Sécurité

La confidentialité et la sécurité de vos données sont notre première préoccupation.

Dans le monde entier, des organisations tournées vers l'avenir, dans les secteurs privé et public, comptent chaque jour sur Holaspirit pour assurer la sécurité de leurs informations.

Nous comprenons l'importance de protéger ces données à tout prix, c'est pourquoi nous prenons très au sérieux la sécurité, la disponibilité, la confidentialité et, surtout, la transparence.

Ce document vous permettra de connaître tous les tenants et aboutissants de notre approche de la sécurité.

Si vous avez des questions, quelles qu'elles soient, veuillez nous contacter.

Sécurité des applications

Code d'application

Tout le code de l'application est stocké dans les dépôts de gestion de code Git sur le service SAAS Github.

Données clients

Toutes les données stockées sont considérées comme la propriété exclusive de votre organisation. Cela signifie que seuls les membres enregistrés -- faisant partie du compte de l'organisation -- possèdent le droit exclusif d'accéder aux données de l'entreprise et de les consulter.

Scellement des données

  • Le scellement des données est garanti par le logiciel
  • Notre API est réalisée en PHP sur le framework Symfony.
  • L'API s'appuie sur un ODM -- Doctrine -- pour accéder à la base de données. La brique Doctrine fournit un mécanisme dit de "filtre" pour la gestion des données multi-clients.

Suppression des données des clients

Le propriétaire de la plateforme peut supprimer toutes les données de la plateforme à tout moment. Nous supprimons les données immédiatement dans une tâche de fond Les sauvegardes des services Holaspirit sont supprimées dans un délai d'un an. Il en va de même lorsque vous décidez de supprimer l'ensemble de votre compte - nous ne stockons pas les données supprimées sur nos serveurs.

Restitution des données des clients

Le propriétaire de la plateforme peut exporter tous les membres, les rôles y compris toutes les informations et les politiques au format Excel. Il est également possible d'exporter des données en utilisant l'api Holaspirit.

Authentification de la plate-forme

  • Avant d'être stockés, tous les mots de passe des utilisateurs sont cryptés au moyen de l'algorithme Argon2i en combinaison avec un sel.
  • Applications frontales - site web, applications de bureau et applications mobiles - l'authentification à l'API pour accéder aux données se fait via le protocole OAuth 2.
  • Les administrateurs peuvent également intégrer leur plateforme Holaspirit avec différents fournisseurs de SSO : Google ou un service qui fournit une authentification unique SAML (comme OneLogin, Okta).

Responsabilité, traçabilité

Enregistrement de l'accès

Holaspirit fournit des journaux d'accès détaillés qui enregistrent chaque connexion établie à un compte. En outre, des attributs tels que le type d'appareil utilisé et l'adresse IP respective de la connexion sont également automatiquement enregistrés.

Gestion des journaux

Les logs des serveurs sont enregistrés chaque semaine puis sauvegardés pendant 1 an sur un serveur distant. Les logs d'accès aux serveurs sont envoyés en temps réel à la plateforme de données des logs d'OVH avec une rétention de 45 jours.

Les journaux d'application sont enregistrés sur 20 jours glissants sur les serveurs - c'est-à-dire que le 21e jour remplacera alors le journal le plus ancien. L'APM de NewRelic est utilisé pour analyser le comportement et corriger les anomalies logicielles potentielles. Nous travaillons sur Prometheus, Alertmanager, Grafana avec intégration de Pushover.

Gestion des incidents

Dans l'éventualité peu probable d'une alerte potentielle d'escalade, la situation sera traitée en fonction de son niveau de gravité. Veuillez noter que tout incident potentiel sera traité comme une priorité immédiate, quel que soit son niveau de gravité. En outre, tout dysfonctionnement potentiel du logiciel signalé par les utilisateurs est directement géré par notre équipe de support dédiée.

Enfin, dans un souci de transparence, tous les incidents concernant le statut d'Holaspirit sont partagés sur la page du statut d'Holaspirit.

Sécurité des infrastructures

Infrastructure

Datacenter

Notre service est hébergé et conservé en France, par le fournisseur de services Internet OVH. Le centre de données audité est considéré comme étant au plus haut niveau de sécurité, certifié SAS70 Type II, ISO27001, SOC 1, SOC 2 et SSAE16.

Serveurs

Les serveurs proviennent du nuage public d'OVH ; sous Debian Linux 9 (Stretch). Le logiciel Holaspirit utilise Nginx, PHP, MongoDB et ElasticSearch dans leur dernière version stable pour Debian. Tous les services Mongodb, Elasticsearch, PHP sont dans des conteneurs Docker spécifiques. Les données sont stockées sur des SSDs. Les serveurs sont systématiquement réinstallés et toutes les données des clients supprimées lorsqu'un serveur est remplacé chez notre hébergeur.

