Sécurité et confidentialité chez Elevent

La sécurité est au cœur de ce que nous faisons—aider nos clients à améliorer leur posture de sécurité et de conformité commence par la nôtre.

Gouvernance

Les équipes de sécurité et de confidentialité d’Elevent établissent des politiques et des contrôles, surveillent la conformité à ces contrôles et prouvent notre sécurité et notre conformité aux auditeurs tiers.

Nos politiques sont basées sur les principes fondamentaux suivants :

  1. L’accès aux systèmes est limité uniquement à ceux qui ont un besoin professionnel de savoir et est provisionné selon le principe du moindre privilège.
  2. Les contrôles de sécurité incluent des contrôles indépendants et en couches selon le principe de défense en profondeur.
  3. Les contrôles de sécurité doivent être appliqués de manière cohérente dans toutes les zones de l’entreprise.
  4. La mise en œuvre des contrôles doit être continuellement évaluée et améliorée pour assurer la plus grande efficacité et protection.

Sécurité et conformité chez Elevent

Elevent est en cours d’attestation SOC 2 Type II. Notre certificat de rapport SOC 2 Type I sera disponible dans notre Centre de Confiance.

Elevent maintient la conformité avec :

  • SOC 2 Type II (en cours)

Protection des données

Données au repos

Toutes les données au repos contenant des données clients, en plus des buckets S3, sont cryptées au repos. Les charges de travail sensibles sont restreintes à ceux qui ont besoin de savoir et sont contrôlées. Cela garantit la meilleure protection possible des informations que nos clients nous confient. Les journaux sont également stockés dans le même environnement et protégés avec le même niveau de cryptage, garantissant les sauvegardes les plus possibles.

Données en transit

Elevent utilise TLS/SSL pour toutes nos données en transit. Les données en transit sont également soumises à un cryptage des points de terminaison et à des connexions sécurisées. Les transferts de données d’un endroit à un autre sont cryptés, et les informations des utilisateurs sont transmises en utilisant les normes de sécurité les plus élevées. Cela garantit que les données sont sécurisées lorsqu’elles se déplacent entre les environnements. Elevent utilise également Okta comme couche supplémentaire d’authentification.

Gestion des secrets

Les clés de cryptage sont gérées via AWS Key Management Service (KMS), nous permettant de gérer les modules de sécurité matériels, y compris la rotation des clés, dans une limite sécurisée. Nos clés sont stockées dans des HSM (Modules de Sécurité Matériels), garantissant que seul le personnel autorisé peut accéder aux clés. La rotation des clés est appliquée, et les contrôles d’accès sur ces clés de cryptage maintiennent leur sécurité. Les secrets des applications sont documentés et stockés en toute sécurité dans AWS Secrets Manager et Parameter Store, et l’accès à ces valeurs est strictement limité.

Sécurité des produits

Tests de pénétration

Elevent engage l’une des meilleures entreprises de tests de pénétration de l’industrie trois fois par an. Nos partenaires effectuent des tests à grande échelle contre les mesures de sécurité d’Elevent.

À chaque test, les produits et l’infrastructure interne d’Elevent sont soumis à des tests rigoureux. Toutes les conclusions sont corrigées et retestées, garantissant que tous les problèmes identifiés sont résolus et que les mesures de sécurité sont renforcées.

Analyse de vulnérabilité

Elevent scanne continuellement et de manière proactive les risques potentiels.

Analyse statique (SAST) du code avant les pull requests et de manière continue.

Analyse de la composition logicielle (SCA) pour identifier les vulnérabilités connues dans notre chaîne d’approvisionnement logicielle.

Test de sécurité des applications dynamiques (DAST) pour les applications en cours d’exécution.

Analyse de la vulnérabilité du réseau sur une base périodique.

Sécurité d’entreprise

Protection des points de terminaison

Une défense rigoureuse est gérée et intégrée de manière centralisée avec la gestion des appareils mobiles (MDM) et la gestion des points de terminaison. Les points de terminaison d’Elevent sont protégés par des systèmes anti-malware, MDM et MAM. L’IT d’Elevent gère un registre des configurations et des mises à jour, telles que le cryptage des disques, les configurations de verrouillage d’écran et les mises à jour logicielles.

Éducation à la sécurité

Nous fournissons une formation continue à la sécurité à tous les employés lors de l’intégration et chaque année par la suite. De plus, nous organisons des réunions hebdomadaires de sécurité, des newsletters de sécurité et des réunions trimestrielles de sécurité pour promouvoir et renforcer une culture de sécurité robuste. Tous les nouveaux employés reçoivent également une formation obligatoire lors des sessions d’intégration axées sur les principes et les protocoles de codage sécurisé.

L’équipe de sécurité d’Elevent effectue régulièrement des modélisations de menaces, avec des employés de différentes parties de l’organisation pour améliorer la sensibilisation à la sécurité et la collaboration.

Gestion des identités et des accès

Elevent utilise AWS Cognito pour une gestion sécurisée des identités et des accès. Nous imposons l’utilisation de l’authentification multi-facteurs pour tous les systèmes critiques, ainsi que des politiques de mot de passe. Les employés d’Elevent ont accès aux applications en fonction de leur rôle et de leurs responsabilités, et l’accès privilégié est encore plus restreint avec une authentification à deux facteurs.

Sécurité des fournisseurs

Elevent utilise une approche basée sur le risque pour la sécurité des fournisseurs. Les fournisseurs sont soigneusement vérifiés avant leur intégration et font l’objet d’une surveillance continue des pratiques de sécurité des fournisseurs.

  • Accès aux données des clients et de l’entreprise
  • Intégration avec des produits et services
  • Dommages potentiels à la marque Elevent

Une fois la cote de risque inhérente déterminée, l’équipe de sécurité examine la documentation de sécurité du fournisseur pour s’assurer que le fournisseur peut répondre aux exigences. Cela inclut l’évaluation des cotes de risque individuelles et des risques généraux pour l’environnement Elevent.

Confidentialité des données

Chez Elevent, la confidentialité des données est une priorité de premier ordre—nous nous efforçons d’être des gestionnaires dignes de confiance de toutes les données sensibles.

Politique de confidentialité et termes et conditions

Consultez la politique de confidentialité d’Elevent et nos termes et conditions.

Demandez une démonstration

© 2024 Elevent, Inc. Tous droits réservés.

Faites équipe avec des experts en commandite.

Communiquer avec nous