Centre fiduciaire de sécurité

ProcessMaker suit les meilleures pratiques et les normes industrielles établies pour répondre aux exigences générales en matière de sécurité et de confidentialité. Cette approche aide nos clients à respecter leurs normes de conformité spécifiques.

Nous faisons l'objet d'audits de routine afin de recevoir des rapports SOC 2 Type II actualisés, disponibles sur demande et sous NDA. Demander le dernier rapport SOC 2 Type II.

ProcessMaker est certifié ISO 27001:2013. Télécharger le certificat.

Notre cadre de gouvernance garantit une prise de décision transparente et responsable, guidant notre organisation vers des pratiques éthiques et efficaces. Les éléments clés sont les suivants :

• Structure de direction : Rôles et responsabilités clairement définis pour les postes de direction.
• Politiques et procédures : Établir des lignes directrices documentées pour la prise de décision et les opérations.
• Conformité : Respect des lois, des règlements et des normes industrielles applicables.
• Transparence : Communication ouverte et divulgation des informations pertinentes aux parties prenantes.
• Responsabilité : Veiller à ce que les individus et les équipes soient responsables de leurs actions et de leurs décisions.
• Pratiques éthiques : Respecter les normes morales et éthiques dans tous les aspects des opérations.
• Gestion des risques : Identifier, évaluer et atténuer les risques potentiels pour l'organisation.
• Engagement des parties prenantes : Impliquer et prendre en compte les intérêts des parties prenantes concernées.
• Amélioration continue : Examiner et améliorer régulièrement les processus de gouvernance pour en assurer l'efficacité.

Mise à jour - 12 janvier 2024

ProcessMaker utilise les produits de cryptage les plus puissants pour protéger les données et les communications des clients, en utilisant l'algorithme de cryptage AES-256 et le protocole Transport Layer Security v1.2.

Cryptage en transit
Toutes les interactions avec l'interface utilisateur (UI) et les API de ProcessMaker sont protégées par les protocoles standards HTTPS/TLS, garantissant le cryptage (TLS 1.2 ou supérieur) sur les réseaux publics pour un transit sécurisé des données. En ce qui concerne le courrier électronique, notre produit utilise par défaut le protocole TLS opportuniste, ce qui permet de crypter et d'acheminer les courriers électroniques en toute sécurité et de les protéger contre les écoutes clandestines entre les serveurs de messagerie qui prennent en charge ce protocole.

Chiffrement au repos
Les données de service sont cryptées au repos dans AWS en utilisant AES-256.

Les utilisateurs n'accèdent à Processmaker qu'avec un nom d'utilisateur et un mot de passe valides, qui sont cryptés via TLS lors de la transmission. Un cookie d'identification de session crypté est utilisé pour identifier chaque utilisateur de manière unique. Pour plus de sécurité, la clé de session est automatiquement brouillée et rétablie en arrière-plan à intervalles réguliers.

Notre modèle robuste de sécurité des applications prévient les sessions. ProcessMaker utilise divers outils de sécurité pour vérifier les meilleures pratiques de sécurité tout au long du cycle de développement du logiciel (SDLC).

À l'intérieur des pare-feu périmétriques, les systèmes sont protégés par la traduction d'adresses réseau, la redirection de ports, le masquage IP, les systèmes d'adressage IP non roulants, etc. Les détails spécifiques de ces fonctionnalités sont propriétaires.

ProcessMaker applique une sécurité stricte au niveau du système d'exploitation en utilisant un nombre minimal de points d'accès à tous les serveurs de production. Nous protégeons tous les comptes du système d'exploitation par des mots de passe forts et une authentification à deux facteurs. Tous les systèmes d'exploitation sont maintenus au niveau de sécurité recommandé par chaque fournisseur et sont renforcés par la désactivation et/ou la suppression de tout utilisateur, protocole et processus inutile.

Dans la mesure du possible, l'accès à la base de données est contrôlé au niveau du système d'exploitation et de la connexion à la base de données pour une sécurité supplémentaire. L'accès aux bases de données de production est limité à un nombre restreint de points, et les bases de données de production ne partagent pas une base de données de mots de passe maîtres. Tous les volumes de bases de données sont cryptés.

