Chez Acquia nous prenons la sécurité de nos produits très au sérieux. Nous éduquons notre personnel sur les meilleures pratiques de sécurité et notre processus de développement inclut l'assurance de la qualité telle que l'examen par les pairs pour aider à assurer que nos produits sont de haute qualité et sécurisé. Cependant, comme tous les produits logiciels complexes, il est possible qu'une faille de sécurité soit présente dans l'un de nos produits. Si vous découvrez un problème de sécurité dans un produit Acquia ou un service hébergé, nous vous demandons de nous le signaler confidentiellement afin de protéger la sécurité de nos services. Veuillez envoyer les détails à notre équipe de sécurité à [email protected]. L'équipe de sécurité d'Acquia répondra pour confirmer la réception de votre message, examiner et planifier l'atténuation du problème de manière appropriée, ainsi que définir une chronologie pour une nouvelle version ou un correctif. Nous suivons la divulgation responsable et créditerons les chercheurs lorsqu'un problème de sécurité a été identifié et atténué tout en adhérant aux spécificités suivantes.
Vous ne pouvez pas utiliser des outils automatisés dans votre recherche sans notre consentement explicite. L'utilisation d'outils automatisés peut entraîner une action d'investigation ou un blocage de votre (vos) IP (s).
Vous faites un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de notre service pendant vos recherches.
Vous nous donnez le temps raisonnable de répondre à votre rapport et d'y remédier.
Nous créditons le premier chercheur pour signaler un problème. De plus, nous nous réservons le droit de ne reconnaître que les chercheurs qui découvrent des problèmes dans les produits d'Acquia ou les services hébergés, si nous déterminons que la question est d'une gravité élevée ou critique, ou s'il y a eu des recherches ou des contributions continues faites par le journaliste.
Nous vous créditerons avec votre nom et un lien «non suivi» à l'adresse de votre choix (par exemple: Twitter ou site personnel).
Nous ne sommes pas intéressés par les rapports sur les questions suivantes :
CSRF dans les formulaires disponibles pour une utilisation anonyme (par ex. le formulaire de contact)
Logiciel serveur affiché "bannières" ou informations de version
Problèmes qui sont traités dans les files d'attente de problèmes publics de l'un de nos projets OSS en cours d'utilisation
Clic-jacking sur les domaines Acquia.com qui n'impliquent pas de comptes d'utilisateurs authentifiés
Nous n'apporterons aucun procès ni ne commencerons l'enquête d'application de la Loi sur vous si vous suivez ces paramètres.
S'il vous plaît merci de fournir autant de détails pertinents que vous pouvez. En particulier :
Quelles versions du logiciel sont impliquées
Quelles étapes quelqu'un peut suivre pour passer d'une installation initiale de ce logiciel à un point où ils voient la vulnérabilité
Des correctifs ou des étapes pour atténuer le problème
Acquia s'appuie sur des logiciels open source tels que Drupal, Varnish, memcache, Nginx, Apache, MySQL et bien d'autres. Si vous identifiez une vulnérabilité dans l'un de nos produits qui est en fait dans le logiciel sous-jacent, vous pouvez nous signaler le problème, mais pouvez également le signaler à l'équipe de sécurité pour ce projet. Pour Drupal, consultez Comment signaler un problème de sécurité dans Drupal . Si vous rapportez un problème à Acquia et que le problème est lié à un autre produit, nous communiquerons également avec leur équipe avant de faire toute sortie.
En général, nous ne pouvons pas fournir de soutien à la sécurité pour les clients non-Acquia. Si votre site a été attaqué ou si vous avez un problème de sécurité dans le code personnalisé sur votre site le meilleur endroit pour obtenir de l'aide est via une souscription de support Acquia. Si votre site a été attaqué et est hébergé sur Drupal Gardens ou Acquia Cloud alors s'il vous plaît utiliser le processus de déclaration ci-dessus, peu importe si vous avez ou non un abonnement de support. Si vous avez un problème avec le spam posté sur votre site, alors cela n'a pas besoin d'être géré en privé. Pour les questions de spam s'il vous plaît se référer à Articles sur le spam de la bibliothèque Acquia (nécessite un abonnement Acquia Network pour lire les articles complets).
Dans le cadre de l'engagement d'Acquia à offrir un environnement sécurisé à nos clients, nous offrons Security by Design . Cela signifie que la plate-forme Acquia est dotée d'un ensemble de contrôles d'accès et d'authentification puissants, ainsi que de différents contrôles de pare-feu, offrant ainsi des capacités de sécurité défensive de meilleure qualité. Ces technologies de contrôle permettent à notre plate-forme d'être sécurisée, by design.
Chacun de ces contrôles de sécurité est intégré à notre plate-forme pour vous assurer que vos sites sont résilients et sécurisés dès le premier jour. Grâce à ces contrôles de sécurité au niveau de la plate-forme, nous sommes en mesure de minimiser les risques pour la sécurité de votre site. Voici les avantages que ces fonctionnalités fourniront à votre organisation.
