La sécurité est notre priorité absolue
Axify s'engage à être la plateforme la plus fiable pour les équipes de développement logiciel. La protection, la qualité et l'intégrité des données sont au cœur de nos opérations. C'est pourquoi des entreprises de toutes tailles et de tous horizons choisissent Axify pour améliorer leurs performances de livraison logicielle.
Nous ne prenons aucun risque
Nous nous engageons à fournir une expérience transparente et sécurisée à tous nos clients et utilisateurs. Pour ce faire, notre équipe se plie aux meilleures pratiques en matière de sécurité logicielle et nous collaborons avec des firmes indépendantes pour tester la sécurité d'Axify.
La question sur toutes les lèvres : avons-nous accès à votre code?
La réponse est tout simplement : non. Notre analyse et nos calculs utilisent seulement les métadonnées des pull requests. Vous avez le contrôle total sur les permissions que vous nous accordez, et ce à tout moment.
Comment assurons-nous votre sécurité?
La confiance des clients est dans notre ADN
Nous appliquons les normes les plus strictes en matière de confidentialité et de sécurité des données, car nous savons qu'il est important de protéger vos données.
Infrastructure sécuritaire et fiable
Axify utilise Amazon Web Services (AWS) pour l'hébergement des environnements de test et de production. Les centres de données d'AWS sont protégés par des systèmes de sécurité 24 heures sur 24, 7 jours sur 7, des lecteurs biométriques et des caméras de surveillance. Ils sont certifiés SOC 1, SOC 2 et SOC 3, une garantie de sécurité de classe mondiale.
Développement logiciel sécurisé
L’équipe de développement considère le Top 10 OWASP lors de la planification des tâches. De plus, chaque nouveau code doit avoir été vérifié par un pair avant d'être fusionné sur le tronc commun.
Accès limité aux données
Aucun membre de l’organisation, de la direction ou de la commercialisation n’a accès aux données d’un compte client sans préavis écrit de la part du client.
Données sensibles dissociées des données applicatives
Les données confidentielles sont ségréguées de la base de données maître pour être protégées dans le cas d’une brèche. Nos données sont chiffrées tant au transfert qu’au repos.
Gestion des incidents
Dans le cas peu probable d'une faille de sécurité, Axify informera ses clients dans les 48 heures suivantes et les vulnérabilités seront corrigées dans les plus brefs délais.
Mesures proactives pour limiter notre surface d’attaque
Nous utilisons une approche d'application à plusieurs utilisateurs («multi-tenant»), c’est-à-dire que même si un fraudeur accédait à une clé, les autres clients sont protégés. De plus, nous avons la capacité de revenir en quelques minutes à une version ultérieure en cas de défaillance.
Surveillance active de l’utilisation de notre système
Nous avons des alarmes lorsqu’un certain nombre de requêtes est atteint dans une période donnée. Nous surveillons l’utilisation de nos serveurs, le nombre d’accès à la base de données et le nombre de requêtes.
Surveillance des librairies que nous utilisons
Nous roulons périodiquement des commandes d’analyse statique pour détecter des vulnérabilités. Notre «bot», surnommé Bob le bricoleur, met à jour systématiquement nos librairies afin de limiter l’exposition à des failles de sécurité dans une vieille version d’une librairie.
Et la confidentialité?
Axify s'engage à protéger vos informations personnelles. Pour toute question ou demande d’information concernant la loi 25 et la gestion des données personnelles chez Nexapp, veuillez communiquer avec notre Responsable de la confidentialité des données, Pier-Luc Rodrigue, au plrodrigue@nexapp.ca, ou notre Responsable de la sécurité, Bruno Gagnon-Adam, au bga@nexapp.ca. Pour plus de détails, consultez notre politique de confidentialité.
Foire aux questions
Quelles sont les informations stockées?
Seuls les réponses aux sondages du moral de l'équipe et les scores des différents axes sont présentement persisté. De plus, chaque intégration peut persister des données au besoin.
Avez-vous accès à notre code?
Non, nous n’y avons pas accès. Notre analyse et nos calculs utilisent seulement les métadonnées des pull requests. Vous avez le contrôle total sur les permissions que vous nous accordez, et ce à tout moment.
Comment nos accès sont-ils gérés (SSO, bastion, etc.)?
Les accès aux comptes AWS sont gérés par AWS SSO avec l'organisation Google de Nexapp. Seuls les Ops de Nexapp peuvent assigner des membres à Axify et seulement l’équipe de développement d’Axify a accès aux comptes de développement et de staging. S’il y a besoin d’accéder aux ressources privées du réseau interne de l’application, un bastion accessible par SSH depuis le VPN de Nexapp est nécessaire.
Combien d’employés ont accès à l’environnement de production d'Axify?
Seulement l’équipe de développement qui travaille activement sur le produit a accès à l’environnement de production. En date de mars 2022, seulement six développeurs ont accès à cet environnement. Aucun autre membre de l’organisation (équipe de direction ou employés de Nexapp) n’y a accès.
Qui peut accéder aux données des clients relatives au code?
Les sources de données sont accessibles seulement depuis AWS. Le compte de production est géré de façon automatisée («infra-as-code») et n’est accessible qu’à l’équipe d’Ops. S’il y a un besoin d’accès aux bases de données, il est possible de temporairement monter un bastion dans le réseau interne, qui doit lui-même être authentifié par SSH depuis le VPN de Nexapp.
Est-ce que les données sont chiffrées de bout en bout lors du transfert et au repos?
Oui, toutes les données sont chiffrées tant en transit (TLS) qu’au repos. Toutes les bases de données sont cryptées indépendamment.
Où ces données sont-elles hébergées?
L’infrastructure d’Axify utilise en majeure partie les services d’AWS pour la gestion et le déploiement de son infrastructure. L’utilisation en grande majorité de PaaS d’Amazon permet une sécurité TI robuste ainsi qu’une flexibilité dans les déploiements. Les bots Microsoft Teams sont hébergés sur Azure. Les DNS sont gérés depuis CloudFlare.
Est-ce possible d’obtenir des informations concernant une réponse donnée par un individu aux questions du moral de l'équipe?
Comme les réponses aux questions du dialogueur sont anonymes, ce n'est pas possible.
Questions ou problèmes de sécurité?
N'hésitez pas à nous contacter et nous vous répondrons dans les plus brefs délais.