Votre application mobile interne est un véritable coffre-fort

La sécurité des réseaux et applications mobiles est l’un des sujets les plus discutés du 21ème siècle. Chez Staffbase, nous avons pris le taureau par les cornes afin de nous assurer que votre application mobile interne réponde aux standards les plus exigeants.

Icon Sécurité de notre infrastructure

Sécurité de notre infrastructure

L’App Staffbase est hébergée chez Profitbricks (Allemagne) et Microsoft Azure (États-Unis) qui se conforment aux normes ISO27001 et SSAE-16 afin d’assurer la sécurité de vos données. Toutes vos informations et échanges sont chiffrés par les protocoles TLS 1.2 et PFS (confidentialité persistante), les incidents de sécurité sont reportés 24/7 directement à notre équipe de sécurité et l’accès au réseau Staffbase est restreint à notre core team. De plus, nous effectuons des sauvegardes quotidiennes et avons une disponibilité en ligne de 99,9%.

Sécurité physique - Azure

Installations

Par défaut, les serveurs Staffbase sont hébergés sur Azure. Microsoft Azure est conforme aux normes ISO/CEI 27001 et SSAE-16.

Localisation

Les serveurs US de Staffbase sont hébergés chez Microsoft Azure en Virginie (États-Unis).

Sécurité physique - Profitbricks

Installations

Nous offrons également une alternative si vous souhaitez que vos informations soient hébergées en Europe. Dans ce cas, les serveurs Staffbase sont hébergés chez Profitbricks. Profitbricks est conforme aux normes ISO/CEI 27001 et ISO 9001.

Localisation

Les serveurs européens Staffbase sont hébergés à Francfort (Allemagne).

Sécurité physique - Profitbricks

Protection

Notre réseau est protégé par des pare-feux de couche 4 avec redondance, des communications sécurisées HTTPS via les réseaux publics, VPN uniquement accessible par notre équipe de développement ainsi qu'une authentification par clé pour les administrateurs système à des fins de maintenance.

Architecture

L'architecture réseau de Staffbase est conçue pour minimiser les risques de faille à la sécurité en autorisant uniquement des accès restreints, tandis que les serveurs de bases de données sont uniquement accessibles en interne. Chaque trafic de données vers nos serveurs d'applications est acheminé via nos proxies et nos passerelles. L'ensemble de nos autres bases de données ne possèdent aucun accès, ni entrant ni sortant, à Internet.

Test d’intrusion par tierce partie

Nous laissons nos clients effectuer leur propre test d'intrusion afin de les rassurer quant à notre niveau de sécurité. En complément, nous produisons, sur simple demande, l'ensemble de nos résultats concernant nos précédents tests.

Gestion des événements de sécurité

Un système de gestion des événements de sécurité (SIEM) regroupe tous nos logs disponibles afin de les analyser et les corréler. Le SIEM informe d'éventuelles anomalies l'équipe de sécurité Staffbase qui y répond directement.

Détection et prévention des intrusions

La détection et la prévention des intrusions sont effectuées par nos hébergeurs Microsoft Azure pour les serveurs internationaux et Profitbricks concernant les serveurs hébergés en Allemagne.

Mitigation d’une attaque DDoS

La mitigation permet de bloquer une attaque DDoS tout en laissant passer le trafic légitime. Ce service est fourni par nos hébergeurs Microsoft Azure et Profitbricks.

Contrôle d'accès logique

L'accès au réseau de production de Staffbase est strictement réservée à notre équipe opérationnelle qui audite fréquemment l'ensemble des accès. Tous nos systèmes productifs sont sécurisés par VPN et nécessitent une authentification par clé.

Sécurité et gestion des incidents

En cas d'une alerte système, les incidents sont reportés 24/7 à notre équipe Sécurité Staffbase. Nos employés sont formés à répondre aux incidents de sécurité et communiquent avec votre équipe le cas échéant.

Chiffrement

Chiffrement en transit

Toutes nos communications via des réseaux publics sont chiffrées HTTPS avec Transport Layer Security (TLS 1.2) et Perfect Forward Secrecy (PFS). Nous avons désactivé SSLv3 sur tous nos systèmes par mesure de prévention contre des failles de sécurité.

Chiffrement au repos

Nous chiffrons les mots de passe des utilisateurs en utilisant des fonctions de hachage afin de minimiser l'impact d'une usurpation d'identité.

Disponibilité en ligne & continuité du service

Disponibilité

Pour tous nos services Staffbase, nous garantissons une disponibilité en ligne de 99,9%.

Redondance

Nous effectuons des sauvegardes quotidiennes de l'ensemble de nos systèmes que nous conservons un mois. De plus, l'ensemble des applications Staffbase fonctionne, au minimum, en dual-mode permettant un basculement rapide en cas de dysfonctionnement.

Recouvrement de données

Notre programme de recouvrement de données inclut de nombreux cas de figure et une formation continue de notre équipe. Celle-ci est compétente, en cas d'urgence, pour recouvrir vos données.

Icon Sécurité de notre application

Sécurité de notre application

Nos applications sont protégées par les meilleures méthodes contre les vulnérabilités communes des services web (CSRF, SQLi ou XSS). Nous effectuons régulièrement des tests de pénétration et nous testons en interne l'ensemble des modifications de code faîtes par nos développeurs.

Sécurité du développement

Formation en sécurité

Nous formons tous nos développeurs, de manière régulière, aussi bien sur les vulnérabilités du développement que sur la confidentialité des données de nos clients.

Contrôles de sécurité de l'infrastructure

Nos applications sont protégées par les meilleures méthodes contre les vulnérabilités des services web (CSRF, SQLi ou XSS).

