Sécurité des données

Vos données sont en sécurité avec nous!

La sécurité des données est notre licence d'exploitation

La sécurité de nos services et de vos données est notre priorité absolue. Nous savons que le succès de votre entreprise dépend de votre confiance en notre sécurité. Nous travaillons constamment pour protéger vos données en utilisant les meilleures pratiques généralement acceptées.

Infrastructure système

Chez Metalshub, nous croyons en une séparation forte : nos serveurs sont hébergés sur du matériel dédié - le matériel n'est pas partagé avec d'autres parties et nous seuls pouvons accéder à nos systèmes. Nous utilisons du matériel distinct pour notre plate-forme de production, notre site Web et nos services internes. Les serveurs sont situés en Allemagne et sont protégés physiquement et logiquement contre tout accès tout en étant constamment surveillés. Le centre de données est régulièrement audité et est certifié ISO 27001.

Les serveurs

Tous nos serveurs sont protégés par plusieurs pare-feux et disposent d'une protection DDoS (déni de service distribué) automatisée. De plus, notre système de détection d'intrusion bloque automatiquement les adresses IP qui présentent un comportement suspect (par exemple, des tentatives de connexion infructueuses). Les fichiers journaux liés à la sécurité sont constamment analysés automatiquement et examinés manuellement chaque semaine. Les mises à jour du système d'exploitation liées à la sécurité sont appliquées immédiatement et automatiquement.

Contrôle d'accès et formation

L'accès à nos serveurs est limité à une authentification basée sur RSA-Key (pas une connexion avec un mot de passe). Un nombre minimum absolu d'employés (actuellement deux) et aucune partie externe n'a d'accès administratif à nos serveurs.

Nous utilisons un système de contrôle d'accès basé sur les rôles pour garantir que chaque employé n'a accès qu'aux données absolument nécessaires dans le cadre de son travail. De plus, tous les employés concernés reçoivent une formation régulière en sécurité informatique.

Chiffrement

Nous chiffrons vos données à chaque fois qu'elles nous sont envoyées. Nous utilisons le protocole Secure Sockets Layer (SSL) standard de l'industrie qui fournit le cryptage des données, l'intégrité des messages et l'authentification du serveur. Nous activons HTTP Strict Transport Security (HSTS) pour tous nos domaines et sous-domaines. Notre configuration SSL a reçu une note A+ dans le célèbre audit Qualys SSL Labs.

Sécurité des données internes

Nous utilisons un système d'accès basé sur les rôles très restrictif pour contrôler quels employés ont accès à quelles données et adhérons au principe de minimisation des données, c'est-à-dire que les employés n'ont accès qu'aux données nécessaires en fonction de leurs rôles. De plus, tous nos employés ont une clause de confidentialité dans leur contrat de travail. Les violations de cette clause peuvent entraîner la résiliation de l'emploi et d'éventuelles poursuites judiciaires.

Développement de logiciels

Chaque modification de code est examinée et doit être approuvée avant d'être déployée dans notre environnement de staging. Après un examen de mise en scène, les modifications sont déployées sur nos serveurs de production. Chaque version est testée automatiquement et manuellement pour les fonctionnalités, les vulnérabilités, la séparation des données basée sur l'authentification/autorisation et d'autres problèmes liés à la sécurité.

Mots de passe

Nous utilisons un mécanisme de pointe pour stocker les mots de passe : ils sont stockés à l'aide de l'algorithme "Password-based Key Derivation Function 2" (PBKDF2), un mécanisme d'étirement de mot de passe recommandé par l'American National Institute of Standards and Technology (NIST) et le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand. Chaque mot de passe a un sel aléatoire unique et est haché plus de cent mille fois à l'aide de l'algorithme SHA256.

Sur demande, Metalshub peut également limiter la plage d'adresses IP pour les comptes d'entreprise, garantissant que seules les personnes du réseau d'entreprise autorisé peuvent se connecter pour un certain compte. Les utilisateurs peuvent également définir une couche de sécurité supplémentaire pour le processus d'authentification en activant l'authentification à 2 facteurs (2FA) pour le processus de connexion.

Si vous avez des questions, veuillez nous contacter : support@metals-hub.com