Toutes les données saisies dans l'application Processmaker par un client sont la propriété de ce client. Les employés de ProcessMaker n'ont pas d'accès direct aux environnements de production de ProcessMaker, sauf lorsque cela est nécessaire pour la gestion, la maintenance, la surveillance et les sauvegardes du système.

ProcessMaker maintient une page web publique processmaker-status, qui comprend des détails sur la disponibilité du système, la maintenance programmée, l'historique des incidents de service et les événements de sécurité pertinents.

ProcessMaker utilise des clusters de services et des redondances de réseaux afin d'éliminer les points de défaillance uniques. Notre régime de sauvegarde strict et/ou notre exercice de reprise après sinistre pour ProcessMaker hébergé dans AWS nous permet de fournir un niveau élevé de disponibilité du service, car les données du service sont répliquées à travers les zones de disponibilité.

Notre exercice de reprise après sinistre pour ProcessMaker Hosted in AWS garantit que nos services restent disponibles et sont facilement récupérables en cas de sinistre.
Pour ce faire, nous avons mis en place un environnement technique robuste, créé des plans de reprise après sinistre et testé des activités.

La politique de reprise après sinistre de ProcessMaker, qui fait partie de notre programme de continuité des activités, couvre différents types de scénarios de sinistre, notamment

• Corruption des données d'application
• Corruption des bases de données
• Questions de mise en réseau
• Une catastrophe totale

ProcessMaker dispose de mesures techniques pour chaque type de catastrophe, y compris une restauration totale du système, qui comprend la restauration de tous les composants de l'infrastructure et des données des clients dans une autre région AWS, si nécessaire.

Dans le cadre du programme de continuité des activités, des exercices de reprise après sinistre sont organisés une fois par an, ce qui permet aux participants de recevoir une formation pratique sur les interventions en cas d'urgence, allant de petites perturbations à une panne complète du système, et d'améliorer encore la politique de reprise après sinistre.

Notre plan de continuité des activités et de reprise après sinistre définit des objectifs de temps de reprise (RTO) et de point de reprise (RPO).

Tous les composants de réseau, les instances NAT, les répartiteurs de charge et les serveurs d'applications sont déployés avec des fonctions de haute disponibilité et de redondance. Toutes les données des clients sont stockées sur des volumes cryptés et tolérants aux pannes. Toutes les données de la base de données de production des clients sont automatiquement sauvegardées depuis la dernière transaction engagée, ainsi que des instantanés qui sont pris quotidiennement et stockés dans un seau AWS S3 avec des fonctions de cryptage et de géo-réplication activées.

• Certificats ISO 27001:2013

Obtenir des ressources

Les ressources suivantes peuvent nécessiter la présence d'un accord de confidentialité dans le dossier. Cliquez sur le bouton pour y accéder.

• Rapport SOC 2 Type II
• Rapport ISO 27001
• Résumé du test de pénétration annuel
• Résumé du test de continuité des activités et de reprise après sinistre
• Accord sur le traitement des données (DPA)

Obtenir des ressources

Installations
ProcessMaker héberge les données de service principalement dans des centres de données AWS qui ont été certifiés ISO 27001, PCI DSS Service Provider Level 1, et/ou SOC 2. En savoir plus sur la conformité chez AWS.

Les services d'infrastructure AWS comprennent une alimentation de secours, des systèmes de chauffage, de ventilation et d'extinction des incendies pour protéger les serveurs et, en fin de compte, vos données. En savoir plus sur les contrôles des centres de données chez AWS.

Sécurité sur site
La sécurité sur site d'AWS comprend des éléments tels que des agents de sécurité, des clôtures, des flux de sécurité, une technologie de détection des intrusions et d'autres mesures de sécurité. En savoir plus sur la sécurité physique d'AWS.

ProcessMaker minimise les risques associés aux fournisseurs tiers en procédant à des examens de sécurité pour tous les fournisseurs ayant un quelconque niveau d'accès à nos systèmes ou aux données des services.

Formation au code sécurisé
Dans le cadre de notre politique de développement de logiciels, Processmaker organise chaque année une formation sur le code sécurisé pour tous les ingénieurs, basée sur les 10 principaux risques de sécurité de l'OWASP.

