Votre sécurité est très importante pour nous ! Voici un récapitulatif de ce que nous faisons chaque jour pour la sécurité de vos données et vous garantir que nous appliquons les meilleurs pratiques sur notre plateforme SaaS.

Sauvegardes / Reprise après sinistre

Sauvegardes

Les données clients sont au cœur de l’attention des équipes de Madiasoft. Afin d’en assurer l’intégrité et la disponibilité, Madiasoft opère un système de sauvegarde performant et redondé.

Les infrastructures de sauvegarde ne sont pas localisées dans la même région (i.e le même datacenter) que les systèmes de production. Cette organisation permet de garantir un niveau de disponibilité et d’intégrité optimal tout en assurant nos exigences de RTO et RPO.

La fréquence des sauvegardes et la durée de rétention est la suivante :

  • Fichiers clients stockés par Kafinea : Sauvegarde journalière, rétention 100 jours
  • Base de données clients Kafinea : Sauvegarde journalière, rétention 7 jours

Reprise après sinistre

  • RPO : Recovery Point Objective ou Point de Rétablissement des données
    Pour Kafinea, il est par défaut de 24 heures.
  • RTO : Recovery Time Objective ou Temps de Rétablissement du service
    En standard, Madiasoft ne définit pas de RTO pour Kafinea.
    Toutefois, en cas de sinistre grave entraînant une interruption prolongée du service pour un client donné, Madiasoft s’engage à restaurer, dans un délai de 48 heures, le Service Kafinea sur la base de la sauvegarde la plus adéquate.

Sécurité de la base de données

  • Les données des clients sont stockées dans une base de données dédiée – aucun partage de données entre les clients.
  • Les règles de contrôle d’accès aux données mettent en œuvre une isolation complète entre les bases de données des clients fonctionnant sur le même cluster, aucun accès n’est possible d’une base de données à l’autre.

Sécurité des mots de passe

Chaque utilisateur Kafinea est authentifié par un identifiant unique et un mot de passe fort. L’ajout d’un second facteur d’authentification est fortement encouragé et sera bientôt obligatoire.

Les mots de passe des utilisateurs ne sont pas stockés en clair dans le système d’information de Madiasoft.

La règle par défaut pour nos périmètres est d’utiliser des fonctions de chiffrement non réversibles de type « hashage » avec des algorithmes sécurisés.

Sécurité du système

Une politique de durcissement destinée à sécuriser les systèmes d’exploitation est mise en place. Il s’agit de réduire la surface d’attaque possible, en désactivant ou supprimant les objets (services, applications, fonctionnalités…) non-essentiels. Cela consiste à mettre en place des options de sécurité particulières et d’assurer les mises à jour logicielles.

Les opérations de durcissement sur les systèmes d’exploitation des serveurs concernent :

  • Mise à jour
  • Stratégie de compte
  • Droits utilisateurs et réseau
  • Journalisation
  • Protection contre les logiciels malveillants
  • Service rôle et fonctionnalité
  • Espace utilisateur
  • Espace disque

Sécurité des informations bancaires

  • Nous ne stockons jamais les informations relatives aux cartes de crédit sur nos propres systèmes.
  • Les informations relatives à votre carte de crédit sont toujours transmises de manière sécurisée directement entre vous et nos acquéreurs de paiement conformes aux normes PCI.

Sécurité du design applicatif

Madiasoft a mis en place une démarche visant à intégrer la sécurité tout au long du cycle de vie des applications développées. Celle-ci s’inspire des recommandations de l’OWASP.

Chiffrement des données

Transfert de données vers les réseaux publics

Les données sont chiffrées lors des transferts vers les réseaux publics avec des protocoles sécurisés (HTTPS, TLS, SFTP, SSH…).

Certificats

Dans l’optique de garantir le meilleur niveau de sécurité, les certificats HTTPS utilisés par Kafinea proviennent d’autorités de certifications publiques et reconnues. La gestion de ces certificats est encadrée par des procédures couvrant leur cycle de vie.

Chiffrements

Les règles concernant la longueur des clés de chiffrement sont :
Chiffrement asymétrique : supérieur ou égal à 2048 bits
Chiffrement symétrique : supérieur ou égal à 256 bits
Madiasoft utilise des logiciels de chiffrement s’appuyant sur l’AES256 pour créer des archives sécurisées.

Gestion des vulnérabilités de sécurité

Scanner de vulnérabilités

Des scans sur l’ensemble du périmètre Internet du SI de Madiasoft sont lancés régulièrement, via un scanner de vulnérabilités géré par l’équipe sécurité de Madiasoft.

Ces scans permettent de contrôler la bonne configuration des matériels et des logiciels dans le but de détecter l’apparition de vulnérabilité.

Les résultats sont revus et font l’objet de plans d’actions spécifiques.

Signaler les vulnérabilités de sécurité

Si vous devez signaler une vulnérabilité de sécurité, veuillez en partager les détails en écrivant à security@madiasoft.com. Ces rapports sont traités avec une haute priorité et le problème sera évalué et résolu par l’équipe de sécurité de Kafinea, en collaboration avec le rapporteur.