TimeTec accorde une attention sérieuse aux questions de sécurité, et examine toutes les vulnérabilités signalées. Cette page explique la pratique de TimeTec pour traiter les vulnérabilités potentielles dans les aspects de nos services de cloud computing.
ISO 27001
ISO 27001 est une norme de gestion de la sécurité qui spécifie les meilleures pratiques de gestion de la sécurité et des contrôles de sécurité complets suivant la norme ISO 27002 guide des meilleures pratiques. La base de cette certification est le développement et la mise en œuvre d'un programme rigoureux de sécurité, qui comprend l'élaboration et la mise en œuvre d'un système de gestion de sécurité de l'information (ISMS) qui définit comment TimeTec gère perpétuellement la sécurité d'une manière holistique et complète. Cette norme largement reconnue sécurité internationale spécifie les entités:
| • |
Évaluer systématiquement nos risques pour la sécurité de l'information, en tenant compte de l'impact des menaces et des vulnérabilités entreprise. |
| |
|
| • |
Concevoir et mettre en œuvre une gamme complète de contrôles de sécurité de l'information et d'autres formes de gestion des risques pour gérer les risques de sécurité entreprise et architecture. |
| |
|
| • |
adopter un processus de gestion global pour garantir que les contrôles de sécurité répondent de façon continue à nos exigences en matière de sécurité des informations. |
La société a obtenu avec succès le système de gestion de la sécurité de l'information ISO / CEI (ISMS) le 8 mars 2018.
Test de pénétration
TimeTec s'engage avec un spécialiste de la cyber-sécurité externe pour effectuer des tests de pénétration (Black Box et White Box pour les applications Web et mobiles ) qui mettent l'accent sur de réels problèmes de sécurité et de conformité pour TimeTec Cloud System.
Un test de pénétration, ou un test de stylo, est une tentative d'évaluer la sécurité d'une infrastructure informatique en essayant d'exploiter les vulnérabilités en toute sécurité. Ces vulnérabilités peuvent exister dans les systèmes d'exploitation, service et application des défauts, des configurations incorrectes, ou le comportement de l'utilisateur final risqué. Ces évaluations sont également utiles dans la validation de l'efficacité des mécanismes de défense, ainsi que, l'utilisateur final le respect des politiques de sécurité. Un test de pénétration peut aider à déterminer si un système est vulnérable aux attaques, si les défenses étaient suffisantes, et qui défenses (le cas échéant) le test vaincu.
Utilisation de 2-Factor Authentication (2FA) dans TimeTec
Pour plus de sécurité, nous vous recommandons de configurer l'authentification à 2 facteurs (2FA) pour aider à protéger vos comptes TimeTec. 2FA ajoute une sécurité supplémentaire car il oblige les utilisateurs à entrer un code d'authentification unique à partir d'un dispositif d'authentification approuvé. En quête d'offrir à nos utilisateurs une tranquillité d'esprit, nous travaillons avec un fournisseur tiers de renom - Google Authenticator pour améliorer le niveau de votre compte TimeTec de sécurité. Cette fonctionnalité d'authentification à 2 facteurs améliore certainement la sécurité, car la signature dans nécessitera 2 choses - un code généré par l'application mobile Google Authenticator en plus de votre mot de passe.
HTTPS:
Toutes les communications dans et hors de notre plate-forme cloud TimeTec se fait par https. "Transfer Protocol Secure Hypertext (HTTPS) est un protocole de communication pour une communication sécurisée sur un réseau informatique, avec notamment un large déploiement sur Internet. "
Amazon AWS:
Dans un effort pour assurer que toutes vos données sont conservées en sécurité, nous utilisons l'un des meilleurs noms dans le serveur et le cloud computing, Amazon AWS PaaS, « Plate-forme en tant que service ». Techniquement parlant, nous sécurisons nos données avec les services de sécurité suivants.
TimeTec utilise les services AWS qui sont ISO 27001 et PCI DSS L1 certifié:
• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web services Relational Database Service (RDS)
• Amazon Web Services Elastic Load Balancing (ELB)
• Amazon Web Services Identity and Access Management (IAM)
• Amazon Web Services Elastic bloc de stockage (EBS)
• Amazon Web Services Service simple e-mail (SES)
• Amazon Web Services de CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + service Amazon Simple Notification (SNS)
• Amazon Web Services de VPC
• Amazon Web Services Shield standard pour se défendre contre les attaques DDoS
Signalement des vulnérabilités
Signalement de vulnérabilités suspectées
Si vous pensez que les ressources TimeTec sont utilisés pour une activité suspecte, vous pouvez nous le signaler ici. Afin que nous puissions répondre efficacement à votre rapport, s'il vous plaît fournir des documents à l'appui qui serait utile pour nous aider à comprendre la nature et la gravité de la vulnérabilité.
Toutes les informations que vous partagez avec TimeTec comme dans ce processus est gardé confidentiel au sein de l'équipe de TimeTec et ne seront pas partagées avec des tiers sans obtenir votre permission.
TimeTec examinera le rapport, nous allons ensuite vous répondre, accusant réception du rapport, et de définir les prochaines étapes du processus.
Evaluation par TimeTec
TimeTec travaillera pour valider la vulnérabilité signalée, une fois que le rapport est reçu. Si des informations supplémentaires sont nécessaires pour valider ou de simuler la question, TimeTec travaillera avec vous pour l'obtenir. Lorsque l'enquête initiale est terminée, les résultats seront livrés à vous avec un plan pour la résolution et la divulgation publique.
| Les choses à noter à propos du processus d'évaluation TimeTec: |
| 1. |
Produits Tiers - Si la vulnérabilité se trouve à affecter un produit tiers, TimeTec avisera la partie concernée. Nous allons continuer à coordonner entre vous et le tiers; votre identité ne sera pas divulguée à un tiers sans votre permission. |
| |
|
| 2. |
Confirmation de la non-Vulnérabilités - Si le problème ne peut pas être validé, ou ne se trouve pas être un défaut dans le produit TimeTec, nous partagerons les informations avec vous. |
| |
|
| |
TimeTec veut vous tenir au courant de nos progrès que nous étudions et / ou atténuer votre problème de sécurité signalé. Vous recevrez une réponse non automatisée à votre premier contact dans les 24 heures, confirmant la réception de votre vulnérabilité signalée. Vous recevrez des mises à jour de progrès de nous au moins tous les cinq jours ouvrables. |
Avis public
Le cas échéant, TimeTec coordonnera un avis public d'une vulnérabilité validée avec vous. Nous préférerions que nos communications publiques respectives seront affichés simultanément.
Afin de protéger nos clients, TimeTec demande votre coopération pour ne pas afficher ou partager des informations sur une vulnérabilité potentielle dans tout établissement public jusqu'à ce que nous avons fait des recherches, a répondu à, et a abordé la vulnérabilité signalée et les clients informés en cas de besoin.
Nous avons également demandons respectueusement de vous abstenir de publier ou de partager des données appartenant à nos clients. Adressant une vulnérabilité signalée valide est un processus assez long et il varie en fonction de la gravité de la vulnérabilité et les systèmes affectés.
