SÉCURITÉ

Politique de sécurité

Politique de sécurité

La politique de sécurité de New Wave Workspace couvre plusieurs aspects de la sécurité allant de la sécurité du personnel, la sécurité de l'accès physique, l'infrastructure informatique sécurisée, la relation sécurisée avec les fournisseurs basés sur le cloud, etc. New Wave Workspace exploite AWS, RDS MySQL, Office 365 et Google Apps, donc nous bénéficier des solutions hautement sécurisées, robustes et évolutives pour ajouter la fonctionnalité New Wave Workspace à nos clients.

Politique relative aux antécédents du personnel

Le personnel New Wave Workspace disposant d'un accès administrateur à notre solution doit être effacé des casiers judiciaires du pays d'origine et de tout autre pays où il résidait dans le passé. Notre politique de confiance et de vérification garantit que tout le personnel est à l'aise avec cette approche.

Les données d'utilisation incluent des éléments tels que :

New Wave Workspace applique une politique de mot de passe fort pour les systèmes mis à disposition des membres de son équipe. Les mots de passe sont réinitialisés et renouvelés automatiquement tous les six mois, ou immédiatement après le départ d'un membre de l'équipe de l'entreprise.

Politique d'infrastructure informatique

Les solutions New Wave Workspace sont des services basés sur le cloud et sont hébergées par des centres de données avec le plus haut niveau de certification, notamment ISO27001 et SOC. Pour plus d'informations sur la conformité, vous pouvez visiter AWS Security et AWS Compliance .

Suppression de données

Toutes les données client sont stockées sur les services AWS comme décrit sur leur  livre blanc sur la sécurité . Extrait ci-dessous : « AWS utilise les techniques détaillées dans le DoD 5220.22-M (« Manuel d'exploitation du programme national de sécurité industrielle ») pour détruire les données dans le cadre du processus de déclassement. » Pour plus d'informations sur le cycle de vie des données, reportez-vous à la documentation sur la politique de confidentialité de New Wave Workspace.

Développement d'applications

De nouvelles fonctionnalités logicielles, des correctifs, des corrections de bogues et des améliorations sont développés sur la base de notre système d'incidents de ticket et de notre feuille de route. Notre cycle de développement repose fortement sur les tests unitaires, qui obligent notre équipe de développement à automatiser la génération de bogues avant de les corriger et de réintégrer le code dans la bibliothèque. Cette technique nous donne l'assurance que les anciens bugs seront identifiés dans le développement futur. Les questions de sécurité clés concernant le développement comprennent :

  • Nous nous appuyons sur les tests unitaires

  • Seul le code approuvé par les tests unitaires peut être réintégré dans la bibliothèque source

  • Les données de production sont complétées séparément des données de développement

  • Tout le code est conforme à nos directives de politique de sécurité

Journaux d'accès

New Wave Workspace maintient des journaux d'accès et de sécurité automatiques. Tous les employés sont tenus d'utiliser des mots de passe forts. L'accès aux données client n'est autorisé qu'à un petit nombre d'employés, comme requis pour le support et la maintenance. L'accès est en outre limité à une petite liste blanche d'adresses IP via VPN et nécessite une authentification par clé publique.

Authentification

L'authentification par mot de passe est disponible et empêche les mots de passe faibles. New Wave Workspace prend également en charge ADFS et Single Sign-On. Grâce à votre fournisseur SSO existant, New Wave Workspace peut imposer un mot de passe fort.

Gestion des correctifs

New Wave Workspace s'appuie sur la technologie Amazon Web Services Patch Manager pour les correctifs et les mises à jour de son infrastructure principale et de sa base de données, qui incluent des règles d'approbation automatique des correctifs dans les jours suivant leur publication, ainsi qu'une liste de correctifs approuvés et rejetés.

