Nous prenons la sécurité au sérieux. Et ce n’est pas juste une déclaration, mais une approche que nous adoptons pour planifier, développer et livrer notre produit.

Sécurité de l’infrastructure

Les services et données de Shifton sont hébergés dans la région de l’UE

Réseau

Tous nos serveurs se trouvent dans notre propre cloud privé virtuel (VPC) avec des listes de contrôle d’accès réseau (ACL) qui empêchent les demandes non autorisées d’accéder à notre réseau interne.

Permissions et authentification

L’accès aux données clients est limité aux employés autorisés qui en ont besoin pour leur travail.

Chiffrement

Toutes les données sont chiffrées lors du transfert avec un chiffrement de haute qualité. Tous les points de terminaison, qu’il s’agisse d’interfaces ou d’API, sont limités à l’accès HTTPS. Nous appliquons les meilleures pratiques comme l’utilisation de TLS 1.3, HSTS et CAA, recevant toujours les meilleurs résultats chez
Qualys SSL labs test

Réponse aux incidents

Nous mettons en œuvre un protocole pour traiter les événements de sécurité qui comprend des procédures d’escalade, une atténuation rapide et un bilan post-mortem.

Récupération après sinistre, sauvegardes et surveillance

Nous avons un déploiement de récupération et de basculement multi-régions, assurant la sécurité des données des clients et une haute disponibilité. Nous surveillons tous les composants système et réagissons efficacement aux problèmes qui surviennent.

Caractéristiques de sécurité du produit

SSO

Shifton prend en charge le SSO basé sur OpenID pour les deux fournisseurs les plus populaires

  • Microsoft Entra ID (ex, Azure AD) – prenant en charge les comptes personnels et professionnels. Shifton est un partenaire vérifié de Microsoft et notre solution respecte toutes les meilleures pratiques et est disponible pour une installation facile par les équipes informatiques sur
  • Azure Marketplace

  • Comptes Google Workspace, tant personnels que professionnels

Permissions

Shifton met en œuvre un système RBAC sophistiqué et dispose de plusieurs rôles intégrés disponibles pour tous les clients. Combiné à une hiérarchie multi-niveaux, cela permet de définir différents niveaux d’accès précis à l’application.

Mots de passe

Tous les mots de passe passent par un hachage unidirectionnel avec la bibliothèque bcrypt et ne sont jamais stockés en texte clair.

Fonctionnalités d’entreprise

Les clients d’entreprise peuvent être éligibles à des fonctionnalités de sécurité supplémentaires, parmi lesquelles

  • Rôles personnalisés supplémentaires
  • Possibilité de contrôler la robustesse des mots de passe
  • Possibilité de contrôler les capacités de connexion (identifiant/mot de passe, SSO Microsoft, SSO Google)
  • Possibilité de limiter l’invitation à un ou plusieurs domaines spécifiques

Engagement en matière de sécurité des employés

Politiques

Nous avons des politiques strictes et claires en matière de sécurité et de confidentialité. Tous les employés suivent des formations pour être familiers et tenir à jour avec tous les changements.

Confidentialité

Tous les contrats d’employés incluent un accord de confidentialité.

Sous-traitants

Comme tout produit SaaS moderne, nous utilisons d’autres plateformes pour implémenter certaines fonctionnalités. Aucun de ces produits et services n’a accès aux données des clients, au-delà du strict minimum requis pour le fonctionnement.

Stripe

Nous utilisons Stripe comme notre processeur de paiement. Les détails concernant leur sécurité et leur conformité PCI peuvent être trouvés sur la
page de sécurité de Stripe.

Microsoft

Utilisé pour le SSO (Entra ID) et l’analyse du site web

Google

Utilisé pour l’analyse du site web, la livraison de notifications push, la plateforme Maps et d’autres fonctionnalités

Intégration avec Crisp

Pour assurer une communication sécurisée et pratique avec nos clients, nous utilisons Crisp.chat — une plateforme de chat en direct et de support moderne qui respecte des normes de sécurité élevées.

Vous pouvez consulter les pratiques de sécurité de Crisp.chat.