Mesures de sécurité

Dernière mise à jour: décembre 18, 2021

Protection des personnes

  • Confidentialité – Le personnel d'Appointlet est tenu de signer un accord de confidentialité et doit accuser réception et respecter les politiques internes d'Appointlet.
  • Éducation et sensibilisation à la sécurité – Le personnel d'Appointlet est tenu de suivre une formation sur la sécurité et la confidentialité lors de son embauche et chaque année par la suite.

Sécurité organisationnelle

  • Contrôles d'accès – Appointlet implémente la fourniture d'accès sur la base du principe du moindre privilège et des contrôles de suppression d'accès dès la résiliation. Ces contrôles sont revus à l'échelle de l'entreprise deux fois par an.
  • Authentification multi-facteurs (MFA) – Appointlet utilise une authentification multifacteur pour l'accès à l'ensemble de notre environnement de production et des systèmes internes contenant des données client.
  • mots de passe – Appointlet requiert et applique des exigences de complexité des mots de passe lorsque des mots de passe sont utilisés pour l'authentification (par exemple, connexion aux postes de travail). Ces exigences incluent des restrictions sur la réutilisation du mot de passe et une force de mot de passe suffisante.
  • Sécurité de l'information - Le personnel d'Appointlet est tenu de reconnaître et de se conformer aux politiques et normes de sécurité des informations d'Appointlet. Le non-respect est passible de mesures disciplinaires pouvant aller jusqu'au licenciement.
  • Surveillance et réponse aux incidents – Appointlet maintient des capacités de détection des incidents et un programme documenté de réponse aux incidents. En cas d'incident, Appointlet prendra rapidement des mesures raisonnables pour minimiser les dommages et sécuriser les données client.

Hébergement de données et pratiques

  • Cryptage conforme aux normes de l'industrie – Les données en transit sont cryptées à l'aide de TLS 1.2+ et les données au repos sont cryptées à l'aide d'AES-256. Appointlet hache les mots de passe des utilisateurs avec PBKDF2 avant de les stocker dans une base de données cryptée.
  • Conservation et suppression – Appointlet conserve les données de sauvegarde jusqu'à 7 jours après la suppression des données par un utilisateur final. Passé ce délai, les données sont définitivement supprimées.
  • Stockage - Appointlet stocke les données dans un environnement multi-locataire hébergé sur des serveurs AWS et isole logiquement les données client.
  • Centres de données – Appointlet héberge les données sur Amazon Web Services (AWS), qui maintient des certifications et des rapports de conformité de classe mondiale reconnus internationalement. AWS maintient des pratiques de sécurité de pointe, offre une protection environnementale et physique de pointe pour les services et l'infrastructure qui composent l'environnement d'exploitation d'Appointlet.
  • sauvegardes – Appointlet effectue des sauvegardes périodiques de la base de données. Les sauvegardes sont conservées pendant 7 jours pendant le cours normal des opérations.
  • réplication – Appointlet réplique également les bases de données et les sauvegardes de bases de données dans d'autres zones de disponibilité. Nous effectuons régulièrement des sauvegardes et des tests de restauration.
  • Redondance – L'infrastructure d'Appointlet a été conçue pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux anticipés. Cette conception permet à Appointlet d'effectuer la maintenance et les améliorations de l'infrastructure avec un impact minimal sur les systèmes de production.

Protection de réseau

  • Les pare-feu – Appointlet configure les pare-feu selon les meilleures pratiques de l'industrie et les ports et protocoles inutiles sont bloqués en configurant les groupes de sécurité AWS et NACL (Network Access Control Lists). Les configurations sont régulièrement surveillées à l'aide d'outils automatisés de gestion de la posture de sécurité du cloud.
  • Surveillance, journalisation et alerte – Appointlet enregistre les journaux d'application pour surveiller toute activité suspecte. Cela se fait à l'aide d'un outil SIEM (Security Incident and Event Management). Toutes les alertes sont triées par l'équipe de sécurité d'Appointlet et un incident de sécurité est déclenché après l'introspection du journal.

Sous-processeurs

  • Confidentialité – Appointlet prend les mesures appropriées pour garantir que notre posture de sécurité est maintenue en établissant des accords qui exigent que les sous-traitants et les organisations de services respectent les engagements de confidentialité.

Certifications et rapports de sécurité

  • Tests de pénétration – Appointlet s'engage avec des sociétés tierces indépendantes pour effectuer des tests de pénétration au niveau des applications et du réseau au moins une fois par an. Les résultats de ces tests sont partagés avec la haute direction, triés, classés par ordre de priorité et corrigés en temps opportun.
  • Programme indépendant de divulgation de sécurité – Appointlet gère un programme « Bug Bounty » pour les auditeurs de sécurité indépendants, conçu pour permettre aux professionnels de la sécurité de divulguer les problèmes de sécurité via les canaux appropriés afin que nous puissions les résoudre rapidement. Plus d'informations peuvent être trouvées ici.