Sécurité

Certifications de Sécurité

Zūm Rails réalise plusieurs audits récurrents pour assurer une conformité continue avec les normes de l'industrie et les meilleures pratiques.

Zūm Rails collabore avec un auditeur indépendant pour maintenir un rapport SOC 2, ce qui certifie objectivement nos contrôles afin de garantir la sécurité continue des données de nos clients.

SOC 2 est un cadre de reporting complet dans lequel des auditeurs tiers indépendants procèdent à une évaluation et à des tests ultérieurs des contrôles relatifs à la sécurité, à la disponibilité, à l'intégrité du traitement des informations et des systèmes, ainsi qu'à la confidentialité ou à la vie privée des informations traitées.

Zūm Rails a été audité par un évaluateur de sécurité qualifié PCI (QSA) indépendant et est certifié en tant que fournisseur de services PCI. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations de cartes de crédit maintiennent un environnement sécurisé.

Contrôles de Sécurité

Zūm Rails surveille en permanence plus de 140 contrôles de sécurité à travers l'organisation.

Les alertes automatisées et la collecte de preuves permettent à Zūm Rails de prouver de manière fiable son statut de sécurité et de conformité n'importe quel jour de l'année, tout en favorisant une mentalité axée sur la sécurité et une culture de conformité au sein de l'organisation.

Les clients de Zūm Rails peuvent demander un rapport détaillé contenant plusieurs contrôles audités, qui sont surveillés quotidiennement.

Politiques de Sécurité

Les politiques de sécurité de Zūm Rails sont gérées, communiquées et approuvées par la haute direction pour s'assurer que chacun connaît ses responsabilités en matière de sécurité. Les politiques sont auditées chaque année dans le cadre des certifications SOC 2 et PCI.

Le développement de code est réalisé via un processus documenté de cycle de vie de développement sécurisé (Secure Development Life Cycle). La conception de toutes les nouvelles fonctionnalités du produit est examinée par son équipe de sécurité. Zūm Rails effectue des revues de code obligatoires pour les modifications de code et des examens approfondis périodiques de la sécurité de l'architecture et du code sensible. Les environnements de développement et de test de Zūm Rails sont distincts de l'environnement de production.

Les ingénieurs participent à une formation annuelle sur le code sécurisé et tous les nouveaux membres de l'équipe doivent passer avec succès une vérification approfondie des antécédents judiciaires.

Surveillance des Applications

L'accès à toutes les applications de Zūm Rails est enregistré et audité. Les journaux sont conservés pendant deux ans et Zūm Rails maintient un plan formel de réponse aux incidents pour les événements majeurs, incluant la notification appropriée des utilisateurs.

Sécurité du Centre de Données et du Réseau

Zūm Rails héberge l'ensemble de ses logiciels dans les installations d'Amazon Web Services (AWS) au Canada. Amazon fournit une liste exhaustive d'assurances de conformité et réglementaires, y compris SOC 2 et ISO 27001.

Tous les serveurs de Zūm Rails sont situés au sein de leur propre cloud privé virtuel (VPC), protégés par des groupes de sécurité restreints n'autorisant que la communication minimale requise vers et entre les serveurs. Tous les accès sont protégés par un réseau privé virtuel (VPN).

Zūm Rails effectue des analyses de vulnérabilité réseau par des tiers chaque trimestre.

Sécurité des Données

Toutes les connexions à Zūm Rails sont chiffrées à l'aide de SSL, et tout le trafic externe et interne est chiffré à l'aide de protocoles TLS forts (1.2 et supérieurs). Toutes les données des clients sont chiffrées au repos et en transit.

Les mots de passe système et les données sensibles sont chiffrés.

Nous utilisons des systèmes de stockage de données conformes aux normes de l'industrie hébergés chez AWS.

L'accès aux données et les autorisations sont accordés selon le principe du besoin de savoir et sur la base du principe du moindre privilège. L'accès au système de production AWS est limité au personnel autorisé. Les clients de Zūm Rails peuvent configurer une durée de conservation des données et les données des clients peuvent être supprimées des systèmes de Zūm Rails avant la résiliation du contrat.

Sécurité des Applications

L'architecture et l'implémentation des applications web suivent les directives OWASP ASVS.

En plus du programme de tests internes de Zūm Rails, des tests d'intrusion applicative sont menés de manière annuelle par un tiers.

La journalisation d'audit permet aux administrateurs de voir quand les utilisateurs se sont connectés pour la dernière fois et quelles fonctionnalités ils ont utilisées.

Toute modification de compte ne peut être effectuée qu'en saisissant à nouveau les mots de passe, qui doivent être définis selon des critères de mot de passe fort. Toutes les API de Zūm Rails sont protégées de manière sécurisée et nécessitent un jeton d'authentification, qui expire après son utilisation.

Signaler un Problème ou un Bug

Si vous avez découvert un problème de sécurité ou un bug dont vous pensez que nous devrions être informés, veuillez nous envoyer un e-mail à l'adresse suivante : security@zumrails.com