Cloud-IAM fourni une sécurité de premier ordre aux entreprises et à leurs utilisateurs
Infrastructure & sécurité réseau
Le contrôle d’accès physique aux data centers, aux serveurs, aux équipements de réseau et au stockage est géré par votre fournisseur cloud. Les clusters Keycloak de Cloud-IAM peuvent être hébergés sur Scaleway, Google Cloud Platform, Amazon AWS, Azure or 3DS Outscale. Les employés de Cloud-IAM n’ont pas d’accès physique aux data centers, serveurs, équipements réseau ou stockage de Scaleway, Amazon AWS, Google Cloud Platform ou 3DS Outscale. En particulier, les data centers de Google sont dotés d’un solide modèle de sécurité à plusieurs niveaux. Lisez cet article de Google pour en savoir plus. Les garanties étendues comprennent : La sécurité du contrôle d’accès logique chez Cloud-IAM Cloud-IAM est un administrateur assigné aux infrastructures de Scaleway, Google Cloud Platform, Amazon AWS et 3DS Outscale. Seuls les membres autorisés de l’équipe d’exploitation de Cloud-IAM ont accès à la configuration de l’infrastructure en fonction des besoins. L’accès est contrôlé par un réseau privé virtuel authentifié par deux facteurs. Des clés privées spécifiques sont requises pour les différents serveurs, et les clés sont stockées dans un endroit sécurisé et chiffré. Des audits par des tiers de services sont disponibles auprès de votre hébergeur cloud Scaleway, Google Cloud Platform, Amazon AWS et 3DS Outscale se soumettent régulièrement à des audits indépendants réalisés par des tiers et vérifient les contrôles de conformité des centres de données, de l’infrastructure et des opérations. Il s’agit notamment de la certification SOC 2 conforme à la norme SSAE 16 et de la certification ISO 27001.
Continuité des activités et reprise après incident
Cloud-IAM conserve toutes les heures des sauvegardes chiffrées des données dans plusieurs régions pour tous les fournisseurs de services cloud que nous prenons en charge. Même si ce scénario est peu probable, en cas de perte de données de production (par exemple si le stockage des données primaires sont perdus), nous restaurerons les données de votre organisation à partir de ces sauvegardes.
Haute disponibilité Chaque composant du service Cloud-IAM repose sur des serveurs correctement dimensionnés et redondants (plusieurs load balancers, serveurs web, bases de données répliquées) afin de prévenir toute défaillance. Dans le cadre des opérations de maintenance régulières, certains serveurs peuvent être mis hors service sans impact sur la disponibilité. Plan de reprise sinistre En cas de panne à l'échelle d'une région, Cloud-IAM mettra en place un environnement dupliqué dans une autre région. L'équipe opérationnelle de Cloud-IAM a une grande expérience des migrations régionales complètes.
Conformité & certification
Cloud-IAM s’engage à protéger vos données et à garantir leur sécurité. Si vous découvrez une éventuelle faille de sécurité sur l’un de nos services, nous voulons en être informés !
Si vous traitez des données de l’Union européenne par l’intermédiaire d’un fournisseur (comme Cloud-IAM), vous devez alors mettre en place un accord contractuel avec chaque fournisseur afin que l’UE sache que vous ne faites affaire qu’avec des entreprises qui respectent pleinement le règlement général sur la protection des données (RGPD). PCI DSS Les informations relatives aux paiements avec Cloud-IAM et aux cartes sont traitées par Stripe, qui a fait l’objet d’un audit par un évaluateur de sécurité qualifié PCI indépendant et est certifié en tant que fournisseur de services PCI de niveau 1, le niveau de certification le plus strict disponible dans le secteur des paiements. Cloud-IAM ne reçoit généralement pas de données de cartes de crédit, ce qui le rend conforme aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) dans la plupart des situations. Divulgation des vulnérabilités Si vous souhaitez signaler une vulnérabilité ou si vous avez des inquiétudes concernant la sécurité de Cloud-IAM, veuillez contacter [email protected]. Nous disposerons ainsi d’un moyen structuré de suivre vos préoccupations et d’y répondre, généralement dans les 24 heures. Incluez un POC, une liste des outils utilisés (incluant leurs versions), ainsi que les résultats obtenus. Nous prenons toutes les divulgations très au sérieux. Dès réception, chaque vulnérabilité est rapidement vérifiée avant que les mesures nécessaires soient prises pour la corriger. Une fois confirmées, des mises à jour de statut sont envoyées régulièrement jusqu’à la résolution complète. Si vous souhaitez chiffrer les informations sensibles que vous nous envoyez, notre clé PGP se trouve à l’adresse suivante Keybase. Nous sommes ouverts aux bug bounties pour les rapports de vulnérabilités critiques.
