Sitefinity Platform Security

Sécurité de la plateforme Sitefinity

Avec plus de 10 000 propriétés web construites sur Sitefinity par plus de 2 700 entreprises internationales, la sécurité et la confidentialité des données font partie intégrante de tout ce que nous entreprenons.

Les agences gouvernementales et les entreprises de toutes tailles et de tous secteurs font confiance à Progress pour leurs applications et leurs données. Composé d’un système de gestion de contenu Web et d’un Digital Experience Cloud, les clients déploient et gèrent leur CMS sur site ou dans le cloud tout en accédant à DEC en tant qu’application SaaS. Pour ce faire, nous nous concentrons sur quatre domaines de sécurité : la sécurité dès la conception, la sécurité des opérations cloud, la protection des données des clients et la conformité aux normes.

Sécurité dès la conception

  • Formation et certifications des employés en matière de sécurité
  • Principes de sécurité ancrés dans les politiques de base de l’entreprise
  • Équipe de sécurité désignée
  • Surveillance proactive des bulletins de sécurité (p. ex. SANS, CERT et NIST)
  • Analyse des dépendances tierces à la recherche de vulnérabilités
  • Analyse de code statique régulière (p. ex. Veracode)
  • Examens obligatoires du code et de la sécurité (OWASP et CWE/SANS)
  • Gestion complète des vulnérabilités et des incidents de sécurité
  • Évaluations régulières des risques liés aux politiques, procédures, contrôles et normes de sécurité

Opérations de sécurité dans le cloud

Une infrastructure fiable, une haute disponibilité, une surveillance dynamique de tous les composants du système et un cryptage sécurisé sont au cœur des opérations quotidiennes du Digital Experience Cloud.

  • Surveillance proactive du cloud de tous les composants du système
  • Infrastructure cloud fiable et sûre
  • Microsoft Azure répond à un large éventail de normes de conformité spécifiques au secteur et aux pays.

  • Haute résilience des données et disponibilité des services cloud

    Surveillez l’état de santé de tous les services cloud grâce à des rapports d’interruption et d’incident.

  • Chiffrement des données

    Toutes les communications entre les composants DeC sitefinity et les utilisateurs sont effectuées sur des canaux sécurisés et chiffrés (TLS 1.2), tandis que toutes les connexions non chiffrées au cloud sont automatiquement rejetées.

  • Logs visuels complets

    La charge, les performances, la disponibilité, les erreurs, etc., permettent de mieux détecter les activités suspectes et les tendances ou pics bizarres, les données les plus importantes étant visualisées en temps quasi réel.

  • Authentification utilisateur sur le protocole OAuth 2.0

    L’authentification s’effectue via Telerik Federated Identity Services (TFIS).

  • Clés de chiffrement sécurisées

    Les clés de chiffrement sécurisées sont gérées par un personnel dédié.

  • Gestion stricte des incidents

    Les incidents signalés sont suivis d’une rétrospective approfondie afin de prévenir de futurs événements.

  • Révisions de code approfondies

    Les révisions de code sont effectuées par un architecte logiciel, un chef d’équipe et un expert en sécurité de l’accès aux données client.

Protection des données

  • Consentement du client requis avant l’accès aux données du client, par exemple pour résoudre un problème signalé
  • Principe du moindre privilège avec piste d’audit, filtrage et pare-feu
  • Politiques et contrôles stricts d’accès aux données, tels que des restrictions d’accès, de portée et de temps
  • Les données client sont stockées et isolées sur un stockage partagé ou entièrement dédié
  • Les contrôles internes garantissent que les données client ne sont jamais répliquées ou utilisées dans des environnements hors production
  • Sauvegardes de données régulières et hautement sécurisées à l’aide du stockage Azure

Conformité aux normes

Progress est une société cotée en bourse (NASDAQ: PRGS) et, à ce titre, elle est tenue de se conformer à la loi Sarbanes-Oxley et est auditée en conséquence.

SOC 2

La plateforme Sitefinity est certifiée par un tiers indépendant comme étant conforme aux normes de contrôle des organisations de services (SOC 2) développées par l'Association of International Certified Professional Accountants (AICPA). La conformité à la norme SOC 2 atteste que Progress a mis en place un ensemble complet de procédures et de contrôles internes visant à garantir la sécurité, la confidentialité et la disponibilité de ses services cloud et de son infrastructure de développement logiciel, augmentant ainsi le niveau de fiabilité des entreprises qui choisissent de faire confiance aux services et produits Progress.

Le rapport de certification Progress SOC 2 pour la plateforme Sitefinity couvre les domaines de contrôles internes suivants :

  • Sécurité
    • Aide à se protéger contre l’accès, l’utilisation ou la modification non autorisés
  • Disponibilité
    • S’assure que le service est disponible pour l’exploitation et l’utilisation comme engagé ou convenu
  • Confidentialité
    • S’assure que les renseignements confidentiels sont bien protégés

Le Sitefinity Digital Experience Cloud et le CMS sont tous deux couverts par les contrôles SOC 2, mais le champ d'application diffère car le DEC est un service cloud tandis que le CMS est un produit téléchargeable qui peut être hébergé n'importe où. Par conséquent, nous avons créé deux domaines principaux pour la certification :

    • Opérations cloud
      • Couvre Sitefinity DEC pour les domaines de la sécurité, de la disponibilité et de la confidentialité
    • Services d’application
      • Couvre le processus de développement d’applications Sitefinity CMS pour les contrôles informatiques
    Sitefinity Platform Security

    Progress Sitefinity

    Engagement significatif, expériences élevées diffusées avec facilité.
    Définissez vos sites sur Sitefinity.