Votre sécurité est notre priorité, pour que vous puissiez vous concentrer sur votre activité

Infrastructure cloud : les services de Taktile sont entièrement hébergés dans le cloud, ce qui signifie que nous n'exploitons ni ne gérons nos propres serveurs. Nous utilisons plutôt Amazon Web Services (AWS) pour notre infrastructure, ce qui nous permet d'accompagner nos clients partout dans le monde. AWS respecte les normes de sécurité les plus strictes et est considéré comme le leader en matière de sécurité cloud par le cabinet d'études Forrester. Tous les centres de données sont conformes aux normes les plus strictes du secteur, notamment SOC 2 Type II et ISO 27001. AWS dispose également de systèmes de surveillance et d’alerte de classe mondiale. 

Sécurité réseau : nous utilisons un cloud privé virtuel et séparons le trafic privé et le trafic public dans des sous-réseaux distincts. Notre infrastructure de production est séparée de notre infrastructure de développement (elles disposent chacune de comptes et de réseaux distincts). Nous limitons l'accès aux ports et surveillons en permanence nos paramètres réseau grâce à des analyses automatisées. Nous utilisons également un système de détection d'intrusion pour identifier toute activité suspecte.

Isolation rigoureuse des charges de travail des clients : comme nous permettons aux auteurs de décisions d’exécuter du code sur notre infrastructure, nous avons mis en place une séparation solide entre les clients, tant au niveau du calcul que du stockage. Nous créons des espaces de travail dédiés où les décisions sont exécutées (via AWS Lambda) et stockées (via AWS S3). Les clients ne partagent ni les fonctions cloud ni les compartiments de stockage. Nous n’utilisons une infrastructure multi-locataires que pour les opérations qui n’impliquent pas les données décisionnelles des clients (par exemple, la gestion des utilisateurs). Les données sont toujours associées à un seul client et des contrôles d’authentification sont requis pour y accéder.

Chiffrement des données : les données collectées, stockées ou traitées par Taktile sont chiffrées lors de leur transit sur les réseaux publics ou lorsqu’elles sont au repos. Plus précisément, nous chiffrons les données transmises sur les réseaux publics à l’aide du protocole TLS 1.2 (Transport Layer Security). Nos données stockées sont chiffrées au repos à l’aide de méthodes de chiffrement conformes aux normes du secteur. Pour les infrastructures spécifiques aux clients qui hébergent des données décisionnelles, nous utilisons le système de gestion des clés (Key Management System) d’AWS afin de créer et de gérer des clés de chiffrement propres à chaque client.

Contrôle d'accès : nous nous connectons aux fournisseurs d'authentification unique (SSO) de nos clients et ne gérons pas les identifiants. Cela permet aux clients de continuer à utiliser leur propre fournisseur d'authentification et d'appliquer automatiquement leurs propres contrôles de sécurité, tels que les exigences de complexité des mots de passe et l'authentification à deux facteurs (2FA). Le produit prend en charge le contrôle d'accès basé sur les rôles (RBAC) pour gérer les autorisations.

Analyse des vulnérabilités : nous utilisons des outils d'analyse des vulnérabilités pour analyser automatiquement notre infrastructure cloud, nos images de conteneurs et nos dépendances, et nous procédons également à une analyse statique des applications afin de garantir le respect des meilleures pratiques. 

Détection des intrusions : nous utilisons une solution de détection des intrusions (IDS) afin de détecter tout accès non autorisé à nos systèmes.

Pistes d'audit : nous enregistrons les événements pertinents sur notre infrastructure (via AWS CloudTrail) et collectons des journaux d'application détaillés afin de suivre l'activité sur notre plateforme.

Pratiques de développement sécurisées : nous respectons les meilleures pratiques en matière de sécurité lors du développement de nos applications (telles que le Top 10 de l’OWASP). Toutes les modifications apportées au code font l’objet d’une révision obligatoire, qui comprend notamment la vérification des problèmes de sécurité. De plus, nous utilisons des tests statiques de sécurité des applications (SAST) pour détecter les failles dans notre base de code. Nous analysons également les dépendances du code à la recherche de vulnérabilités connues.

Tests d'intrusion externes : nous réalisons chaque année des tests d'intrusion en collaboration avec des experts en sécurité externes afin de nous assurer que nos systèmes ne sont pas accessibles à des acteurs malveillants.

Accès des collaborateurs : Nous appliquons le principe du privilège minimal et limitons au strict minimum l’accès des collaborateurs aux données de production. Les droits d’accès sont attribués par les administrateurs via un processus de tickets afin de garantir la traçabilité de la procédure d’octroi des autorisations. De plus, nous collectons des pistes d’audit relatives à notre infrastructure de données afin de suivre les modifications apportées par les collaborateurs. Tous les collaborateurs doivent suivre une formation sur la sécurité et la confidentialité des données et signer notre politique de contrôle d’accès.

Gestion des incidents : notre équipe est disponible 24 heures sur 24, 7 jours sur 7, pour traiter les alertes automatisées ainsi que les problèmes critiques signalés par nos clients. Nous avons mis en place un plan de gestion des incidents et formons régulièrement nos collaborateurs à la gestion des incidents.

Continuité d'activité et reprise après sinistre : Taktile dispose d'une politique de continuité d'activité (BC) ainsi que d'une politique de reprise après sinistre (DR). Nous effectuons des tests annuels afin de simuler la manière dont notre entreprise réagirait et maintiendrait la continuité de ses opérations dans différents scénarios de crise. Nous effectuons des sauvegardes quotidiennes de tous les systèmes de production afin de pouvoir restaurer les données dans les meilleurs délais.

RGPD et autres réglementations en matière de protection de la vie privée : nous nous engageons à protéger les données de nos clients et à les aider à se conformer aux lois et réglementations locales. Taktile est conforme au RGPD et intervient en tant que sous-traitant, comme indiqué dans notre accord de sous-traitance (DPA). Si vous souhaitez obtenir une copie de notre DPA, veuillez contacter votre chargé de compte. 

Infrastructure régionalisée pour conserver les données sensibles au niveau local : nous conservons les informations sensibles relatives à nos clients qui transitent par nos systèmes dans le cadre du processus décisionnel au sein de la région AWS choisie par nos clients, afin de les aider à respecter leurs obligations en matière de localisation des données. 

Demandes d'informations et de suppression : nous disposons d'identifiants permettant de localiser les informations sensibles relatives à nos clients au sein de nos systèmes et nous pouvons, sur simple demande, extraire ou supprimer ces informations afin d'aider nos clients à respecter leurs obligations en matière de protection de la vie privée.

Boîte de réception des vulnérabilités: vous pouvez signaler de manière responsable les vulnérabilités en envoyant un e-mail à security@taktile.com. Veuillez indiquer le niveau de gravité de la vulnérabilité et fournir suffisamment de détails pour nous permettre de la vérifier. Nous offrirons des récompenses non financières à notre entière discrétion.