La protection des données de nos clients est la priorité absolue de Fin. Nous déployons des efforts considérables pour garantir que toutes les données envoyées à Fin sont traitées en toute sécurité - assurer la sécurité de Fin est fondamental pour notre activité.
Nous souhaitons partager certains détails sur ce que nous faisons pour maintenir la sécurité, ainsi que sur les travaux en cours pour améliorer continuellement la sécurité de vos données. Ce document est vivant et sera mis à jour régulièrement.
Vous pouvez également consulter nos Conditions d'utilisation et Politique de confidentialité. Pour toute question ou pour accéder à la documentation de conformité, veuillez visiter notre Trust Center. Vous pouvez aussi nous contacter à security@intercom.io si nécessaire.
Notre équipe possède une expérience pertinente
Notre équipe comprend des personnes ayant joué des rôles clés dans la conception, la construction et l'exploitation de systèmes Internet hautement sécurisés, tels que des plateformes de traitement des paiements, des services cloud et des réseaux de distribution de contenu dans des entreprises comme Amazon et Facebook. Nous avons aussi des personnes ayant créé plusieurs startups à partir de zéro, ainsi que d'autres ayant travaillé dans des petites entreprises Internet bien établies.
Nous hébergeons dans des installations de classe mondiale
La grande majorité de nos services et données sont hébergés dans des installations Amazon Web Services aux États-Unis. Plus de détails sur les mesures considérables prises par Amazon pour sécuriser leurs installations et services sont disponibles ici.
Nous suivons les meilleures pratiques
Chez Fin, nous suivons plusieurs meilleures pratiques qui améliorent notre posture de sécurité.
Voici quelques exemples :
Nous disposons d'automatisations fiables et fréquemment utilisées pour déployer en toute sécurité et fiabilité des modifications à la fois sur notre application et notre plateforme opérationnelle en quelques minutes. Nous déployons généralement des dizaines de fois par jour, ce qui nous donne une grande confiance pour diffuser rapidement un correctif de sécurité si nécessaire.
Toutes les données envoyées sont chiffrées en transit. Nos API et points d'accès applicatifs sont uniquement TLS/SSL et obtiennent une note "A+" aux tests SSL Labs, ce qui signifie que nous utilisons uniquement des suites de chiffrement fortes et que des fonctionnalités telles que HSTS et Perfect Forward Secrecy sont pleinement activées. Nous chiffrons également les données au repos.
Nous faisons régulièrement appel à des auditeurs tiers réputés pour auditer notre base de code et notre infrastructure, et collaborons avec eux pour résoudre les problèmes potentiels.
Notre infrastructure est gérée comme du code avec Terraform. Nous utilisons des technologies telles que Elasticsearch, AWS CloudTrail et PantherLabs pour fournir une piste d'audit sur notre infrastructure et le produit Intercom. L'audit nous permet de réaliser des analyses de sécurité ponctuelles, de suivre les modifications apportées à notre configuration et d'auditer l'accès à chaque couche de notre stack.
Nous utilisons l'authentification à deux facteurs dès que possible. Nous demandons aux fournisseurs d'imposer l'authentification à deux facteurs sur tous nos comptes. Nous déconseillons l'utilisation de comptes partagés sur tout système - lorsque nous n'avons pas le choix, nous utilisons 1Password pour partager les identifiants en toute sécurité. Nous révisons régulièrement quels comptes peuvent accéder à nos systèmes et les permissions associées.
Nous ne faisons pas confiance à notre réseau d'entreprise - il n'a aucune porte dérobée vers nos systèmes de production.
Nous disposons d'un plan documenté de réponse aux incidents et formons tout le personnel aux procédures et politiques de sécurité.
Tests de pénétration externes deux fois par an réalisés par des partenaires de sécurité externes dédiés.
Analyses continues de nos principales propriétés web avec Detectify.
Toute modification de la base de code est revue par des pairs et testée automatiquement dans le cadre de notre processus CI/CD pour identifier toute régression ou faille de sécurité via une analyse statique.
Programme public de récompense de bugs avec Bugcrowd.
Plus de détails sont disponibles sur notre page Sécurité et dans notre Trust Center.
Sécurité produit : comment sécuriser votre espace de travail
La sécurité est une responsabilité partagée. Vous devez activer les fonctionnalités de sécurité produit suivantes pour renforcer la sécurité de votre espace de travail.
Sécurisez votre espace de travail
Ces fonctionnalités vous aident à sécuriser votre espace de travail et à protéger vos données.
⭐ Utilisez 2FA, Google Sign-On ou SAML SSO pour protéger votre compte et désactiver les connexions par nom d'utilisateur / mot de passe, afin de réduire le risque d'attaques de phishing. Ceci est fortement recommandé.
Contrôles d'accès basés sur les rôles - définissez des rôles et des permissions pour restreindre l'accès aux données sensibles et aux fonctionnalités.
Liste blanche IP - restreignez l'accès à l'espace de travail à des adresses IP spécifiques.
Durée de session personnalisée - contrôlez la durée d'authentification des coéquipiers en définissant des durées de session personnalisées.
Journaux d'activité des coéquipiers - surveillez et auditez les actions importantes effectuées par les coéquipiers sur votre espace de travail.
Sécurité des liens - protégez les coéquipiers contre l'accès à des liens malveillants en activant les avertissements de liens et en créant des politiques pour gérer les liens et domaines dans votre espace de travail.
Rédaction des PAN - détectez et masquez automatiquement les numéros de carte de paiement (PAN) dans les conversations.
Sécurité des pièces jointes - contrôlez l'utilisation des pièces jointes dans votre espace de travail.
Sécurisez votre Messenger
Ces fonctionnalités protègent votre installation Messenger et aident à sécuriser les communications avec vos clients.
⭐ Sécurisez votre Messenger avec les JWT - empêchez les acteurs malveillants d'usurper l'identité de vos utilisateurs finaux, de lire leurs conversations ou d'accéder de manière non autorisée aux données. De plus, l'utilisation des JWT vous permet à la fois de vérifier l'identité de l'utilisateur et de protéger toutes les données que vous envoyez à leur sujet. Ceci est fortement recommandé.
Ajoutez une liste de domaines de confiance pour garantir que Messenger ne se charge que sur les domaines que vous possédez et surveillez.
Désactivez la création d'attributs via Messenger pour empêcher les acteurs malveillants d'insérer leurs propres données via le navigateur.
Utilisez la méthode d'arrêt JavaScript pour terminer une session utilisateur lorsqu'il se déconnecte de votre application.
Vous pouvez en apprendre davantage sur ces fonctionnalités dans les sections Sécurité & Confidentialité et Sécurité Messenger de notre Help Center.
Nous ne stockons pas les détails de paiement
Fin n'est pas dans le métier du stockage ou du traitement des paiements. Tous les paiements effectués à Fin passent par notre partenaire, Stripe. Les détails sur leur configuration de sécurité et leur conformité PCI sont disponibles sur la page de sécurité de Stripe.
J'ai trouvé un bug de sécurité !
Si vous avez trouvé une vulnérabilité de sécurité que vous souhaitez nous signaler, vous pouvez le faire via notre programme public de récompense de bugs sur Bugcrowd. Si elle est dans le périmètre, vous pouvez être éligible à une récompense. Nous n'acceptons pas les soumissions de bug bounty par notre adresse email, veuillez uniquement les envoyer via Bugcrowd.
Si vous êtes un client préoccupé par la sécurité de votre propre espace de travail, contactez security@intercom.io ou le service client via Messenger.