Sécurité des données
Confidentialité et architecture dans les services basés sur le cloud
  Télécharger en format PDF
Introduction: Toutes les routes mènent au nuage

Le monde est maintenant à l'affût des vagues de perturbations technologiques dans presque toutes les industries et à l'épicentre de tout cela, ce sont des solutions intégrées au nuage qui remplacent les piles de technologies existantes que le monde utilise actuellement. La transformation et l'innovation dans cette période d'informatique en nuage et de mobilité intelligente vont à grande vitesse, de diverses directions et se produisent de façon plus continue que jamais. Être dans le cloud et l'environnement exige que les organisations établissent des stratégies à l'avance, s'impliquent réellement dans l'engagement des clients et fournissent une réponse rapide pour maintenir leur survie, car les solutions cloud ne vous donnent pas le temps de réfléchir, de réfléchir et de s'adapter. Au début du millénaire, les entreprises de technologie pouvaient épargner 10 ans, maintenant la vitesse de changement a été réduite à seulement quelques mois. La valeur globale des solutions cloud est estimée à plus de 3,5 billions USD et les entreprises technologiques sont confrontées à un autre obstacle colossal sous la forme de problèmes de sécurité liés à l'exponentiation des vulnérabilités et des menaces ainsi qu'aux transitions technologiques. Pour cette raison, les fournisseurs de cloud doivent mettre en place des stratégies viables pour s'assurer que les problèmes de sécurité sont traités de manière adéquate et correcte afin de garantir la continuité des activités.
TimeTec est une marque mondiale renommée qui fournit des solutions basées sur le cloud pour la gestion de la sécurité et de la main-d'œuvre pour diverses industries à travers le monde. En tant que développeur de système basé sur le cloud, TimeTec a rempli toutes les exigences suivantes avec l'objectif principal, pour maintenir la confiance du client dans notre marque.


19 Préoccupations clés en matière de sécurité Les développeurs Cloud doivent fournir

La confiance du client est primordiale dans la construction et le maintien d'une activité cloud et un fournisseur doit être dédié à l'atteindre et à le maintenir en fournissant un programme de sécurité et de confidentialité solide qui prend en charge la protection des données du client pour toutes les solutions. prestations de service.
  1. Architecture et ségrégation des données
Les services exploités et offerts dans le cloud doivent résider dans une architecture mutualisée, dans laquelle l'accès aux données client ne peut être visualisé que sur la base d'une autorisation attribuée par l'entreprise. Il fournit une séparation logique efficace des données grâce à une identification unique des employés qui permet d'accéder aux informations en fonction des privilèges de rôle. La ségrégation des données doit être effectuée en fournissant des environnements distincts pour différentes fonctions, c'est-à-dire pour les tests et la production.
  2. Contrôle du traitement
Cela redonne le pouvoir au client, en lui assurant que les données ne sont traitées que lorsque le client le lui demande, tout au long de la chaîne de traitement et que la conformité des mesures mises en œuvre doit faire l'objet d'audits.
  3. Audits et certifications
Au moins une fois par an, tous les services offerts devront passer par des évaluations de sécurité effectuées par du personnel interne, ce qui comprend des évaluations de la vulnérabilité de l'infrastructure et des évaluations de la sécurité des applications.
  4. Journaux de sécurité
Tous les systèmes utilisés pour acheminer les services offerts, y compris les systèmes d'exploitation, les informations de journal vers leur système de journal d'application respectif ou un serveur Syslog centralisé (pour les systèmes réseau) seront conservés afin de permettre les examens et analyses de sécurité. être conservé pendant une période minimale de soixante (60) jours.
  5. Contrôles de sécurité
Les services offerts mis à disposition par l'intermédiaire du navigateur Internet ou de l'application mobile doivent être dotés de diverses fonctions de sécurité configurables. Ces contrôles incluent, mais ne sont pas limités à ce qui suit:
 
•  Identifiants utilisateur en tant qu'identifiants utilisateur uniques pour s'assurer que les activités peuvent être retracées jusqu'à l'individu.
•  L'utilisation de contrôles reCaptcha pour contester l'accès après plusieurs tentatives de connexion infructueuses consécutives.
•  Pour terminer une session utilisateur après une période d'inactivité.
•  Pour contrôler la longueur du mot de passe.
•  Pour faire correspondre les exigences de complexité du mot de passe.
  6. Politiques et procédures de sécurité
Les services offerts doivent être exploités conformément aux politiques et procédures suivantes pour renforcer la sécurité:
 
