est. Les métadonnées et autres données saisies dans la plateforme sont stockées dans des bases de données MySQL situées dans la région US-East AWS.
Dans la mesure du possible, toutes les données sont chiffrées au repos, y compris dans les files d'attente, les bases de données, les volumes de données et S3 à l'aide du chiffrement AES256. Les clés de chiffrement sont créées, gérées et sécurisées à l'aide d'AWS Key Management Service (KMS). Nous effectuons automatiquement une rotation des clés chaque année.
Contrôles d'accès
En plus des contrôles d'accès au niveau du stockage susmentionnés, la plate-forme robotique Rock fournit des contrôles d'accès configurables par l'utilisateur au niveau de l'application. Nous refusons l'accès aux données d'un portail ou d'un site par défaut et demandons à un administrateur de portail ou à un autre utilisateur disposant de l'autorisation Gérer l'accès d'inviter un utilisateur à afficher les données d'un portail. Il est possible de spécifier des autorisations précises lors de l'octroi de l'accès, ce qui permet d'appliquer le principe du moindre privilège. Pour faciliter la gestion des utilisateurs et de leurs autorisations, ils peuvent être regroupés en rôles auxquels peuvent également être attribuées des autorisations.
reprise après sinistre
Dans le cas peu probable d'une perte de données client, des procédures et des mesures de protection sont en place pour assurer la récupération. La majorité des données client sont stockées dans le S3 d'Amazon, qui est évalué à 99,999999999 % de durabilité. De plus, la gestion des versions d'objet est activée par défaut sur tous les compartiments, ce qui garantit que même si un objet est supprimé ou écrasé, il peut être récupéré.
Les données client restantes sont stockées dans des bases de données sauvegardées en continu, permettant une récupération ponctuelle à la minute près.
De même, tous les services d'application sont déployés de manière hautement disponible avec une récupération automatique après les pannes au niveau de l'instance et du centre de données.
Confidentialité
Rock Robotic respecte toutes les lois locales sur la confidentialité, y compris le Règlement général sur la protection des données (RGPD), et s'engage à protéger vos données personnelles. Pour plus d'informations, Consultez notre politique de confidentialité.
Violations de données
En cas d'accès non autorisé à vos données, nous vous informerons dès que possible après avoir pris connaissance du problème.
Des questions? Veuillez contacter, support@rockrobotic.com pour plus d'informations.
Sécurité du serveur et du réseau
Rock Robotic héberge la majorité de ses applications sur la plateforme Amazon Web Services (AWS). AWS fournit une sécurité de centre de données de pointe conforme aux normes de l'industrie telles que SOC, PCI DSS et ISO 27001. Toute la responsabilité de la sécurité du réseau physique et du serveur pour ces parties de l'application est déléguée à AWS. Pour plus d'informations sur les pratiques de sécurité physique d'AWS, consultez leur livre blanc sur la sécurité.
Appareils du personnel
Tous les appareils utilisés par les membres de notre personnel doivent être protégés par mot de passe, avec verrouillage automatique après de courtes périodes d'inutilisation en plus du cryptage complet du disque. Le personnel est également tenu d'activer l'authentification multifacteur (MFA) sur tous les services qui la fournissent.
Sécurité physique