Politique de sécurité

PLATEFORME AZURE CLOUD

  • Hébergée dans les centres de données Microsoft du Royaume-Uni (Sud du Royaume-Uni et Ouest du Royaume-Uni)
  • Les centres de données sont conforment aux certifications ISO 27001, ISO 9001, HIPAA, FedRAMP, SOC 1 et SOC 2
  • Les adresses des centres de données Européens sont aussi disponibles
  • Traitement est restreint par la juridiction
  • Offre Saas hautement sécurisée via cloud

MULTI-LOCATION

  • Séparation des données des locataires à plusieurs niveaux
  • Chaque locataire utilise un domaine distinct
  • Le client garde contrôle sur son propriétaire

LE CLIENT CONTRÔLE L’ACCès à ses données

  • Permissions disponibles en fonction du rôle grâce au Tableau de Bord Administrateur
  • Intégration Optionnelle avec votre outil de Gestion d’Identité existant – exemple : Active Directory
  • Interface SAML 2.0 pour Identification Unique & Active Directory
  • Rapports de Contrôle d’Accès intégrés dans la plateforme

chiffrement des données & sécurité

  • Chiffrement des données des applications Mobile et Web
  • Nous utilisons les normes AES 256 et TLS 1.2
  • Les données sont cryptées, qu’elles soient au repos ou en transit
  • Le VPN n’a accès qu’aux systèmes de production
  • Les Tests d’Intrusion effectués régulièrement par une tierce partie aident à éviter les failles 

réglementation

  • UK Data Protection Act / Loi britannique sur la protection des données [both French and English names can be used]
  • Règlement Général sur la Protection des Données (RGPD)
  • Accord sur la Protection des Données avec les clients
  • Un Délégué à la Protection des Données en interne

disponibilité élevée et evolutivité

  • Plateforme groupée fournissant une grande disponibilité, avec une capacité de mise à l’échelle mondiale.
  • 99.99% de disponibilité contractuelle avec les crédits de service.
  • La disponibilité de notre plateforme est contrôlée par une tierce partie ne faisant pas partie de notre réseau.

détection des intrusions et attaques DSD

Les processus de détection et de prévention des intrusions sont effectués par nos fournisseurs d’hébergement Microsoft Azure, afin de garantir au mieux la sécurité de la plateforme StaffCircle. Les attaques de Déni de Service Distribué (DSD) sont modérées par notre fournisseur d’hébergement Microsoft Azure, afin de garantir au mieux la disponibilité de la plateforme StaffCircle.

acces logique et physique à la plateforme

  • L’accès logique aux systèmes de production StaffCircle est limité à nos équipes d’opération centrales et nous enregistrons et modérons l’accès aux systèmes régulièrement. Nos systèmes sont protégés par de nombreuses couches de sécurité, comme des passerelles d’accès VPN, et le personnel ne peut y accéder qu’en utilisant une authentification à deux facteurs.
  • L’accès physique à nos plateforme sur les deux centres de données Azure est strictement contrôlée par les équipes de sécurité Microsoft Azure.
  • Une disponibilité des services de la plateforme StaffCircle de 99.9% est garantie pour tous les clients de StaffCircle.

disponibilité, récupération et capacité de survie

  • Les services de la plateforme comprennent l’accès Mobile, Web et PC aux services de la plateforme pour les utilisateurs finaux et les administrateurs.
  • Les services de la plateforme sont contrôlés par un système automatisé externe et déclaré sur notre portail de services : https://status.staffcircle.com
  • Nos systèmes clés sont redondants, c’est-à-dire que si un composant du système défaille, il y en aura toujours un autre pour prendre le relais. Cela est accompli en utilisant une stratégie de regroupement ou de basculement. Chaque composant clé de notre plateforme est créé en utilisant ces stratégies, ce qui minimise l’impact de toute faille.
  • Nos plateformes sont sauvegardées sur une adresse externe au minimum  trois fois toutes les 24 heures. Dans l’éventualité très peu probable d’une faille catastrophique du système, d’une faille complète des couches de mémoire ou de la perte de l’entièreté d’un centre de données, nous enclencherons nos procédures de récupération qui impliquent le chargement de notre groupe DR et la réimplantation des données sauvegardées par l’une de nos 3 sauvegardes quotidiennes.

sécurité des applications et développement qualitatif

  • L’Applications et la Plateforme sont testées en externe (Pen Test) avec une certification annuelle.
  • Notre base de code comprend un haut niveau d’essais unitaires et nous effectuons des examens par des pairs pour les modifications de code.
  • Nous séparons notre développement, test, essai d’acceptation des utilisateurs (UAT) et environnement de production.
  • Nous mettons en place des prototypes automatisés et une intégration en continue.
  • Nous opérons dans un environnement en Agile Scrum.
  • Nous avons instauré la technologie « Secure Field », permettant d’utiliser l’authentification à deux facteurs sur les champs individuels.

protection des données et confidentialité

  • Nous adhérons strictement aux lois britanniques et européennes appropriées sur la protection des données, y compris les lois sur la GDPR.
  • Tous les employés signent un accord de confidentialité afin de protéger les données des clients.
  • Nous ne partageons aucune donnée client avec une tierce partie.