L’une des questions les plus fréquemment posées que nous recevons est : « Quels sont les aspects techniques de la sécurité de CiraSync et quelles mesures prenez-vous pour assurer la sécurité des informations des utilisateurs ? » Lorsqu’une entreprise décide de chercher de l’aide à l’extérieur pour la gestion d’information, elle veut s’assurer de la protection de cette information.
En tant qu’entreprise SaaS, CiraSync s’intègre étroitement à Microsoft Azure, en utilisant Azure Consent Framework. Si vous êtes abonné, vos données sont conservées sur Microsoft Cloud. De plus, avec plus de 100 millions d’utilisateurs actifs sur Office 365 et plus de certifications de sécurité dans le cloud que toute autre entreprise, la sécurité de Microsoft Azure est sans doute la meilleure au monde.
Comment Microsoft assure-t-il votre sécurité ?
Microsoft s’est donné comme priorité d’assurer les niveaux les plus élevés de stabilité et de sécurité au sein de leurs opérations vu que les entreprises s’installent rapidement vers le cloud. Leur objectif est de rendre les données accessibles aux utilisateurs n’importe où, sans compromis sur la sécurité.
Un problème courant est que les anciennes solutions de sécurité ne sont pas conçues pour protéger les données qui s’exécutent dans les applications SaaS. Les méthodes traditionnelles telles que les pare-feu ne donnent pas une accessibilité et une visibilité approfondies aux applications qui sont conservées hors site. Ces méthodes n’offrent pas de protection et de sécurité pour les applications cloud car elles ne gardent qu’une trace d’une petite région de trafic et ont un accès limité à de nombreuses activités d’applications.
L’infrastructure d’Azure est conçue comme une base sécurisée pouvant héberger des millions de clients simultanément, offrant aux utilisateurs le contrôle et la personnalisation via un large éventail d’options de sécurité configurables. Azure empêche le transfert non autorisé et involontaire d’informations entre les déploiements dans une architecture mutualisée, en utilisant l’isolation du réseau local virtuel, les listes de contrôle d’accès, les équilibreurs de charge et les filtres IP, ainsi que les stratégies de flux de trafic ; la traduction d’adresses réseau sépare le trafic réseau interne du trafic externe.
Pour faire simple, parce que CiraSync est hébergé sur des serveurs Azure, leur sécurité est notre sécurité.
On comprend cependant que cela ne réponde pas à toutes les questions, car il y a d’autres points de vulnérabilité qui peuvent arriver.
Voici quelques questions plus fréquemment posées.
Comment CiraSync gère-t-il et protège-t-il les données PII ?
CiraSync est hébergé sur Azure. Azure possède plus de certifications de sécurité cloud que tout autre fournisseur de cloud dans le monde. Ainsi, la sécurité physique des serveurs CiraSync est assez sécurisée.
Seuls trois Ordinateurs Virtuels sont accessibles via des adresses IP publiques. Tous les ports sont verrouillés pour le trafic Internet entrant, à l’exception du tableau de bord qui autorise le port 443. La communication inter-serveurs se fait via des connexions LAN sur des adresses IP privées.
Les sauvegardes restent dans le cloud Azure. Les journaux et toute mise en cache utilisée à des fins de performances sont purgés après 30 jours.
Quel est le flux de données architecturales du système ?
Aucun document d’architecture formel n’est disponible pour publication. CiraSync s’interfacer avec Azure AD à l’aide de l’API Graph. L’accès à Office 365 Exchange se fait via les services Web Exchange.
Toutes les données client sont transmises sur le réseau Microsoft Azure, et non sur Internet.
Les informations d’abonné du locataire (tenant) principal sont stockées sur le serveur SQL. Les données de journalisation et de mise en cache sont stockées dans MongoDB. Les informations de facturation sont stockées sur QuickBooks en ligne. Toutes les transactions par carte de crédit sont effectuées via Authorize.Net et sont conformes à la norme PCI.
Pour des raisons de performances, les listes de contacts et les calendriers sont mis en cache dans une base de données locale exécutée sur chaque travailleur. Toutes les informations mises en cache sont automatiquement purgées après 30 jours.
Notez que les données au repos sont cryptées sur le système de fichiers.
Quelles sont les politiques d’accès et d’authentification à la connexion ?
CiraSync ne stocke ni ne demande de mots de passe. Aucun code n’existe pour stocker les mots de passe des clients.
Toutes les authentifications sont effectuées via le processus de consentement d’Azure. Une fois que l’utilisateur a donné son consentement à l’application Azure CiraSync, toutes les interactions avec les données du tenant sont effectuées à l’aide du jeton.
À tout moment, vous pouvez retirer le consentement pour CiraSync.
Quelles politiques sont en place pour contrecarrer les infractions d’initiés ?
L’accès RDP aux serveurs est limité au directeur technique et à trois membres du personnel qui sont tous des employés de longue date et fortement engagés dans le succès de CiraSync.
Notre application cloud d’administration et de facturation dispose d’une liste restreinte de membres du personnel pouvant accéder à la console. Il n’est pas possible d’exporter les données de contact et de calendrier des clients.
Avez-vous un article sur la politique de confidentialité?
Notre dernière politique de confidentialité dans son intégralité est disponible ici : /data-privacy-policy/