Sécurité
Last updated: avril 10, 2025
Nous prenons la sécurité au sérieux. Et ce n’est pas juste une déclaration, mais une approche que nous adoptons pour planifier, développer et livrer notre produit.
Sécurité de l’infrastructure
Les services et données de Shifton sont hébergés dans la région de l’UE
Réseau
Tous nos serveurs se trouvent dans notre propre cloud privé virtuel (VPC) avec des listes de contrôle d’accès réseau (ACL) qui empêchent les demandes non autorisées d’accéder à notre réseau interne.
Permissions et authentification
L’accès aux données clients est limité aux employés autorisés qui en ont besoin pour leur travail.
Chiffrement
Toutes les données sont chiffrées lors du transfert avec un chiffrement de haute qualité. Tous les points de terminaison, qu’il s’agisse d’interfaces ou d’API, sont limités à l’accès HTTPS. Nous appliquons les meilleures pratiques comme l’utilisation de TLS 1.3, HSTS et CAA, recevant toujours les meilleurs résultats chez
Qualys SSL labs test
Réponse aux incidents
Nous mettons en œuvre un protocole pour traiter les événements de sécurité qui comprend des procédures d’escalade, une atténuation rapide et un bilan post-mortem.
Récupération après sinistre, sauvegardes et surveillance
Nous avons un déploiement de récupération et de basculement multi-régions, assurant la sécurité des données des clients et une haute disponibilité. Nous surveillons tous les composants système et réagissons efficacement aux problèmes qui surviennent.
Caractéristiques de sécurité du produit
SSO
Shifton prend en charge le SSO basé sur OpenID pour les deux fournisseurs les plus populaires
- Microsoft Entra ID (ex, Azure AD) – prenant en charge les comptes personnels et professionnels. Shifton est un partenaire vérifié de Microsoft et notre solution respecte toutes les meilleures pratiques et est disponible pour une installation facile par les équipes informatiques sur
- Comptes Google Workspace, tant personnels que professionnels
Permissions
Shifton met en œuvre un système RBAC sophistiqué et dispose de plusieurs rôles intégrés disponibles pour tous les clients. Combiné à une hiérarchie multi-niveaux, cela permet de définir différents niveaux d’accès précis à l’application.
Mots de passe
Tous les mots de passe passent par un hachage unidirectionnel avec la bibliothèque bcrypt et ne sont jamais stockés en texte clair.
Fonctionnalités d’entreprise
Les clients d’entreprise peuvent être éligibles à des fonctionnalités de sécurité supplémentaires, parmi lesquelles
- Rôles personnalisés supplémentaires
- Possibilité de contrôler la robustesse des mots de passe
- Possibilité de contrôler les capacités de connexion (identifiant/mot de passe, SSO Microsoft, SSO Google)
- Possibilité de limiter l’invitation à un ou plusieurs domaines spécifiques
Engagement en matière de sécurité des employés
Politiques
Nous avons des politiques strictes et claires en matière de sécurité et de confidentialité. Tous les employés suivent des formations pour être familiers et tenir à jour avec tous les changements.
Confidentialité
Tous les contrats d’employés incluent un accord de confidentialité.
Sous-traitants
Comme tout produit SaaS moderne, nous utilisons d’autres plateformes pour implémenter certaines fonctionnalités. Aucun de ces produits et services n’a accès aux données des clients, au-delà du strict minimum requis pour le fonctionnement.
Stripe
Nous utilisons Stripe comme notre processeur de paiement. Les détails concernant leur sécurité et leur conformité PCI peuvent être trouvés sur la
page de sécurité de Stripe.
Microsoft
Utilisé pour le SSO (Entra ID) et l’analyse du site web
Utilisé pour l’analyse du site web, la livraison de notifications push, la plateforme Maps et d’autres fonctionnalités
Intégration avec Crisp
Pour assurer une communication sécurisée et pratique avec nos clients, nous utilisons Crisp.chat — une plateforme de chat en direct et de support moderne qui respecte des normes de sécurité élevées.
Vous pouvez consulter les pratiques de sécurité de Crisp.chat.