Sécurité

Infrastructure sécurisée

Nos services sont hébergés sur l’infrastructure Amazon Web Services (AWS). Nous n’hébergeons ni ne gérons nos propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques. Les centres de données Amazon bénéficient d’une sécurité assurée 24 heures sur 24 par du personnel, d’un contrôle d’accès biométrique, d’une vidéosurveillance et de verrous physiques. Tous les systèmes, appareils en réseau et circuits font l’objet d’une surveillance constante. Les installations AWS sont certifiées ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402 (anciennement SAS 70 Type II), PCI Niveau 1, FISMA Moderate et Sarbanes-Oxley (SOX). En savoir plus sur la sécurité AWS.

Hébergé aux États-Unis ou dans l’Union européenne – à vous de choisir

États-Unis – desservis par des centres de données et des sous-traitants situés aux États-Unis, nos principaux services étant hébergés en Virginie du Nord ; et l’Union européenne – desservie par des centres de données et des sous-traitants situés exclusivement dans les États membres de l’UE, nos principaux services étant hébergés à Francfort, en Allemagne.

Toujours crypté

Chiffrement en transit – Toutes les données envoyées vers ou depuis notre infrastructure sont chiffrées en transit conformément aux meilleures pratiques du secteur, à l’aide du protocole TLS (TLS 1.2 ou 1.3). Notre configuration SSL a obtenu la note de sécurité A+ de Qualys SSL Labs.

Chiffrement au repos – Toutes les données de nos utilisateurs sont chiffrées dans nos bases de données à l’aide de l’algorithme de chiffrement AES-256, qui a fait ses preuves.

Paiements sécurisés

Notre plateforme est conforme à la norme PCI DSS, ce qui garantit un traitement sécurisé des données de paiement grâce à des mesures de protection et de conformité de pointe. Nous ne traitons ni ne stockons les numéros de carte de crédit : les informations relatives à votre carte sont directement saisies et stockées en toute sécurité par Braintree (une société du groupe PayPal), notre prestataire de services de paiement. Braintree est certifié conforme à la norme PCI de niveau 1 et figure sur la liste des prestataires conformes à Visa® Global et MasterCard® (SDP). En savoir plus sur la sécurité et la conformité de Braintree.

Surveillance de la sécurité des applications

• Nous utilisons une solution de surveillance de la sécurité pour assurer la visibilité sur la sécurité de nos applications, détecter les attaques et réagir rapidement en cas de violation de données.
• Nous utilisons des technologies pour surveiller les exceptions et les journaux, ainsi que pour détecter les anomalies dans nos applications.
• Nous collectons et conservons des journaux détaillés afin de disposer d’une piste d’audit de l’activité de nos applications. Nos journaux sont régulièrement examinés par notre équipe de sécurité afin de détecter toute anomalie.
• Les incidents de sécurité sont consignés et des notifications sont envoyées en cas d’attaques critiques afin de permettre une intervention rapide.

Sécurité des applications

• Nous utilisons Amazon Web Application Firewall pour protéger nos utilisateurs contre un large éventail de vulnérabilités. AWS WAF intègre des protections contre les catégories d’attaques les plus critiques, telles que les injections SQL et les attaques de type « cross-site scripting ». Il bloque les attaques en temps réel et nous alerte lorsque des pirates commencent à mettre nos applications à rude épreuve.
• Nous utilisons des en-têtes de sécurité pour protéger nos utilisateurs contre les attaques. Nos services ont obtenu la note A+ sur SecurityHeaders.io.

Gestion des incidents

Les incidents de sécurité présumés, y compris toute faille de sécurité logique ou physique, font l’objet d’un ticket, sont suivis et résolus conformément à notre politique et à nos procédures d’intervention en cas d’incident. Lorsque la législation applicable l’exige, notamment la loi européenne sur la cyber-résilience, nous signalons les incidents de sécurité majeurs aux autorités compétentes (telles que l’ENISA) dans les délais prescrits. Si vous avez des questions ou si vous soupçonnez qu’un incident s’est produit, veuillez contacter security@teamretro.com.

Rapports sur les temps d’arrêt

Les clients professionnels peuvent choisir d’être informés de tout problème par e-mail. Notre plateforme d’hébergement permet généralement d’éviter toute interruption de service lorsque nous apportons des modifications à nos services. Toutefois, nous informerons les clients par e-mail au moins 24 heures à l’avance de toute interruption de service planifiée.

Votre vie privée est protégée

Vous restez propriétaire de vos données ; celles-ci ne sont accessibles qu’aux personnes avec lesquelles vous choisissez de les partager. TeamRetro (et l’équipe de GroupMap Technology) ne peut accéder à vos données que dans des circonstances limitées, par exemple lorsque la loi l’exige ou pour fournir une assistance technique. Vous trouverez tous les détails dans la Politique de confidentialité de TeamRetro.

Conservation et suppression des données

Nous conservons les données de nos utilisateurs pendant une période de 365 jours après la fin de leur période d’essai ou de leur abonnement. Toutes les données sont ensuite définitivement supprimées de l’application. Les utilisateurs peuvent demander la suppression de leurs données à tout moment en supprimant leur compte ou en contactant le service d’assistance de TeamRetro. Pour en savoir plus sur nos paramètres de confidentialité, consultez notre Politique de confidentialité.

