TimeTec accorde une attention sérieuse aux questions de sécurité, et examine toutes les vulnérabilités signalées. Cette page explique la pratique de TimeTec pour traiter les vulnérabilités potentielles dans les aspects de nos services de cloud computing.
ISO/IEC 27001, ISO/IEC 27017 & ISO/IEC 27018
ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance. In addition, we align with ISO/IEC 27017 and ISO/IEC 27018 standards to implement enhanced controls specific to cloud security and the protection of personally identifiable information (PII) in cloud environments. These frameworks reinforce our commitment to privacy, confidentiality, and regulatory compliance in delivering secure cloud services. The basis of this certification is the development and implementation of a rigorous security program, which includes the development and implementation of an Information Security Management System (ISMS) which defines how TimeTec perpetually manages security in a holistic, comprehensive manner. This widely-recognized international security standard specifies entities:
• |
Évaluer systématiquement nos risques pour la sécurité de l'information, en tenant compte de l'impact des menaces et des vulnérabilités entreprise. |
|
|
• |
Concevoir et mettre en œuvre une gamme complète de contrôles de sécurité de l'information et d'autres formes de gestion des risques pour gérer les risques de sécurité entreprise et architecture. |
|
|
• |
adopter un processus de gestion global pour garantir que les contrôles de sécurité répondent de façon continue à nos exigences en matière de sécurité des informations. |
The Company has maintained ISO/IEC Information Security Management System (ISMS) certification since 8th March 2018.
Utilisation de 2-Factor Authentication (2FA) dans TimeTec
Pour plus de sécurité, nous vous recommandons de configurer l'authentification à 2 facteurs (2FA) pour aider à protéger vos comptes TimeTec. 2FA ajoute une sécurité supplémentaire car il oblige les utilisateurs à entrer un code d'authentification unique à partir d'un dispositif d'authentification approuvé. En quête d'offrir à nos utilisateurs une tranquillité d'esprit, nous travaillons avec un fournisseur tiers de renom - Google Authenticator pour améliorer le niveau de votre compte TimeTec de sécurité. Cette fonctionnalité d'authentification à 2 facteurs améliore certainement la sécurité, car la signature dans nécessitera 2 choses - un code généré par l'application mobile Google Authenticator en plus de votre mot de passe.
HTTPS:
Toutes les communications dans et hors de notre plate-forme cloud TimeTec se fait par https. "Transfer Protocol Secure Hypertext (HTTPS) est un protocole de communication pour une communication sécurisée sur un réseau informatique, avec notamment un large déploiement sur Internet. "
Amazon AWS:
Dans un effort pour assurer que toutes vos données sont conservées en sécurité, nous utilisons l'un des meilleurs noms dans le serveur et le cloud computing, Amazon AWS PaaS, « Plate-forme en tant que service ». Techniquement parlant, nous sécurisons nos données avec les services de sécurité suivants.
TimeTec utilise les services AWS qui sont ISO 27001 et PCI DSS L1 certifié:
• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web services Relational Database Service (RDS)
• Amazon Web Services Elastic Load Balancing (ELB)
• Amazon Web Services Identity and Access Management (IAM)
• Amazon Web Services Elastic bloc de stockage (EBS)
• Amazon Web Services Service simple e-mail (SES)
• Amazon Web Services de CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + service Amazon Simple Notification (SNS)
• Amazon Web Services de VPC
• Amazon Web Services Shield standard pour se défendre contre les attaques DDoS
• Amazon GuardDuty - Intelligent Threat Detection
Signalement des vulnérabilités
Signalement de vulnérabilités suspectées
Si vous pensez que les ressources TimeTec sont utilisés pour une activité suspecte, vous pouvez nous le signaler ici. Afin que nous puissions répondre efficacement à votre rapport, s'il vous plaît fournir des documents à l'appui qui serait utile pour nous aider à comprendre la nature et la gravité de la vulnérabilité.
Toutes les informations que vous partagez avec TimeTec comme dans ce processus est gardé confidentiel au sein de l'équipe de TimeTec et ne seront pas partagées avec des tiers sans obtenir votre permission.
TimeTec examinera le rapport, nous allons ensuite vous répondre, accusant réception du rapport, et de définir les prochaines étapes du processus.
Evaluation par TimeTec
TimeTec travaillera pour valider la vulnérabilité signalée, une fois que le rapport est reçu. Si des informations supplémentaires sont nécessaires pour valider ou de simuler la question, TimeTec travaillera avec vous pour l'obtenir. Lorsque l'enquête initiale est terminée, les résultats seront livrés à vous avec un plan pour la résolution et la divulgation publique.
Les choses à noter à propos du processus d'évaluation TimeTec: |
1. |
Produits Tiers - Si la vulnérabilité se trouve à affecter un produit tiers, TimeTec avisera la partie concernée. Nous allons continuer à coordonner entre vous et le tiers; votre identité ne sera pas divulguée à un tiers sans votre permission. |
|
|
2. |
Confirmation de la non-Vulnérabilités - Si le problème ne peut pas être validé, ou ne se trouve pas être un défaut dans le produit TimeTec, nous partagerons les informations avec vous. |
|
|
|
TimeTec veut vous tenir au courant de nos progrès que nous étudions et / ou atténuer votre problème de sécurité signalé. Vous recevrez une réponse non automatisée à votre premier contact dans les 24 heures, confirmant la réception de votre vulnérabilité signalée. Vous recevrez des mises à jour de progrès de nous au moins tous les cinq jours ouvrables. |
Avis public
Le cas échéant, TimeTec coordonnera un avis public d'une vulnérabilité validée avec vous. Nous préférerions que nos communications publiques respectives seront affichés simultanément.
Afin de protéger nos clients, TimeTec demande votre coopération pour ne pas afficher ou partager des informations sur une vulnérabilité potentielle dans tout établissement public jusqu'à ce que nous avons fait des recherches, a répondu à, et a abordé la vulnérabilité signalée et les clients informés en cas de besoin.
Nous avons également demandons respectueusement de vous abstenir de publier ou de partager des données appartenant à nos clients. Adressant une vulnérabilité signalée valide est un processus assez long et il varie en fonction de la gravité de la vulnérabilité et les systèmes affectés.