ISO 27001

Oreonyx est certifié ISO 27001 par LRQA.

GDPR / CCPA

Oreonyx est conçu pour se conformer à toutes les exigences énoncées par le GDPR et le CCPA.

Oreonyx est une société immatriculée au Royaume-Uni et est enregistrée auprès du UK Information Commissioner's Office.

Dans la mesure du possible, Oreonyx met à la disposition de ses clients des outils leur permettant de respecter leurs obligations vis-à-vis de cette législation au sein de la plateforme.

ISO 27001

Oreonyx est certifié ISO 27001 par LRQA.

PCI DSS

Oreonyx utilise Stripe pour traiter les informations relatives aux paiements et aux cartes, qui a fait l'objet d'un audit par un évaluateur de sécurité qualifié PCI indépendant et est certifié en tant que fournisseur de services PCI de niveau 1. Il s'agit du niveau de certification le plus strict disponible dans l'industrie des paiements.

Oreonyx ne reçoit généralement pas de données de cartes de crédit, ce qui le rend conforme aux normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) dans la plupart des cas.

Oreonyx lui-même n'est pas conçu pour le stockage de données protégées par la norme PCI et les clients doivent s'assurer qu'ils n'utilisent pas le système d'une manière qui nécessite le stockage d'informations relatives aux cartes de crédit.

Politique de divulgation des vulnérabilités

Oreonyx a mis en place un programme public de divulgation des vulnérabilités (VDP) à l'adresse suivante : https://oreonyx.live/disclosure/policy

Nous prenons très au sérieux les divulgations de vulnérabilités. Une fois les divulgations reçues, nous vérifions rapidement chaque vulnérabilité contenue dans le rapport avant de prendre les mesures nécessaires pour contenir le problème et y remédier.

Une fois la vérification effectuée, nous enverrons des mises à jour régulières au fur et à mesure que les problèmes seront résolus et nous nous efforcerons de travailler avec le journaliste pour coordonner la divulgation publique si cela est souhaité.

Oreonyx dispose d'un processus de réponse bien documenté pour la détection et la résolution des incidents de sécurité.

Sécurité des infrastructures et des réseaux

La plateforme Oreonyx est hébergée exclusivement sur Google Cloud Platform.

Google Cloud dispose de certificats ISO 27001 et de rapports SOC 2/3 qui peuvent être consultés ici.

Les centres de données utilisés par Google Cloud Platform sont dotés de mesures de sécurité étendues qui s'appuient sur un modèle de sécurité à plusieurs niveaux. Ces mesures de protection sont les suivantes :

• Barrières d'accès aux véhicules
• Clôture périphérique
• Détecteurs de métaux
• Contrôle d'accès biométriquel
• Alarmes
• Cartes de contrôle d'accès électroniques conçues par Google

Pour en savoir plus sur la sécurité physique de ces centres de données, consultez le livre blanc de Google sur la sécurité.

Les employés d'Oreonyx n'ont pas d'accès physique aux centres de données, serveurs, équipements de réseau ou supports de stockage de Google.

Contrôle d'accès logique

Oreonyx est l'administrateur attitré de son infrastructure sur Google Cloud Platform et seul un petit nombre d'employés autorisés d'Oreonyx ont accès à la configuration de cette infrastructure. Lorsque la configuration de l'infrastructure est effectuée, elle l'est en fonction des besoins et nécessite une authentification à deux facteurs.

L'accès direct aux serveurs (tel que SSH) n'est effectué qu'en cas de besoin et fait l'objet d'un enregistrement d'audit détaillé. Les connexions SSH sont protégées par une authentification à deux facteurs et des certificats régulièrement renouvelés.

Les connexions des administrateurs aux serveurs de production se font sur un réseau privé.

Les droits d'administration (y compris SSH, accès à la base de données et configuration de l'infrastructure) sont étroitement contrôlés et limités à un très petit nombre de membres de notre équipe.

Test de pénétration

Oreonyx fait l'objet d'un test de pénétration annuel par une agence tierce accréditée.

Les testeurs de pénétration reçoivent un diagramme de haut niveau de l'architecture de l'application et les tests sont exécutés dans notre environnement de production hébergé.

