La plateforme INTRAX d'Intelligent Locations a été conçue dès le départ dans un souci de sécurité. Nous suivons et mettons en œuvre les meilleures pratiques et les recommandations des normes dans chaque couche de l'architecture du nuage et du processus de développement. Nous respectons la norme ISO 27001 et l'ensemble des contrôles de sécurité SOC2 Type 2 (rapport disponible sur demande).
Pour notre application web, nous utilisons les recommandations de la norme OWASP top10, tout en maintenant les certifications HIPAA et SOC 2. Intelligent Locations applique déjà une posture de sécurité robuste, continuellement améliorée par notre processus interne de gouvernance de la sécurité. Nous utilisons Security Scorecard et Coalition Inc comme outils externes de surveillance de la cybersécurité, ce qui nous aide, ainsi que nos clients, à surveiller en permanence l'état actuel de la posture de sécurité.
L'approche de sécurité employée par Intelligent Locations, la stratégie de défense en profondeur, vise à combiner de multiples contrôles de sécurité appliqués à chaque couche de la plate-forme. Voici quelques exemples de ces mesures :
1. Sécurité du réseau - surveillance continue du trafic et isolement complet des ressources internes et des outils de développement dans le nuage, ce qui réduit la surface d'attaque.
- a. N'autorisez l'accès aux données confidentielles qu'aux employés qui en ont strictement besoin pour leur travail.
- b. Appliquez des connexions cryptées à toutes les ressources du cloud ainsi qu'un MFA pour les e-mails d'entreprise.
- c. Protection contre les virus et surveillance du système d'exploitation pour s'assurer que les derniers correctifs de sécurité sont installés.
2. Sécurité des applications - imposer un accès authentifié à toutes les applications internes et destinées aux clients. Suivez des exemples de mesures d'accès et de sécurité en place :
- a. Appliquer le contrôle d'accès basé sur les rôles (RBAC) à toutes les applications internes et destinées aux clients, ainsi que le cryptage de bout en bout des flux de données de toutes les applications.
- b. Le chiffrement est appliqué, en transit, au niveau du protocole de transport.
- c. Les données au repos sont cryptées à l'aide de l'algorithme de cryptage standard AES-256 pour RDS (bases de données) et le stockage en nuage. Une couche de cryptage supplémentaire au niveau de l'application est appliquée pour les données PHI et PII.
- d. Des systèmes de détection d'intrusion et de journalisation sont en place pour toutes les applications. En fonction de la fonctionnalité spécifique d'une application, nous stockons les fichiers journaux pour une période maximale d'un an.
- e. AWS CloudWatch est activé pour toutes les entrées de journal à longue durée de vie.
- f. Le service OpenSearch est utilisé pour les entrées de journal à longue durée d'exploitation et de débogage.
3. Utilisateurs - Les utilisateurs internes (employés de Intelligent Locations) sont soumis à :
- Processus d'embarquement et de débarquement gérés par des politiques.
- L'accès à l'infrastructure du cloud est géré par AWS IAM (identity access management).
- L'accès à d'autres ressources internes d'Intelligent Locations est géré par Microsoft Azure Identity Server (accès aux applications de messagerie de l'entreprise, MS Teams et autres services SSO).
- La gestion de l'identité d'INTRAX (application d'interface utilisateur client) est assurée par des IDP de signature unique. Nous prenons en charge les identités gérées localement (par exemple, les utilisateurs gérés par notre IDP interne) ainsi que les IDP des clients (authentifications fédérées) sur la base des protocoles SAML (de préférence), OIDC, LDAP SSO.
Intelligent Locations fait l'objet d'un audit annuel, qui aide l'entreprise à comprendre ce qu'elle fait bien et ce qui peut être amélioré. Des améliorations sont apportées régulièrement et des plans sont en place pour les événements à risque.
En cas d'événements exceptionnels imprévus ou indépendants de la volonté d'Intelligent Locations (catastrophes naturelles, cyber-attaques, etc.), l'entreprise dispose d'un plan de reprise après sinistre afin de restaurer le système et de minimiser les temps d'arrêt potentiels pour les clients. L'équipe d'Intelligent Locations teste le plan de reprise après sinistre au moins deux fois par an. Les services en nuage sont mis en place de manière à ce que les utilisateurs finaux subissent le moins possible de perturbations et de pertes de données, et Intelligent Locations s'efforce constamment de les améliorer afin de couvrir le plus grand nombre de scénarios possible.
En cas de violation des données ou de défaillance de l'une de nos politiques, le plan de réponse aux incidents est mis en œuvre.
