Protégez votre ressource la plus précieuse : l'information

Disponibilité et continuité

Nuxeo Cloud s’appuie principalement sur la plateforme Amazon Web Services, qui offre un environnement stable auquel de nombreuses marques et entreprises font confiance. L’infrastructure sous-jacente garantit une disponibilité du service de 99,9 %, ce qui signifie que votre solution est sécurisée tout en restant accessible.

Avec de nombreux centres de données géographiquement dispersés, nous offrons à nos clients les plus hauts niveaux de disponibilité, de continuité et de récupération en cas de sinistre.

En plus d’intégrer des mesures de sécurité avancées à notre plateforme, nous participons à des initiatives de sécurité plus globales et à des projets open source afin d’améliorer la sécurité d’AWS :

Okta AWS CLI

IvoryShield

AWS SMTP Replay

La sécurité - Un composant essentiel de l'ADN de Nuxeo

La philosophie de Nuxeo en matière de sécurité de l’information repose sur quatre piliers.

• Authentification : Identifier l’utilisateur avec certitude dans l’ensemble de l’entreprise. Nuxeo gère une large gamme de protocoles et de fournisseurs d’authentification : identifiant/mot de passe, oAuth, SAML2, OpenID, LDAP/AD, Shibboleth et authentification avancée à deux facteurs (2FA).

• Accès utilisateurs : S’assurer que chaque utilisateur autorisé puisse accéder au contenu adapté et réaliser toutes les actions possibles via des listes de contrôle d’accès (ACL) et des politiques de sécurité personnalisées.

• Protection : Assurer la sécurité de votre contenu, quelle que soit sa situation. Cela implique pour nous de vérifier que le contenu disponible dans la plateforme Nuxeo n’a pas été altéré. Le trafic de notre plateforme est chiffrable en SSL et peut être configuré pour des performances optimales. Nuxeo gère également le chiffrage AES du contenu inactif (archivé), avec un stockage sécurisé des clés dans un HMS (Hardware Security Module) connecté à une machine virtuelle java (JVM). Il est également possible de chiffrer la base de données back-end et de parcourir les index du système.

• Audit : En plus d’adopter une approche proactive contre les failles de sécurité, notre plateforme met en place un suivi d’audit assurant un historique détaillé de tous les utilisateurs historiques et de l’activité du système.

Nous réalisons régulièrement des tests rigoureux, avec des tests d’intrusion deux fois par an, des scans automatisés et des audits externes. Nos procédures et protocoles de réponse aux incidents sont pensés pour nous permettre de réagir rapidement en cas de faille de sécurité.

Conformité

La sécurité est notre priorité, et nous ne faisons pas de compromis sur ce point. Vous trouverez ci-dessous les normes de sécurité que nous respectons.

• PCI : La norme PCI DSS regroupe des protocoles de sécurité et de respect de la vie privée permettant d’accepter, de stocker, de traiter et de transmettre les informations relatives aux cartes de paiement, y compris les informations portant sur le détenteur. Cette norme impose aux commerçants et aux fournisseurs de service qui stockent, traitent ou transmettent des données relatives aux cartes de paiement d’adopter des contrôles et des processus de sécurité adaptés afin de garantir la sécurité de ces données.

• SOC2 : Le rapport SOC 2 s’appuie sur les principes et critères de confiance de l’AICPA (Trust Services Principles and Criteria). Ce rapport est destiné à répondre aux besoins d’un large éventail d’utilisateurs ayant besoin d’informations détaillées et de garanties vis-à-vis des contrôles mis en place chez un fournisseur de services. Celles-ci peuvent concerner la sécurité, la disponibilité et l’intégrité des systèmes utilisés par ce fournisseur pour traiter les données des utilisateurs ainsi que la confidentialité des informations traitées par ces systèmes.

• Règle 17a-4 de la SEC : La règle 17a-4 a été émise par la U.S. Securities and Exchange Commission, l’organisme fédéral américain de réglementation et de contrôle des marchés financiers. Elle définit certaines exigences en matière de conservation, mise en suspens juridique et accessibilité des archives pour les entreprises impliquées dans la vente ou l’achat de titres financiers (actions, obligations, contrats à termes).

• RGPD : Le RGPD s’applique à toutes les organisations qui collectent ou traitent des données relatives à des résidents de l’UE que l’organisation soit basée dans l’UE ou pas. Avec sa plateforme, Nuxeo propose les fonctionnalités dont vous avez besoin pour vous conformer rapidement aux nouvelles réglementations en matière RGPD.