Séparation de l'environnement

Chaque nouvelle version d'Holaspirit est testée sur un environnement de test, complètement séparé de l'environnement de production. Les mêmes processus s'appliquent au déploiement et à l'installation des logiciels pour les deux environnements.

Postes de travail

Tous les postes de travail des employés sont équipés de systèmes d'exploitation Mac OS ou Linux afin de réduire les risques de virus.

Protection du réseau

Prévention des attaques hostiles

OVH propose un service de protection Anti-DDOS de premier plan. Les pare-feu sont configurés selon les normes industrielles approuvées - en conformité avec les règles UFW IPTABLES.

Cryptage du trafic

Holaspirit utilise les dernières suites de cryptage sécurisées et les protocoles recommandés pour crypter tout le trafic.

  • Le transfert des données entre Holaspirit et les postes de travail des utilisateurs est sécurisé par un certificat SSL AES-256 bits.
  • L'accès à distance aux serveurs par nos équipes d'infrastructure n'est possible qu'avec des clés au moyen de SSH. L'accès SSH par mot de passe est désactivé.

Nous suivons de près l'évolution du paysage cryptographique et nous nous efforçons d'effectuer des mises à niveau rapides pour répondre aux menaces émergentes dès qu'elles sont découvertes, tout en mettant en œuvre les meilleures pratiques au fur et à mesure de leur évolution.

Installations. Mises à jour. Correctifs.

Nos serveurs sont mis à jour en permanence avec les derniers correctifs de sécurité. Les installations de serveurs, les mises à jour et les déploiements de logiciels sont entièrement automatisés.

  • Les serveurs sont installés via des scripts Ansible. Les scripts sont testés régulièrement via une machine Vagrant.
  • Le logiciel est automatiquement déployé sous forme d'un paquet Debian envoyé par le service CircleCi lorsque différents tests automatiques ont été effectués. Chaque déploiement génère un artefact qui permet un rollback sur une version spécifique du logiciel. La mise en production est tracée

Sauvegardes

Base de données

Une sauvegarde quotidienne de la base de données est effectuée sur le serveur 7 jours glissants -- c'est-à-dire que le 8ème jour remplacera alors la sauvegarde la plus ancienne. Une autre sauvegarde est effectuée quotidiennement sur le cloud de stockage objet d'OVH, ce qui permet une rétention de 52 semaines.

Fichiers

Les fichiers clients sont répliqués quotidiennement vers la solution de stockage objet d'OVH. Ils sont sauvegardés sur des sites distants.

Gestion des incidents

Surveillance

Les problèmes matériels sont gérés par notre équipe d'infrastructure. L'escalade est gérée par deux outils essentiels.

  • Un service Pingdom qui surveille le site à travers différents endroits du monde
  • Un système d'alerte NewRelic pour la surveillance des logiciels

Le monitoring de Pingdom est accessible via holaspirit.statuspage.io.

Communication

La page holaspirit.statuspage.io est le principal moyen de communication que nous utilisons en cas d'incident majeur ou de maintenance sur la plate-forme.

Performance et disponibilité

La bande passante disponible est de 250 Mbps.
Les performances de la plateforme et sa disponibilité sont rendues publiques sur la page holaspirit.statuspage.io.

Sécurité physique

Personnel

Les membres du personnel d'Holaspirit ont des diplômes et des qualifications de haut niveau. Ils sont formés aux bonnes pratiques en matière de confidentialité et de sécurité.

Intervention du personnel externe

Seul le personnel autorisé d'OVH peut accéder au centre de données et à la connectivité du réseau.

Surveillance et contrôle d'accès

Nous limitons l'accès de notre personnel à certains services et données. Ainsi, seules les équipes chargées de l'infrastructure et du DevOps peuvent accéder à l'infrastructure de production. Chaque membre du personnel ne peut accéder qu'aux services qui sont réellement liés à son travail. De plus, les mots de passe d'accès de tous les services SAAS sont nominatifs.
Dans certains cas spécifiques et exceptionnels, une opération peut exiger qu'un nombre limité d'employés d'Holaspirit soit autorisé à accéder aux données des clients. Dans ce cas particulier, l'évaluation des données du client peut être requise.

Contactez-nous

Planifiez une démo gratuite et commencez à utiliser Holaspirit dès aujourd'hui.

Contactez-nous
Simplifiez votre organisation, améliorez l'agilité et l'efficacité de vos équipes.
Fonctionnalités
Méthode OKR
Projets et tâches
Réunions et boîte de réception
Organigramme dynamique
Solutions
Prise de décision facileUne organisation claireGestion de projetSoutenir la sociocratieSoutien à HolacracyÉquipes autonomes pour la perf
Ressources
Livres blancsVidéo et webinairesGlossaire
Plus d'informations
Base de connaissancesBlogÀ propos
Copyright © 2023 Talkspirit.
Politique de confidentialitéConditions d'utilisationConditions de vente