Sécurité et conformité

La sécurité et la conformité sont des priorités absolues pour Cockpit, car elles sont fondamentales pour votre expérience avec le produit. Cockpit utilise une variété de technologies et de services conformément aux normes en vigueur pour protéger vos données contre l'accès non autorisé, la divulgation, l'utilisation et la perte. La sécurité est dirigée par le directeur technologique de Cockpit. 

Sécurité de l'infrastructure et du réseau 

Contrôle d'accès physique 

Cockpit est hébergé sur Google Cloud Platform (GCP). Conformément aux engagements de GCP, des barrières physiques sont utilisées pour empêcher l'entrée non autorisée dans les installations, à la fois sur le périmètre et aux points d'accès des bâtiments. GCP gère également des systèmes électroniques de détection des intrusions conçus pour détecter les accès non autorisés aux installations, notamment en surveillant les points de vulnérabilité (par exemple, les portes d'entrée principales, les portes de sortie de secours, les trappes de toit, les portes des quais, etc.) avec des contacts de porte, des dispositifs anti-bris de verre, des détecteurs de mouvements intérieurs ou d'autres dispositifs conçus pour détecter les personnes qui tentent d'accéder aux installations. Tous les accès physiques aux installations par les employés et les sous-traitants sont enregistrés et régulièrement audités. 

Les employés de Cockpit n'ont pas d'accès physique aux centres de données, aux serveurs, à l'équipement réseau ou au stockage GCP. 

Tests d'intrusion 

Cockpit est soumis à des tests d'intrusions (pen test) annuels effectués par une agence tierce indépendante. Aucune donnée client n'est exposée à l'agence par le biais de tests d'intrusion. 

Les informations relatives à toutes les failles de sécurité exploitées avec succès par le biais de tests d'intrusion sont utilisées pour définir les priorités en matière d'atténuation et de correction. Un résumé des résultats des tests d'intrusion est mis à la disposition des clients sur demande. 

Sécurité et confidentialité des données 

Chiffrement des données 

Les données contenues dans les serveurs Cockpit sont cryptées au repos. 

Le chiffrement au repos permet de prendre des mesures de continuité telles que la sauvegarde et la gestion de l'infrastructure sans compromettre la sécurité et la confidentialité des données.

Cockpit envoie exclusivement des données via des connexions chiffrées HTTPS transport layer security (TLS) pour une sécurité supplémentaire lorsque les données transitent vers et depuis l'application. 

Le trafic de données entre nos serveurs et la base de données/le stockage de données a lieu au sein de notre VPC dans GCP. 

Suppression de données 

Lorsqu'un client met fin à son contrat avec Cockpit, toutes les données stockées sur le compte deviennent inaccessibles au client dans les 24 heures. Toutes les données collectées par Cockpit seront supprimées à l'expiration d'un délai de 30 jours. Les données peuvent également être supprimées sur demande auprès de l’Account Manager en charge du compte ou bien en contactant le DPO à l’adresse dpo@getcockpit.io. 

Sécurité des applications 

Signature unique (SSO) 

Les utilisateurs peuvent s'inscrire sur Cockpit avec des comptes Google ou Microsoft via le SSO. Dans ce cas, ils n'auront pas la possibilité d'avoir un mot de passe dédié sur Cockpit. Si l'authentification multifactorielle est activée par votre fournisseur d'identité (Microsoft ou Google), cela permet également d'appliquer l'authentification multifactorielle pour la connexion à Cockpit. 

Sécurité des mots de passe 

Cockpit applique une politique de mot de passe complexe utilisant au moins 8 caractères, un caractère spécial, une majuscule et une minuscule, et un chiffre. 

Sécurité de l'entreprise 

Politiques de sécurité 

Cockpit dispose d’un ensemble de politiques de sécurité en interne. Ces politiques sont mises à jours et revues à minima une fois par ans. Une vue globale de ces politiques est disponible sur demande de nos clients. 

Formation des employés 

Tous les nouveaux employés reçoivent une formation sur l'intégration, le RGPD et la sécurité. En outre, tous les employés suivent une formation sur le RGPD au moins une fois par an. 

Confidentialité des données 

Pour garantir que les données personnelles que vous envoyez à Cockpit bénéficient de la protection requise par les lois applicables en matière de protection des données, Cockpit propose un contrat de sous de traitance (DPA) qui intègre ses engagements en matière de confidentialité des données. 

Formation des employés 

Tous les nouveaux employés reçoivent une formation sur l'intégration, le RGPD et la sécurité. En outre, tous les employés suivent une formation sur le RGPD au moins une fois par an.