Les méthodes d'authentification fortes sont essentielles à une implémentation de sécurité cloud. Chez Acquia, nous utilisons l'authentification multi-facteurs pour assurer la sécurité de la plate-forme Acquia Cloud.
Une proposition de valeur fondamentale de la plate-forme d'Acquia Cloud est l'identification, le triage et la résolution des failles de sécurité.
Le paradigme de la sécurité s'est déplacé de la prévention seulement à une focalisation sur la détection et la réponse d'événements de sécurité.
La réponse aux incidents de sécurité est un élément crucial de notre fonction de sécurité. Dans le paysage actuel des menaces techniques, des incidents de sécurité se produiront, quelles que soient les mesures de protection que vous mettrez en place.
Acquia maintient une solution de sauvegarde complète pour le code de site Web, les fichiers statiques et les bases de données. Les installations de sauvegarde intégrées utilisent le Elastik Block Store d'Amazon (EBS) et le service de stockage simple (S3).
Acquia dispose d'un portefeuille de conformité complet qui valide la sécurité de notre plate-forme. Ce portefeuille de conformité comprend une variété de vérifications et de certifications à l'échelle de l'industrie qui sont effectuées par des auditeurs indépendants de tierces parties. Ces vérifications permettent d'évaluer de façon indépendante les contrôles de sécurité d'Acquia sur leur conception et leur efficacité opérationnelle. Les contrôles internes qu'Acquia a en place pour atténuer les risques témoignent de notre engagement envers un niveau élevé de sécurité.
Déclaration sur les normes d'engagement en matière d'attestation (SSAE) n ° 16 est une norme d'attestation utilisée pour évaluer la conception et l'efficacité d'exploitation des contrôles des technologies de l'information d'Acquia qui influent sur les contrôles internes de nos clients sur les Rapports.
SSAE 16 est une norme d'audit américaine émise par l'American Institute of Certified Public Accountants (AIPCA). Afin de satisfaire aux exigences des normes comptables internationales, Acquia reçoit un "SSAE 16/ISAE 3402 combo rapport." Le rapport ISAE 3402 fournit une couverture pour appuyer les exigences d'information financière des organisations internationales.
Le rapport de la SOC 2 d'Acquia comprend une évaluation en fonction des principes communs de sécurité, de disponibilité et de confidentialité.
Pour les clients qui traitent, stockent ou transmettent des données de détenteur de carte, Acquia fournit une plate-forme d'hébergement conforme PCI-DSS pour assurer la protection des données du détenteur de la carte de votre client conformément à la version 3.2 de PCI-DSS.
La plateforme de Cloud Acquia répond aux exigences de la règle de sécurité HIPAA et Hitech pour les informations de santé protégées électroniques (Ephi).
Loi sur les droits et la protection de l'éducation des familles (FERPA) (20 U.S.C. § 1232g; 34 CFR part 99) est une loi fédérale qui protège la vie privée des dossiers d'éducation des étudiants.
Acquia est certifiée ISO 27001. Vous pouvez voir notre marque de certification ici. Reconnue à l'échelle mondiale, la norme de sécurité ISO/IEC 27001:2013 (ISO 27001) est liée à l'implémentation d'un système de gestion de la sécurité de l'information (SMSI).
La plate-forme d'Acquia Cloud est FedRAMP conforme, et les détails sur les agences d'autorisation peuvent être consultés dans la FedRAMP Marketplace .
Pour les clients sur la plate-forme Acquia, nous offrons des couches supplémentaires de sécurité au-dessus de notre protection intégrée. La gamme de produits Acquia Cloud Edge comprend Acquia Cloud Edge Protect et Acquia Cloud Edge CDN. Nous offrons également Acquia Cloud Shield, une section isolée de l'Acquia Cloud.
Acquia Cloud Edge Protect atténue les effets des attaques DDoS et des attaques au niveau des applications pour nos clients Acquia Cloud Enterprise (ACE) et Acquia Cloud site Factory (ACSF).
Acquia Cloud Edge CDN fournit un réseau de distribution de contenu global (CDN) qui accélère la livraison de votre site aux visiteurs, où qu'ils se trouvent.
Acquia Cloud Shield est un environnement dédié et logiquement isolé au sein d'Acquia Cloud qui dispose d'une configuration réseau personnalisable.
Les données sont l'élément vital de votre organisation et, chez Acquia, nous reconnaissons l'importance de la classification appropriée de l'information et de la gestion des données. Notre'Acquia Cloud VPC family'est une suite de produits Virtual Private Cloud (VPC) conçu pour fournir une protection élevée et conforme aux données sensibles.
C'est un état d'esprit, une culture, un engagement. Le paysage de la menace de sécurité évolue constamment à l'ère numérique. Relever les défis de ces menaces exige l'expertise, la technologie, les ressources financières et la collaboration. Chez Acquia, nous avons fait les investissements nécessaires en sécurité pour fournir à nos clients une plateforme fiable et sécurisée, avec le personnel qualifié et les procédures et technologies requises. Cela inclut la sécurisation de notre plate-forme by design, l'offre de produits et des services de sécurité complémentaires, et un portefeuille d'audits de conformité indépendants tierces pour valider la robustesse de notre programme de sécurité.