Sécurité des entreprises
Protection contre les logiciels malveillants Chez Cloud-IAM, nous pensons que les bonnes pratiques de sécurité commencent par notre propre équipe, c’est pourquoi nous faisons tout notre possible pour nous protéger contre les menaces internes et les vulnérabilités locales. Gestion des risques Cloud-IAM suit les procédures de gestion des risques décrites dans les documents suivants NIST SP 800-30, qui comprennent neuf étapes pour l’évaluation des risques et sept étapes pour l’atténuation des risques. Toutes les modifications apportées au produit Cloud-IAM doivent passer par un examen du code, un processus de CI et un pipeline de construction avant d’atteindre les serveurs de production. Seuls les employés désignés de l’équipe opérationnelle de Cloud-IAM ont un accès sécurisé (SSH) aux serveurs de production. Nous effectuons des tests et une gestion des risques sur tous les systèmes et applications de manière régulière et continue. De nouvelles méthodes sont développées, examinées et déployées en production par le biais d’une demande d’extension et d’un examen interne. Les nouvelles pratiques de gestion des risques sont documentées et partagées par le biais de présentations du personnel sur les leçons apprises et les meilleures pratiques. Cloud-IAM effectue des évaluations des risques tout au long du cycle de vie du produit, conformément aux normes énoncées dans le document HIPAA Security Rule, 45 CFR 164.308: -Avant l’intégration de nouvelles technologies de système et avant que des changements ne soient apportés aux mesures de protection physique de Cloud-IAM. -En apportant des modifications aux équipements physiques et aux installations de Cloud-IAM qui introduisent de nouvelles configurations non testées. -Périodiquement, dans le cadre d’évaluations techniques et non techniques des exigences des règles de sécurité, ainsi qu’en réponse à des changements environnementaux ou opérationnels ayant une incidence sur la sécurité. Plan d’urgence L’équipe chargée des opérations de Cloud-IAM place la continuité des services et l’élimination des menaces au premier rang de ses priorités. Nous disposons d’un plan d’urgence en cas d’événements imprévus, comprenant des sous-plans de gestion des risques, de reprise après sinistre et de communication avec les clients, qui sont testés et mis à jour en permanence et qui font l’objet d’un examen approfondi au moins une fois par an afin de détecter les lacunes et les changements. Politique de sécurité Cloud-IAM maintient un wiki interne de politiques de sécurité, qui est mis à jour en permanence et revu annuellement pour combler les lacunes. Formation à la sécurité Tous les nouveaux employés reçoivent une formation à l’accueil et aux systèmes, y compris la configuration de l’environnement et des autorisations, une formation formelle au développement de logiciels (le cas échéant), un examen des politiques de sécurité, un examen des politiques de l’entreprise, et une formation aux valeurs et à l’éthique de l’entreprise. Tous les ingénieurs examinent les politiques de sécurité dans le cadre de l’intégration et sont encouragés à examiner les politiques et à y contribuer par le biais de la documentation interne. Tout changement de politique affectant le produit est communiqué sous la forme d’une demande d’extraction, de sorte que tous les ingénieurs puissent l’examiner et y contribuer avant la publication interne. Les mises à jour majeures sont communiquées par e-mail à tous les employés de Cloud-IAM. Politique de signalement des vulnérabilités Cloud-IAM suit le processus de traitement et de réponse aux incidents recommandé par la Commission européenne et SANS, incluant la détection, le confinement, l’éradication, la reprise, la communication et la documentation des incidents de sécurité. Cloud-IAM informe ses clients de toute violation de données dans les plus brefs délais, par e-mail et par appel téléphonique, puis envoie plusieurs mises à jour quotidiennes sur l’avancement et l’impact. Les offres Cloud-IAM à partir de Essential incluent un Customer Success Manager (CSM) dédié, responsable de la communication client, des points de suivi réguliers et des escalades. Cloud-IAM maintient un rapport en temps réel sur le temps de fonctionnement et les problèmes sur page de status. Tout incident connu y est signalé, ainsi que sur notre flux Twitter.
Concentrez-vous sur votre activité, nous nous chargeons de Keycloak
Solution Keycloak managé par Cloud-IAM
Déployer et maintenir une solution Keycloak sécurisée et performante peut sembler complexe, mais avec Cloud-IAM, ça ne l’est pas. Depuis 2019, nous simplifions le quotidien de plus de 20 millions d’utilisateurs Keycloak. Pourquoi pas vous ?