Qualité & Assurance

Pour nous assurer d'un niveau irréprochable en QA, nous effectuons de nombreux tests automatisés sur notre code source. De plus, nous vérifions collectivement l'ensemble des modifications effectuées sur notre code source.

Environnements séparés

Les systèmes de test et de développement de Staffbase sont séparés logiquement de tous les systèmes opérationnels et productifs.

Vulnérabilités des applications

Test de pénétration de sécurité

Tout autant que nos clients sont libres d'effectuer leur propre test de pénétration vis-à-vis de leurs outils de communication, nous performons nos propres test internes afin de renforcer le niveau de sécurité de notre application.

Icon Fonctions de sécurité de votre app mobile

Fonctions de sécurité de votre app mobile

Afin de renforcer votre niveau de sécurité au sein de votre propre app, vous pouvez personnaliser vos codes d'accès, privilèges et rôles en fonction de vos employés, managers, projets ou équipes. Dans un second temps, vous pouvez configurer la durée maximale d'une session utilisateur afin de vous conformer aux standards de vos propres politiques de sécurité.

Développement sécurisé

Inscription

Nous offrons plusieurs méthodes pour inscrire vos utilisateurs sur votre app Staffbase. Une première option est d'inviter chaque utilisateur individuellement par email. Vous pouvez également automatiser cette phase en invitant l'ensemble des employés possédant un domaine de messagerie similaire. Même si vous ne connaissez pas l'adresse email de vos utilisateurs, vous pouvez les inviter en générant des codes d'accès unique que vous joignez à leur fiche de paye. Enfin, vous pouvez également avoir recours à l'authentification unique (SSO).

Authentification unique (SSO)

À des fins d'authentification ou d'inscription, vous pouvez également utiliser notre intégration SSO. Pour ce faire, vous utilisez SAML et OpenID pour intégrer votre système chez Staffbase.

Politique de configuration de mot de passe

En utilisant la méthode SSO, vous êtes en mesure de configurer votre propre générateur de mot de passe. Nous proposons également des normes de sécurité personnalisées sur demande.

Authentification 2 facteurs

L'authentification à deux facteurs est possible en ayant recours à l'authentification unique.

Stockage d'identifiants sécurisés

Les mots de passe de Staffbase ne peuvent être extraits car ils sont stockés dans notre base de données en utilisant bcrypt, une fonction de hachage unidirectionnelle adaptative conçue pour être sans collision.

Sécurité API & Authentification

Afin que nos clients aient accès à notre API, celle-ci est sécurisée en HTTPS et par une clé API qui permet une identification HTTP.

Fonctions supplémentaires de sécurité de notre app

Gestion des privilèges & rôles

Vous pouvez gérer sur votre app Staffbase, l'ensemble des privilèges, rôles et différentes audiences de manière dynamique et précise en fonction de vos propres besoins.

Sécurité des communications

Nous utilisons des connexions HTTPS pour chaque transmission d'informations entre les clients de Staffbase et nos serveurs.

Authenticité de nos emails

Nous utilisons la vérification DKIM (Domain Keys Identified Mail) afin de garantir l'intégrité et l'authenticité de l'ensemble de nos emails Staffbase sortants.

Durée de session

Avec Staffbase, vous pouvez configurer la durée maximale d'une session utilisateur afin de vous conformer aux standards de votre propre politique de sécurité.

Icon Confidentialité et sécurité des données

Confidentialité et sécurité des données

Au-delà de notre formation annuelle concernant la sécurité des données, tous nos employés signent une convention en conformité avec la loi allemande relative au secret des données et à la confidentialité des télécommunications. Le cadre juridique allemand est parmi les plus stricts au monde.

Politiques

Nos politiques de sécurité sont maintenues et auditées fréquemment par notre officier en protection des données.

Formation en sécurité

L'ensemble de nos employés suit une formation annuelle relative aux mesures de sécurité concernant les données de nos clients, ainsi que de fréquentes mises à jour aux nouveaux risques de sécurité.

Accord de confidentialité

Tous les employés de Staffbase ont signé un accord de confidentialité afin de protéger les données de nos clients, ainsi que des accords les obligeants à se conformer aux dispositions du § 5 du BDSG (Bundesdatenschutzgesetz) et à la confidentialité des télécommunications (§ 88 Telecommunications Act).

Accès restreint

L'accès à nos systèmes productifs est réduit à une équipe minimale, responsable de la maintenance et des opérations.

Partage avec des tiers

Nous ne partageons aucune donnée client avec des tiers. Comme certains plugins sont optionnels et configurables par nos clients, ceux-ci sont exclus de cette garantie.

Consentement au traitement des données (DPA)

Dans le cadre de l'application de la loi de protection des données, nous consenterons au traitement des données spécifiquement commisionnées.

EU General Data Protection Regulation (GDPR)

Staffbase complies with the requirements of the EU General Data Protection Regulation and provides a secure communication platform that protects employee and customer data equally. The privacy rights of our customers and the security of their personal data are our highest priorities. Therefore, under the guidance of our Data Protection Officer (DPO), we have assembled a team that guarantees strict compliance with all regulations. Read More >

Ressources

Employee-app, Employee-engagement-App, Internal-Communications-App, Infrastructure & Systems Security, Application Security, Product Security Features, Data Privacy & Data Security
Whitepaper
Livre blanc sur la Sécurité (EN) - Sécurité de notre infrastructure & de nos systèmes, sécurité liée à notre application, fonctions de sécurité de nos produits, confidentialité des données personnelles & sécurité des données.