•  Les mots de passe des utilisateurs sont conservés dans un format de hachage salé et ne sont pas transmis en clair.
•  Les entrées du journal d'accès utilisateur seront conservées, contenant la date, l'heure, l'URL exécutée ou l'ID de l'entité exploitée, l'opération réalisée (vue, modifiée, etc.) et l'adresse IP source. Notez que l'adresse IP source peut ne pas être disponible si le NAT (Network Address Translation) ou le PAT (Port Address Translation) est utilisé par un client ou son FAI.
•  Les journaux seront stockés dans un hôte centralisé sécurisé pour empêcher les manipulations.
•  Les mots de passe ne sont pas enregistrés.
  7. Détection d'intrusion
Les services offerts doivent faire l'objet d'une surveillance en cas d'intrusion non autorisée à l'aide de mécanismes de détection d'intrusion basés sur le réseau fournis par le développeur ou le tiers désigné pour cette tâche. Les données collectées par les navigateurs Web (type d'appareil, résolution d'écran, fuseau horaire, version du système d'exploitation, type et version du navigateur, polices système, plug-ins de navigateur installés, types MIME activés, etc.) peuvent être analysées. à des fins de sécurité pour empêcher les authentifications frauduleuses et pour assurer le bon fonctionnement des services offerts.
  8. Gestion des incidents
Un fournisseur doit maintenir des politiques et procédures de gestion des incidents de sécurité, et notifier aux clients concernés sans retard injustifié toute divulgation non autorisée de leurs Données Client respectives par le Développeur ou ses agents dont le Développeur prend connaissance dans la mesure permise par la loi.
  9. Authentification de l'utilisateur
Tout accès aux Services Offerts via un Navigateur Internet, une Application Mobile ou via une API nécessite une combinaison d'un ID utilisateur et d'un mot de passe valides qui sont cryptés via HTTPS pendant la transmission. Une fois l'authentification réussie, un ID de session aléatoire est généré et stocké dans le navigateur de l'utilisateur pour préserver et suivre l'état de la session.
  10. Sécurité physique
Si les centres de données de production utilisés pour fournir les Services couverts sont gérés par des Services extérieurs, vous pouvez connaître les détails de la Processe de sécurité tels que: AWS Security Whitepaper.pdf
  11. Fiabilité et sauvegarde
Tous les composants réseau, les équilibreurs de charge, les serveurs Web et les serveurs d'applications sont configurés dans une configuration redondante. Toutes les données client soumises aux services couverts sont stockées sur un serveur de base de données primaire avec une sauvegarde automatisée à l'aide de fonctions de récupération à un point dans le temps. Toutes les sauvegardes quotidiennes de l'AMI seront conservées pendant au moins deux jours et la sauvegarde hebdomadaire de l'AMI sera conservée au moins un mois.
  12. Reprise après sinistre
Les systèmes de production des services offerts doivent être protégés par un plan de reprise après sinistre à plusieurs niveaux qui assure la sauvegarde des données et des services critiques. Un système complet de processus de récupération existe pour remettre les systèmes stratégiques en ligne dans les plus brefs délais. Les processus de récupération pour la base de données, la sécurité, l'administration des systèmes et la configuration et les données réseau fournissent une feuille de route permettant au personnel de rendre les processus disponibles après une interruption de service.
  13. Virus
Les services offerts ne rechercheront pas les virus qui pourraient être inclus dans les pièces jointes ou d'autres données téléchargées dans les services offerts par les clients. Les pièces jointes téléchargées ne sont pas exécutées dans les Services Offerts et n'endommageront ni ne compromettront les Services Offerts en ligne en raison de la présence d'un virus.
  14. Chiffrement des données
Les services offerts doivent utiliser des produits de cryptage reconnus par l'industrie pour protéger les données et les communications du client pendant les transmissions entre le réseau d'un client et les services couverts, y compris les certificats TLS 128 bits et les clés publiques RSA 2048 bits.
  15. Retour des données du client
Les données du client soumises aux services offerts doivent être retournées au client sur demande.
  16. Suppression des données client
Après la fin des Services Offerts, les clients peuvent demander la suppression des Données Client soumises aux Services Offerts, et ce processus est soumis aux exigences légales applicables. Les données client stockées sur l'infrastructure pour les services offerts seront supprimées en conséquence.
  17. Données sensibles
Important: Les types suivants de données personnelles sensibles ne peuvent pas être soumis à OfferedServices: informations financières (telles que les numéros de cartes de crédit ou de débit, les codes de sécurité ou mots de passe associés, et les numéros de compte bancaire); information liée à la santé physique ou mentale d'une personne; et des informations relatives à la fourniture ou au paiement des soins de santé. Pour plus de clarté, les restrictions ci-dessus ne s'appliquent pas aux informations financières fournies au développeur aux fins de vérifier les qualifications financières des clients et de recueillir les paiements de ses clients.
  18. Analytique
Un développeur peut suivre et analyser l'utilisation des services offerts à des fins de sécurité et aider le développeur à améliorer à la fois les services offerts et l'expérience utilisateur dans l'utilisation des services offerts.

Un développeur peut partager des données d'utilisation anonymes avec ses fournisseurs de services dans le but d'aider le développeur à effectuer ce suivi, cette analyse et ces améliorations. De plus, le développeur peut partager ces données d'utilisation anonymes sur une base globale dans le cours normal de l'exploitation de notre entreprise; par exemple, nous pouvons partager des informations publiquement pour montrer les tendances concernant l'utilisation générale de nos services.

  19. Intégration ou interopérabilité avec d'autres services
Un développeur proposé des services peut intégrer ou interopérer avec d'autres services fournis par le développeur ou des tiers. Le développeur peut également fournir sur de nombreuses plateformes et fonctionnalités permettant aux utilisateurs de s'informer sur les produits, de participer à des communautés, de se connecter à des applications tierces et de participer à des projets pilotes, tests et évaluations qui sortent du cadre de cette documentation. Communication avec les utilisateurs qui participent à de telles plateformes et fonctionnalités d'une manière qui doit être compatible avec la déclaration de confidentialité. De plus, le développeur peut contacter les utilisateurs pour fournir des informations transactionnelles sur les services offerts; par exemple, via le gestionnaire de compte ou via des messages électroniques générés par le système. Le développeur doit offrir aux clients et aux utilisateurs la possibilité de désactiver ou de refuser de recevoir de tels messages.

En tant que développeur de systèmes basé sur le cloud, TimeTec a rempli les exigences ci-dessus avec l'objectif principal, pour maintenir la confiance du client. La documentation sur la sécurité, la confidentialité et l'architecture des services fournis par TimeTec est disponible sur le site Web de TimeTec Cloud.

Checkout solutions basées sur le cloud par TimeTec à
www.timeteccloud.com