Les informations sur les vulnérabilités de sécurité exploitées avec succès lors des tests de pénétration sont utilisées pour définir les priorités en matière d'atténuation et de remédiation. Les clients de notre plan Entreprise peuvent demander un résumé des résultats de nos derniers tests de pénétration en contactant leur gestionnaire de compte.

Audit par un tiers

Oreonyx est certifié ISO 27001 par LRQA.

Détection et prévention des intrusions

Oreonyx utilise une combinaison de signaux basés sur l'hôte, sur le réseau et sur l'infrastructure pour fournir des systèmes de détection et de prévention des intrusions (IDS/IPS).

Nous utilisons à la fois la sécurité basée sur les signatures et la sécurité basée sur les algorithmes pour identifier les modèles qui pourraient représenter une méthode d'attaque.

Notre stratégie IPS implique un contrôle strict de la surface d'attaque, l'utilisation de contrôles de détection intelligents et superposés aux points d'entrée des données, et le déploiement de technologies qui remédient automatiquement aux situations potentiellement dangereuses.

Oreonyx n'offre pas à ses clients l'accès aux analyses des événements de sécurité, mais continue à leur fournir une assistance pendant et après tout temps d'arrêt imprévu.

Haute disponibilité

Chaque partie de la plateforme Oreonyx utilise des serveurs redondants automatiquement provisionnés pour se prémunir contre les pannes.

Les serveurs sont régulièrement mis en service et hors service tout au long de la journée dans le cadre de nos opérations de routine, sans que cela n'affecte la disponibilité.

Reprise après sinistre

Oreonyx dessert principalement un trafic provenant d'une seule région géographique répartie sur plusieurs zones de disponibilité.

Dans le cas improbable d'une panne régionale prolongée, nous maintenons une procédure documentée pour le provisionnement de notre environnement de déploiement dans une région distincte.

Oreonyx dispose d'un processus de réponse aux incidents largement documenté qui comprend des procédures documentées pour la continuité des activités et la reprise après sinistre.

Données provenant des clients

Toutes les données des clients sont envoyées à Oreonyx via HTTPS en utilisant TLS 1.2 ou supérieur.

Tous les systèmes d'Oreonyx sont configurés pour rejeter les connexions utilisant une version TLS inférieure à 1.2 ou celles utilisant des suites de chiffrement potentiellement non sécurisées.

Oreonyx exploite un réseau de confiance zéro, ce qui signifie que tout le trafic réseau, même à l'intérieur du périmètre de notre propre réseau, est crypté.

Oreonyx teste régulièrement la disponibilité et la sécurité de sa configuration SSL à l'aide de SSL Labs Reporting. Le dernier rapport peut être consulté ici.

Toutes les demandes adressées au système sont enregistrées et surveillées à l'aide d'une combinaison de systèmes basés sur des règles et des anomalies.

Données quittant le système

Oreonyx permet à ses clients d'accéder aux données stockées dans Oreonyx par le biais de plusieurs méthodes, notamment :

• Notre application web hébergée à l'adresse suivante : https://app.oreonyx.live
• Nos applications mobiles pour Android et iOS
• Notre API REST pour les développeurs est hébergée à l'adresse suivante : https://api.oreonyx.live

Toutes les méthodes que nous fournissons à nos clients pour accéder à leurs données garantissent le cryptage en transit à l'aide de TLS 1.2 ou supérieur.

Connexion par code temporaire

Oreonyx offre aux utilisateurs la possibilité de se connecter à l'aide de mots de passe temporaires.

Les mots de passe temporaires sont valables pendant une heure après leur émission et disposent de plusieurs défenses automatisées contre les attaques par force brute.

Authentification à deux facteurs

Oreonyx offre aux utilisateurs la possibilité d'ajouter une couche de sécurité supplémentaire à leur compte Oreonyx en utilisant des mots de passe à usage unique basés sur le temps (TOTP).

Une fois activée, l'authentification à deux facteurs s'applique à toutes les méthodes d'authentification, y compris l'authentification unique.

Se connecter avec Google

Oreonyx permet aux utilisateurs de se connecter en utilisant leur compte Google ou GSuite for Business.