Contrôles de sécurité des frameworks
ProcessMaker utilise des frameworks open-source modernes et sécurisés avec des contrôles de sécurité pour limiter l'exposition aux risques de sécurité du Top 10 de l'OWASP. Ces contrôles inhérents réduisent notre exposition à l'injection SQL (SQLi), au Cross Site Scripting (XSS), et au Cross Site Request Forgery (CSRF), entre autres.

Assurance qualité
Notre service d'assurance qualité (QA) examine et teste notre base de code. Des ingénieurs spécialisés dans la sécurité des applications identifient, testent et trient les failles de sécurité dans le code.

Environnements séparés
Les environnements de test et d'essai sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans nos environnements de développement ou de test.

ProcessMaker effectue des tests de pénétration annuels afin d'identifier et de corriger les vulnérabilités potentielles, renforçant ainsi notre engagement à maintenir une plateforme sécurisée. Demandez notre résumé du test de pénétration annuel.

Politiques
ProcessMaker a développé un ensemble complet de politiques de sécurité couvrant un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et sous-traitants ayant accès aux actifs informationnels de ProcessMaker.

Formation
Tous les employés suivent une formation de sensibilisation à la sécurité, dispensée lors de l'embauche et chaque année par la suite. Tous les ingénieurs reçoivent une formation annuelle sur le code sécurisé. L'équipe de sécurité fournit des mises à jour supplémentaires de sensibilisation à la sécurité par courrier électronique, par des articles de blog et lors de présentations à l'occasion d'événements internes.

Vérification des antécédents
ProcessMaker vérifie les antécédents de tous les nouveaux employés conformément aux lois locales. Ces vérifications sont également requises pour les sous-traitants. La vérification des antécédents comprend la vérification des antécédents criminels, de l'éducation et de l'emploi. Les équipes de nettoyage sont incluses.

Accords de confidentialité
Tous les nouveaux employés doivent signer des accords de non-divulgation et de confidentialité.

ProcessMaker fournit un ensemble avancé de fonctions d'accès et de cryptage pour aider les clients à protéger efficacement leurs informations. Nous n'accédons pas aux données des clients et ne les utilisons pas à d'autres fins que la fourniture, la maintenance et l'amélioration des services ProcessMaker, ainsi que dans les cas prévus par la loi.

ProcessMaker a obtenu un certain nombre de certifications et d'accréditations internationalement reconnues démontrant la conformité avec les cadres d'assurance de tierces parties. Les certifications de sécurité sont décrites ici. Demandez nos certifications.

ProcessMaker a mis en place une stratégie de conformité au GDPR à l'échelle de l'entreprise. Nos experts juridiques et en sécurité ont rigoureusement évalué les exigences du GDPR, en se tenant constamment informés de l'évolution des meilleures pratiques. Nous avons mis à jour nos produits, nos contrats et nos politiques pour les aligner sur le GDPR, non seulement pour la conformité, mais aussi pour aider activement nos clients à respecter ces normes. Plus d'informations sur nos efforts de conformité avec le Règlement général sur la protection des données (RGPD).

Vous pouvez consulter, compléter et/ou exécuter notre DPA conforme au GDPR en demandant notre ProcessMaker Customer Data Processing Addendum.

Ce document décrit la manière dont nous collectons, utilisons et protégeons vos données conformément aux lois sur la protection de la vie privée. Nous nous engageons à être transparents sur les informations que nous recueillons, en veillant à ce qu'elles soient traitées de manière responsable et sécurisée. Veuillez consulter notre politique de confidentialité pour comprendre comment nous donnons la priorité à votre vie privée, en vous donnant les connaissances nécessaires pour prendre des décisions éclairées concernant vos données sur notre plateforme.

ProcessMaker utilise des cookies sur nos Services et sites Web associés pour améliorer la fonctionnalité, fournir des analyses et enregistrer les préférences. Ces cookies, classés par session et persistants, sont organisés par ordre alphabétique au sein de chaque service ou site Web. Pour une vue d'ensemble concise, veuillez vous référer à notre Politique en matière de cookies.