Il existe trois catégories de correctifs :

 

• Mineur

• Majeur

• Sécurité

Des correctifs mineurs sont mis à jour régulièrement et automatiquement pour assurer la disponibilité et le bon fonctionnement de nos serveurs. Les correctifs majeurs sont mis en scène dans notre environnement de démonstration et programmés dans une fenêtre de mise à jour une fois que la mise à jour est approuvée par notre directeur technique et jugée appropriée pour le déploiement en production. Les correctifs de sécurité sont traités avec une priorité élevée pour assurer une fiabilité ultime et bénéficier d'un processus d'approbation accéléré aligné sur notre processus de gestion des incidents de sécurité décrit dans ce document ci-dessous.

Chaque client dispose de sa propre base de données relationnelle. Des techniques d'équilibrage de charge automatique et d'auto-réparation sont utilisées pour des performances améliorées sous AWS Elastic Compute Cloud (EC2) - des instances (serveurs) qui sont créées ou détruites sur la base d'une mise à l'échelle automatique en fonction de la demande et des besoins de réparation automatique. Dans cette architecture, le serveur grandit avec la demande au lieu de devenir plus lent et des instances supplémentaires sont créées pour une meilleure répartition de la charge sur toutes les instances du pool.

Politique de correctifs

  • Environnement de développement

    • Notre environnement de développement est corrigé et testé lors de sa sortie.

    • Mac OS X. Patché à la sortie

    • Logiciels, outils de développement et bibliothèques. Patché et testé à la sortie

    • Dépendances logicielles. Les versions majeures, mineures et ponctuelles sont corrigées et testées lors de la sortie

​​

  • Environnement de test

    • Notre environnement de test est corrigé et testé lors de sa sortie.

    • Instances d'équilibrage de charge. Créé à la volée pendant le déploiement pour gérer la charge et l'écosystème d'auto-guérison

    • Linux. Correctifs à jour appliqués à l'instanciation

    • Dépendances logicielles. Versions mineures et ponctuelles corrigées lors de l'instanciation

    • UNIT et QA testés pour l'incompatibilité

​​

  • Environnement de production

    • Nos correctifs et versions ponctuelles de l'environnement de production sont appliqués automatiquement

    • Instances équilibrées en charge. Créé à la volée pendant le déploiement et pour gérer la charge et l'écosystème d'auto-guérison

    • Linux. Environnement de test des correctifs vérifiés appliqués à l'instanciation

    • Dépendances logicielles. Les versions ponctuelles sont corrigées lors de l'instanciation, vérifiées et

      ajouté au pool d'instances en cas de succès

Sommaire.

 

  • Les systèmes d'exploitation sont toujours corrigés et testés lors de leur sortie

  • Les versions majeures des dépendances logicielles sont corrigées et testées en développement

  • Les versions mineures des dépendances logicielles sont corrigées et testées dans Development and Test

  • Les versions ponctuelles des dépendances logicielles sont automatiquement installées dans les tests de développement et la production. Les instances de production ayant échoué ne sont pas ajoutées au pool d'équilibrage de charge et le personnel technique est averti

  • Les instances utilisent un mécanisme de déploiement immuable qui garantit que les mises à jour des nouveaux correctifs et des versions mineures de la plate-forme sont effectuées de manière sûre afin de minimiser l'impact sur l'utilisateur final

  • Cela fournit la meilleure politique de correctifs tout en maintenant une disponibilité exceptionnelle

Journaux d'audit

New Wave Workspace synchronise toutes les données de calendrier avec votre système existant (par exemple Office 365) et peut continuer à utiliser les journaux d'audit générés pour surveiller l'activité entre New Wave Workspace et votre système. Les journaux d'activité sont disponibles en téléchargement sur simple demande auprès de votre interlocuteur commercial New Wave Workspace. La disponibilité du système et les mises à jour d'état sont également disponibles sur demande.

Nous exploitons également Amazon Web Services Cloud Trail pour surveiller et conserver en permanence l'activité du compte dans toute l'infrastructure AWS. Des informations supplémentaires sur Cloud Trail peuvent être trouvées  ici .

