Sécurité et protection de la vie privée chez EcoClaim
La sécurité est essentielle pour Ecoclaim car nous travaillons en partenariat avec des entrepreneurs et des compagnies d'assurance qui traitent des informations confidentielles sur les clients. Pour gérer notre sécurité et obtenir et conserver une certification SOC2 de type II, nous avons établi un partenariat avec vanta.com qui conserve les enregistrements de sécurité pour EcoClaim dans son centre de confiance.
Gouvernance
La sécurité et la confidentialité d'EcoClaim commencent avec Vanta qui aide notre équipe à établir des politiques et des contrôles, à surveiller la conformité à ces contrôles et à prouver notre sécurité et notre conformité à des auditeurs tiers.
Nos politiques reposent sur les principes fondamentaux suivants :
L'accès doit être limité aux seules personnes ayant un besoin professionnel légitime et être accordé selon le principe du moindre privilège.
Toutes les données doivent être cryptées dans la mesure du possible, tant au repos qu'en transit.
Les contrôles de sécurité doivent être appliqués de manière cohérente dans tous les domaines de l'entreprise.
La mise en œuvre des contrôles doit être itérative et évoluer en permanence en fonction de l'amélioration de l'efficacité, de l'auditabilité et de la réduction des frictions.
Protection des données
Données au repos
Toutes les banques de données contenant des données sur les clients sont cryptées au repos ou se trouvent dans une base de données cryptée.
Données en transit
EcoClaim utilise TLS 1.2 ou une version plus récente partout où les données sont transmises sur des réseaux potentiellement non sécurisés. Nous utilisons également des fonctionnalités telles que HSTS (HTTP Strict Transport Security) pour maximiser la sécurité de nos données en transit. Les clés et les certificats TLS des serveurs sont gérés par Azure.
Gestion des secrets
Les clés de chiffrement sont gérées via Azure Key Vault (AKV).
Les secrets d'application sont cryptés et stockés de manière sécurisée via Azure Key Vault, et l'accès à ces valeurs est strictement limité.
Sécurité des produits
Données au repos
EcoClaim fait appel au moins une fois par an à l'une des meilleures sociétés de conseil en tests de pénétration du secteur. Notre partenaire privilégié pour les tests de pénétration est Mirai Security, l'un des principaux experts en matière de sécurité GraphQL.
Tous les domaines du produit EcoClaim et de l'infrastructure en nuage sont concernés par ces évaluations, et le code source est entièrement disponible pour les testeurs afin de maximiser l'efficacité et la couverture.
Nous mettons à disposition des rapports sommaires de tests de pénétration via notre Trust Center.
Analyse de la vulnérabilité
EcoClaim exige une analyse des vulnérabilités à des étapes clés de son cycle de développement sécurisé (SDLC) :
Tests d'analyse statique (SAST) du code lors des demandes d'extraction et sur une base continue.
Analyse de la composition des logiciels (SCA) pour identifier les vulnérabilités connues dans notre chaîne d'approvisionnement en logiciels.
Analyse des dépendances malveillantes pour empêcher l'introduction de logiciels malveillants dans notre chaîne d'approvisionnement en logiciels.
Sécurité des entreprises
Protection des points finaux
Tous les appareils de l'entreprise sont gérés de manière centralisée et sont équipés d'un logiciel de gestion des appareils mobiles et d'une protection contre les logiciels malveillants. Les alertes de sécurité des terminaux sont surveillées 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Nous utilisons le logiciel MDM de Vanta pour mettre en œuvre une configuration sécurisée des terminaux, telle que le cryptage des disques, la configuration du verrouillage de l'écran et la gestion des mots de passe.
Bugs Bounty
Merci de nous aider à nous améliorer ! Si nous parvenons à reproduire et à corriger le bogue que vous nous avez signalé, nous vous enverrons une carte-cadeau pour une tasse de café Starbucks ou Tim Hortons - sur nous. ☕
Veuillez remplir le formulaire ci-dessous avec le plus de détails possible.