La sécurité de vos données est notre priorité
Chez Novawage, nous pensons qu’il est de notre devoir d’assurer la sécurité de vos données. Novawage est certifié ISO 27001 par un auditeur indépendant.
Securité
Novawage s’engage à garder vos données en sécurité et hors des mains de ceux qui n’en ont pas l’autorisation.
Confidentialité
Nous utilisons plusieurs méthodes différentes pour garantir la sécurité de votre compte à tout moment. Vos données sont également cryptées dans notre base de données.
Integrité
Nous contrôlons de manière stricte l’accès à vos données, tant en ligne qu’en interne. Nous veillons ainsi à ce que vos documents soient protégés contre toute modification non autorisée. Nous les sauvegardons également toutes les heures.
Disponibilité
Réplication en temps réel des données vers trois centres de données en France. Nous utilisons également une bascule automatique en cas de problème technique improbable.
ISO 27001
En tant qu’entreprise certifiée ISO 27001, nous nous engageons pleinement à sécuriser et à protéger vos données. Nous révisons aussi régulièrement nos processus pour nous assurer que les meilleures pratiques sont mises en place.
Programme de récompense pour la découverte de vulnérabilités
Nous sommes intéressés par toute recherche sur nos systèmes et apprécions toute découverte documentée. À cette fin, nous gérons un programme privé de recherche de bogues sur HackerOne afin d’identifier et d’atténuer les menaces à la sécurité.
- Cryptage de toutes les données stockées en transit et au repos, y compris les copies de sauvegarde.
- Anonymisation des données ou non-transmission aux sous-traitants.
- Authentification obligatoire des utilisateurs par courriel et mot de passe (contrôlée par une politique stricte) avec possibilité d’authentification à deux facteurs (2FA) par jeton SMS. En interne, l’accès aux données, pour les membres autorisés du personnel, n’est autorisé que par l’intermédiaire d’un VPN protégé par l’authentification 2FA.
- La transmission des données se fait uniquement par TLS/SSL avec HSTS et perfect forward secrecy entièrement activés. Novawage a obtenu la note « A » aux tests de SSL Labs.
- L’accès aux données des clients est limité à des équipes identifiées, avec une raison proportionnelle et justifiée de le faire. Enregistrement systématique de ces accès.
- Gestion centralisée avec des capacités d’inventaire, surveillance et fonctions d’alerte.
- Politique de sécurité des périphériques appliquée et gérée au niveau global (verrouillage automatique, complexité et rotation des mots de passe, protection en temps réel contre les logiciels malveillants, pare-feu, cryptage des disques, restriction de l’installation de logiciels, mises à jour automatiques, capacités de verrouillage et d’effacement à distance).
- Politique globale concernant les outils autorisés pour traiter les actifs par type d’information et cadre de classification.
- L’accès au code source est strictement contrôlé, avec un examen systématique par les pairs lors de la fusion de nouveaux codes.
- Politique d’achat globale obligatoire avant toute embauche d’un fournisseur, avec autorisation systématique en matière de sécurité, de droit et de finances.
Vérification des antécédents de tous les candidats.
Obligation pour tous les employés de signer un accord de confidentialité et de suivre la politique numérique interne.
Application des politiques de sécurité des appareils à l’échelle mondiale grâce à un outil de gestion centralisé doté de capacités de surveillance et de remédiation.
Formation régulière à la sécurité pour tous les employés et examen trimestriel des politiques de sécurité internes. Afin de séparer les rôles de développement des rôles de conseil et de validation, nous utilisons une matrice RACI pour le développement et la gestion de toutes les tâches.
Surveillance des locaux de Novawage 24h/24 par un système d’alarme et de vidéo-surveillance.
Conservation des accès aux locaux pendant 45 jours.
Supervision directe des visiteurs par un membre de Novawage pendant toute la durée de leur visite.
Tests et mises à jour fréquents de notre logiciel de paie par les meilleurs experts du domaine.
Tests et vérifications automatiques pour assurer la fiabilité des calculs.
Suivi juridique assuré par une équipe dédiée.
Gestion de toutes les installations d’hébergement directement par Amazon Web Services, conformément à la norme ISO 27001.
Toutes les transmissions entre le client et le serveur et vers des systèmes externes sont effectuées par un cryptage HTTPS de bout en bout.
Le réseau de Novawage est divisé en sous-réseaux, chacun gérant une fonction spécifique, à la fois pour améliorer les performances et la sécurité.
Séparation des environnements de test et de production.
Isolation du réseau de Novawage de l’Internet, à l’exception d’un seul point d’entrée (proxy). Chaque point à l’intérieur du réseau suit des règles strictes en matière de pare-feu.
Protection de l’accès aux systèmes de Novawage par la gestion des droits d’AWS et de Kubernetes.
L’accès aux données, par les membres autorisés du personnel, n’est autorisé qu’à travers un VPN protégé par une authentification 2FA.
Surveillance et journal de la transmission des données à partir des systèmes informatiques qui stockent ou traitent des données à caractère personnel.
Synchronisation de tous les serveurs par le biais d’un serveur AWS NTP.
La réplication de toutes les données se fait en continu sur deux nœuds pour nos bases de données et sur trois nœuds pour notre stockage AWS S3. Chaque nœud est hébergé dans un centre de données spécifique, séparé des autres. Toutes les données sont traitées sur des serveurs dotés d’un système de basculement automatique.
Sauvegardes toutes les heures et processus de récupération complet vérifié quotidiennement.
Transmission des sauvegardes par cryptage HTTPS de bout en bout.
Les sauvegardes sont répliquées trois fois. Tous les accès sont protégés par la gestion des droits d’AWS et de Kubernetes.
Novawage a mis en place une procédure formelle pour les événements de sécurité et a formé tous les membres du personnel à cet effet.
Lorsque des événements de sécurité sont détectés, ils sont transmis à notre alias d’urgence. Par la suite, les équipes sont automatiquement averties et se réunissent pour traiter rapidement l’incident.
L’analyse est revue en personne, distribuée dans toute l’entreprise et comprend des mesures qui faciliteront la détection et la prévention d’un événement similaire à l’avenir.
Les événements liés à la sécurité doivent être systématiquement examinés par les services d’ingénierie, de sécurité, juridiques et de communication en vue de leur clôture. Les autres équipes concernées sont également consultées.
Utilisation de technologies telles que Sentry et AWS Cloudtrail pour fournir une piste d’audit sur son infrastructure et l’application PayFit. L’audit permet d’effectuer des analyses de sécurité ad hoc, de suivre les changements apportés à la configuration de PayFit et de vérifier l’accès à chaque couche du réseau.
Mise en œuvre d’un programme privé de recherche de bogues sur HackerOne afin d’identifier et d’atténuer les menaces à la sécurité. L’accès à ce programme se fait uniquement sur invitation.
- Déploiement de logs d’audit pour tracer l’authentification et surveiller l’accès logique au système, ainsi que l’accès aux données et les modifications.
- Les événements techniques des systèmes, tels que les erreurs, sont surveillés et enregistrés séparément.
- Accès aux logs via un espace de noms spécifique, un VPN avec authentification 2FA obligatoire et protection par mot de passe.
- Les données des logs sont automatiquement répliquées sur trois nœuds dans trois zones différentes en France (serveurs AWS, certifiés ISO 27001). Toutes les données sont traitées sur des serveurs avec un système de basculement automatique.
- La rétention des logs d’audit est fixée à un an.