Adresses IP pour les listes blanches

Le service Web public New Wave Workspace utilise des adresses IP fixes pour la connexion au calendrier et les webhooks. Vous devrez ajouter ces adresses IP à la liste blanche des connexions entrantes de votre pare-feu. Cela permettra à New Wave Workspace de se connecter à votre système de calendrier.

Domaines d'application

Pour les réseaux qui mettent en liste blanche les connexions en cours, vous pouvez vérifier par rapport à notre DNS (par ex.

*.newwaveapps.com, *.newwaveworkspace.com).

Données collectées

Vous pouvez trouver un résumé détaillé des informations que nous collectons en exigeant notre politique de confidentialité.

Chiffrement

Les données client sont cryptées lorsqu'elles sont en transit et au repos. Toutes les connexions avec le service New Wave Workspace sont cryptées et servies via SSL/TLS 1.2 ou version ultérieure. Le service est accessible uniquement via HTTPS. Les données sont cryptées tout au long de leur trajet vers et depuis New Wave Workspace.

  • Espace de travail Nouvelle Vague -> Services Web Amazon

  • Requête REST -> Couche d'application New Wave Workspace

  • Couche d'application New Wave Workspace -> Service de gestion de clés -> Session RDS My SQL

  • Réponse API -> Espace de travail New Wave

Au repos, les données client sont cryptées à l'aide d'un système de gestion de clés qui enregistre automatiquement tous les accès. De plus, les mots de passe sont hachés à l'aide d'un cryptage unidirectionnel, qui les protège même dans le cas improbable d'un accès non autorisé à la base de données. Les informations d'identification de l'application sont stockées séparément de la base de code. Les clients s'authentifient avec New Wave Workspace à l'aide d'un système de jetons.

 

Chaque jeton a des étendues d'accès spécifiques, qui peuvent être révoquées individuellement sans affecter les autres sur la plate-forme. Nous sommes également en mesure d'invalider les tokens sur l'ensemble de la plateforme en cas d'incident de sécurité.

Notre utilisation d'Amazon Web Services s'appuie également sur AWS Key Management Service pour créer et contrôler les clés de chiffrement utilisées pour chiffrer toutes les données client que nous hébergeons. Les clés maîtresses créées sont protégées par des modules cryptographiques validés FIPS 140-2 .

Techniques de sécurité

  • Transmission SSL. Les données sont transmises vers et depuis le serveur via SSL (crypté).

  • Isolement de la base de données. Les données sont stockées dans une base de données distincte par client.

  • Mots de passe hachés. Les mots de passe sont hachés à l'aide de bcrypt.

  • Pare-feu. La solution fonctionne dans les règles des pare-feux du réseau.

  • Cryptage inter-services. La solution déploie le chiffrement des données en transit avec TLS sur tous les services.

  • Tests unitaires. Tout le code serveur et les API REST subissent des tests unitaires, y compris des tests d'injection SQL pour éviter les vulnérabilités courantes.

  • Contrôle de l'utilisateur. Nous appliquons la réinitialisation du mot de passe au niveau administrateur, la suppression de l'utilisateur ou la configuration des autorisations.

  • Fiabilité du mot de passe. Validation de force de mot de passe configurable (3 niveaux).

  • Séances. Authentification avec état basée sur la session. Les cookies ne contiennent que les identifiants de session expirant.

  • Application Web. La solution Web App signifie qu'aucun artefact de données ne reste sur le client une fois le navigateur fermé et qu'aucune donnée ne fuit dans les sauvegardes client non sécurisées.

  • Contrôle CORS. Prévention des attaques de partage de ressources d'origine croisée.

  • Sandboxing de la région. L'ensemble de l'infrastructure peut être déployé dans l'une des 18 régions géographiques isolées.

