Politique de sécurité
Nous prenons la sécurité très au sérieux chez Overloop, et nous sommes fiers de dépasser les normes de l'industrie en matière de protection de votre organisation.
Infrastructure
Tous nos services fonctionnent dans le cloud. Nous n'hébergeons ni ne gérons nos propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques. Notre service est construit sur Heroku (Salesforce, Inc.), lui-même hébergé sur Amazon Web Services (AWS). Ils fournissent des mesures de sécurité robustes pour protéger notre infrastructure et sont conformes à la plupart des certifications. Vous pouvez en savoir plus sur leurs pratiques ici et ici.
Fonctionnalités de sécurité
-
Protection contre les attaques DDoS
Nous utilisons une protection DDoS rapide, distribuée mondialement et intelligente, toujours active, alimentée par Cloudflare, Inc.
-
Chiffrement des données en transit
Toutes les données envoyées vers ou depuis notre infrastructure sont chiffrées en transit selon les meilleures pratiques de l'industrie en utilisant le TLS. Vous pouvez consulter notre rapport SSLLabs ici.
-
Chiffrement des données au repos
Toutes les données de nos utilisateurs (y compris les mots de passe) sont chiffrées dans la base de données par nos fournisseurs de base de données Heroku (Salesforce, Inc.) et Redis Labs, Inc. en utilisant des algorithmes de chiffrement éprouvés.
-
Suppression personnalisée des données
Nous conservons les données de nos utilisateurs pendant une période de 60 jours après la fin de leur abonnement. Toutes les données sont ensuite complètement supprimées de nos serveurs, à l'exception des données de paiement et de facturation. Chaque utilisateur peut demander la suppression des données d'utilisation en contactant le support.
-
Récupération après sinistre
Nous sauvegardons tous nos actifs critiques et tentons régulièrement de restaurer la sauvegarde pour garantir une récupération rapide en cas de sinistre. Toutes nos sauvegardes sont chiffrées.
-
Surveillance de la sécurité des applications
Nous utilisons Bugsnag pour surveiller les exceptions, les journaux et détecter les anomalies dans nos applications. Nous collectons et stockons les journaux pour fournir une piste d'audit de l'activité de nos applications.
-
Protection de la sécurité des applications
- Un WAF est mis en place pour filtrer les demandes entrantes essayant de compromettre le service.
- Un pare-feu est systématiquement utilisé sur les serveurs d'Overloop pour empêcher l'accès à partir d'adresses IP non approuvées.
- Les interfaces administratives critiques sont protégées en utilisant au moins une authentification double.
- Notre infrastructure logicielle est régulièrement mise à jour en utilisant des mécanismes de mise à jour automatique lorsque cela est possible.
- Des systèmes de messagerie chiffrés de bout en bout sont disponibles pour les employés et les sous-traitants d'Overloop, et utilisés pour la plupart des communications.
-
Développement sécurisé
Nous appliquons les meilleures pratiques de développement pour atténuer les types de vulnérabilités connus tels que ceux de la OWASP Top 10 des risques de sécurité des applications Web.
-
Traitement des paiements
Tous les traitements de paiement sont externalisés à Stripe, qui est certifié comme fournisseur de services PCI de niveau 1. Nous ne collectons aucune information de paiement et ne sommes donc pas soumis aux obligations PCI.
-
Accès restreint aux données
Notre procédure interne stricte empêche tout employé d'accéder aux données des utilisateurs. Des exceptions limitées peuvent être faites pour le support client.
Programme de divulgation des vulnérabilités
Aucune technologie n'est parfaite, et nous croyons qu'il est crucial de collaborer avec des chercheurs en sécurité compétents à travers le monde pour identifier les faiblesses dans Overloop. Si vous pensez avoir trouvé un problème de sécurité dans notre produit, nous vous encourageons à nous en informer et nous serons heureux de travailler avec vous pour résoudre le problème rapidement.
Vous avez d'autres questions sur notre approche en matière de sécurité et sur la protection de vos données ?
Contactez-nous