Oreonyx participe au programme d'évaluation de la sécurité de Google, ce qui signifie que notre flux de connexion avec Google est évalué chaque année en termes de sécurité et de confidentialité par un auditeur tiers désigné par Google.

SAML 2.0

Les clients qui bénéficient de nos plans Business ou Enterprise peuvent activer l'authentification basée sur SAML.

Les espaces de travail ont la possibilité de forcer tous leurs utilisateurs à s'authentifier à l'aide de SAML 2.0 pour s'aligner sur leurs propres exigences en matière d'authentification.

Authentification API REST (clé API)

Oreonyx fournit une API REST complète qui permet à nos clients d'accéder à leurs données par le biais d'intégrations avec d'autres plateformes.

Les clés API ont été conçues pour résister aux attaques par force brute.

Les clients sont en mesure d'émettre, de modifier et de révoquer les clés API via la page Paramètres de l'espace de travail.

Développement d'applications sécurisées (ADL / SDLC)

Oreonyx utilise un modèle d'intégration et de déploiement continus, ce qui signifie que toutes nos modifications de code sont enregistrées dans un dépôt de code source, révisées, testées et expédiées à nos clients dans un ordre rapide.

Au cours d'une journée de travail typique, nous déployons entre une et vingt versions d'Oreonyx à nos clients.

Notre modèle de développement par itération rapide améliore considérablement notre temps de réponse aux bogues, aux vulnérabilités et aux incidents de sécurité.

Oreonyx ne fournit pas de notes de version à ses clients pour chaque version de l'application que nous déployons.

Sécurité de l'entreprise

Oreonyx estime qu'une bonne sécurité s'applique aussi bien à notre équipe qu'à notre plate-forme.

Protection contre les logiciels malveillants

Oreonyx maintient un système complet de protection contre les logiciels malveillants soutenu par Malware Bytes et Apple GateKeeper.

Sécurité et configuration des points d'extrémité

Oreonyx utilise Fleetsmith pour la gestion de l'inventaire et la configuration.

Tous les terminaux d'Oreonyx utilisent le chiffrement intégral du disque, le verrouillage de l'écran, l'effacement à distance et des mots de passe forts.

Gestion des risques

Oreonyx utilise un processus documenté d'évaluation et de traitement des risques.

Oreonyx utilise une combinaison d'évaluations des risques basées sur les actifs et les scénarios.

Tous les déploiements d'Oreonyx font l'objet d'un examen par les pairs, de tests automatisés et d'un processus de déploiement automatisé qui met à jour l'environnement de production.

Oreonyx effectue régulièrement une gestion et un traitement des risques de tous les systèmes et applications.

Plan d'urgence

Oreonyx place la disponibilité et la confidentialité de sa plate-forme en tête de ses priorités.

Oreonyx maintient un processus complet de réponse aux incidents qui comprend des plans de reprise après sinistre et de communication avec les clients.

Nous testons tous nos processus de réponse aux incidents tous les trimestres et examinons minutieusement les résultats de nos tests pour détecter les lacunes.

Nous mettons à jour notre processus de réponse aux incidents au moins une fois par an.

Vérifications des antécédents

AAttio effectue des vérifications d'antécédents en utilisant le service britannique Disclosure and Barring pour les membres de notre équipe qui ont un accès administrateur à notre infrastructure.

Formation à la sécurité

Tous les employés d'Oreonyx reçoivent une formation à la sécurité lors de leur arrivée dans l'équipe et tous les trimestres par la suite.

Les membres de l'équipe d'ingénieurs d'Oreonyx reçoivent régulièrement une formation supplémentaire qui couvre les pratiques de développement sécurisé, telles que le Top 10 de l'OWASP, en plus de nos politiques internes.

Politique de réponse aux incidents

Lorsqu'un incident de sécurité affecte la confidentialité des données du client, Oreonyx contacte les administrateurs enregistrés de l'espace de travail.

Oreonyx tient à jour une page d'état publique à l'adresse https://status.oreonyx.live qui rend compte des problèmes opérationnels.

Toute personne peut s'abonner aux mises à jour par courrier électronique à partir de la page d'état.