Processus de gestion des incidents de sécurité

  • Un incident de sécurité comprend, mais sans s'y limiter, les éléments suivants :

  • La perte ou le vol de données ou d'informations

  • Le transfert de données ou d'informations à ceux qui n'ont pas le droit de recevoir ces informations

  • Tentatives (échoues ou réussies) d'obtenir un accès non autorisé aux données ou aux informations

  • Modifications des informations ou des données ou des caractéristiques du matériel, du micrologiciel ou du logiciel du système sans la connaissance, les instructions ou le consentement de New Wave Workspace

  • Perturbation ou déni de service indésirable de notre service

Évaluer

Les incidents de sécurité sont évalués par phases ci-dessous.

  • Identification - Identification de l'incident, analyse pour déterminer sa cause et les vulnérabilités qu'il a exploitées

  • Restriction - Limiter ou restreindre l'impact supplémentaire de l'incident

  • Contenant - Tactiques pour contenir l'incident

  • Corriger - Action corrective pour réparer et prévenir la récurrence

la communication

Les incidents liés à la sécurité suivent de près notre protocole de communication divisé en catégories ci-dessous :

  • Responsable - la ou les personnes chargées d'enquêter et de soulever le problème avec New

    Direction générale de Wave Workspace

  • Responsable - la personne qui a la responsabilité et l'autorité ultimes pour la réparation du

    problème de sécurité

  • Consulté - la ou les personnes ou les groupes à consulter avant le correctif de sécurité final

    mise en œuvre ou modification

  • Informé – la ou les personnes ou groupes à informer tout au long du cycle de vie de l'incident de sécurité

    des phases d'identification, d'évaluation, de confinement et d'action corrective

Processus de sécurité AWS

En plus de notre processus d'incident de sécurité, nous exploitons également le processus de sécurité d'Amazon Web Services tel que décrit  ici .

Rapports

Les incidents de sécurité sont signalés dans les 48 heures au(x) client(s) concerné(s) avec l'impact et tout

remèdes mis en place pour limiter, restreindre, contenir et corriger l'incident de sécurité.

 

Les rapports d'incident contiendront les informations ci-dessous et plus, le cas échéant.

  • Numéro d'incident/Référence

  • Titre

  • Date et heure, fuseau horaire

  • Résumé de l'incident

  • Cause racine, si déjà identifiée

  • Résolution, si déjà identifiée

  • Date et heure de résolution, fuseau horaire, si déjà identifié

DDoS

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de rendre un système ciblé, tel qu'un site Web ou une application, indisponible pour les utilisateurs finaux. Pour y parvenir, les attaquants utilisent une variété de techniques qui consomment le réseau ou d'autres ressources, interrompant l'accès pour les utilisateurs finaux légitimes.

Nous tirons parti de l'infrastructure flexible d'Amazon Web Services pour mettre en œuvre des services DDoS. Amazon Route 53, Amazon Cloud Front, Elastic Load Balancing et AWS WAF sont des outils qui complètent le service DDoS pour empêcher et différer les demandes DDoS.

De plus amples informations sur la prévention AWS DDoS sont disponibles ici .

Synchronisation du calendrier

Une fois qu'un compte de calendrier externe est connecté à New Wave Workspace, notre service cloud commencera à synchroniser les données avec les calendriers de salle désignés. Ce faisant, un identifiant unique de votre événement de calendrier sera synchronisé avec New Wave Workspace.

Les événements réservés avec New Wave Workspace synchroniseront de la même manière les données avec votre service de calendrier, de sorte que New Wave Workspace et les calendriers connectés restent cohérents.

Nous ne stockons pas les pièces jointes des événements.

reprise après sinistre

Les données des applications et des clients sont stockées de manière redondante dans plusieurs zones de disponibilité au sein des centres de données d'Amazon. Les données client et le code source de l'application sont automatiquement sauvegardés quotidiennement. Les sauvegardes sont conservées pendant 30 jours pour récupérer en cas de sinistre.

Coordonnées

Si vous avez des questions sur notre politique de confidentialité, veuillez  Nous contacter  à la security@newwaveapps.com  ou +44(0)800 368 7468 pour le numéro du bureau principal.