Continuité des activités et reprise après sinistre

Nous effectuons des sauvegardes de toutes nos ressources critiques et procédons régulièrement à des tests de restauration afin de garantir une reprise rapide en cas de sinistre. Nous réalisons une sauvegarde complète des données de nos clients toutes les 24 heures. Les sauvegardes sont cryptées de manière sécurisée et conservées pendant 30 jours, après quoi elles sont détruites en toute sécurité. Nous avons mis en place des plans de continuité des activités et de reprise après sinistre, que nous révisons chaque année.

Codage sécurisé

Nos développeurs sont tenus de respecter notre politique de sécurité des applications, formellement documentée, ainsi que les meilleures pratiques et les référentiels en matière de sécurité (OWASP Top 10, SANS Top 25). Nous appliquons les meilleures pratiques suivantes afin de garantir le plus haut niveau de sécurité pour nos logiciels :

• Les développeurs participent régulièrement à des formations sur la sécurité afin de se familiariser avec les vulnérabilités et les menaces courantes
• Nous procédons à une analyse de notre code afin de détecter d’éventuelles failles de sécurité
• Nous mettons régulièrement à jour nos dépendances et veillons à ce qu’aucune d’entre elles ne présente de vulnérabilités connues
• Nous utilisons les tests de sécurité statiques (SAST) pour détecter les failles de sécurité élémentaires dans notre base de code
• Nous utilisons le test dynamique de sécurité des applications (DAST) pour analyser nos applications
• Grâce à Datadog, nous pouvons corriger plus efficacement les vulnérabilités mises en évidence par des tests de sécurité, des audits ou des programmes de divulgation des vulnérabilités. Nous sommes également avertis lorsque des composants d’application présentant des vulnérabilités connues sont utilisés en production (dépendances).

Analyse des vulnérabilités

TeamRetro fait l’objet d’analyses mensuelles, ainsi qu’après chaque mise à jour majeure, par intruder.io afin d’identifier les vulnérabilités potentielles au niveau de l’infrastructure, de la plateforme et des applications. Toute vulnérabilité identifiée est évaluée et corrigée conformément à nos politiques de sécurité des applications.

Tests d’intrusion

Nous faisons régulièrement réaliser des tests d’intrusion par des organismes indépendants afin de vérifier la sécurité de la plateforme TeamRetro. Nous corrigeons tous les problèmes critiques dans un délai de 48 heures et les problèmes de gravité élevée dans un délai de 7 jours.

Évaluations des risques

Une évaluation annuelle des risques est réalisée afin d’identifier les menaces et les vulnérabilités des systèmes TeamRetro. Des stratégies d’atténuation sont élaborées sur la base des résultats de cette évaluation.

Renforcement de la sécurité du système

CONTAINERISATION DES SERVEURS – TeamRetro utilise la containerisation des systèmes d’exploitation via AWS Fargate afin de garantir que l’accès aux données et au code de TeamRetro soit correctement restreint. Tous les services TeamRetro s’exécutent sur des ressources de calcul dédiées, isolées au sein de leur propre réseau virtuel.

SYSTÈMES DE FICHIERS ÉPHÉMÈRES DES SERVEURS – Les serveurs TeamRetro fonctionnent sur un système de fichiers éphémère, qui est restauré à partir d’une nouvelle copie du code le plus récemment déployé au moins une fois par jour, ou à chaque fois qu’une nouvelle version est déployée.

MISE À JOUR DU SYSTÈME – La mise à jour au niveau de la plateforme (système d’exploitation, bibliothèques système et services) des serveurs d’applications et de bases de données TeamRetro est effectuée de manière continue.

MISE À JOUR DES APPLICATIONS – La mise à jour des applications (bibliothèques d’applications, etc.) est assurée en continu par TeamRetro.

INFORMATIQUE – Tous les équipements de l’équipe (tels que les ordinateurs portables et de bureau utilisés pour le développement) sont équipés d’un système de stockage crypté et protégés par un logiciel antivirus à jour.

Journalisation complète

Nous conservons des journaux détaillés de toutes les transactions effectuées sur le système, avec un enregistrement spécifique des tentatives de connexion. Nos journaux sont régulièrement examinés par notre équipe de sécurité afin de détecter toute tentative d’accès non autorisé.

L’accès de notre équipe

• Nos procédures internes rigoureuses empêchent tout employé ou administrateur d’accéder aux données des utilisateurs. Nous ne pouvons accéder à vos données que dans des circonstances limitées, par exemple lorsque la loi l’exige ou pour vous fournir une assistance technique. Vous trouverez tous les détails dans notre Politique de confidentialité.
• Nos employés et nos sous-traitants signent un accord de non-divulgation et de confidentialité afin de protéger les informations sensibles de nos clients.
• Nos employés et nos sous-traitants font l’objet d’une vérification de leurs antécédents par un service spécialisé de premier plan.
• Le niveau d’accès de chacun de nos collaborateurs est déterminé en fonction des besoins, réexaminé périodiquement et révoqué s’il n’est plus nécessaire. Nous imposons une authentification multifactorielle pour tous les systèmes critiques de TeamRetro.
• L’authentification à deux facteurs est obligatoire pour accéder à l’administration.

Divulgation responsable

Nous encourageons toutes les personnes qui pratiquent la divulgation responsable et respectent nos politiques et nos conditions d’utilisation à participer à notre programme de signalement des vulnérabilités. Veuillez éviter les tests automatisés et n’effectuer des tests de sécurité qu’avec vos propres données. Veuillez ne divulguer aucune information concernant les vulnérabilités avant que nous ne les ayons corrigées. Les récompenses sont attribuées à notre discrétion, en fonction de la gravité de la vulnérabilité signalée. En savoir plus sur le programme de divulgation responsable de TeamRetro.