Forrester Report: The State of GDPR Readiness

Sécurité

Adhérant à la dernière conformité et aux normes, la plate-forme Acquia a été architectée pour protéger votre entreprise.

 

Chez Acquia nous prenons la sécurité de nos produits très au sérieux. Nous éduquons notre personnel sur les meilleures pratiques de sécurité et notre processus de développement comprend des mesures d'assurance de la qualité pour garantir que nos produits sont de haute qualité et sécurisés. Cependant, comme tous les produits logiciels complexes, il est possible qu'une faille de sécurité soit présente dans l'un de nos produits. Si vous découvrez un problème de sécurité ou une vulnérabilité dans un produit ou un service Acquia, nous vous demandons de nous en informer confidentiellement.

Veuillez envoyer les détails à notre équipe de sécurité à@acquiaSecurity. com. Nous apprécions la divulgation responsable et nous reconnaîtrons les chercheurs en sécurité lorsqu'un problème a été signalé, en adhérant aux paramètres suivants.

Acquia n'a pas actuellement de programme de primes de bogues en place, mais nous sommes heureux de créditer les chercheurs avec leur nom et un lien vers une adresse de leur choix (p. ex. Twitter ou site personnel) sur notre Hall of Fame ci-dessous.

Paramètres et exclusions

  • Ne pas accéder, détruire ou nuire aux données d'Acquia ou de ses clients de quelque façon que ce soit.
  • N'utilisez pas de scanneurs automatisés. (l'utilisation de scanneurs automatisés peut entraîner une action d'investigation et votre IP est bloquée.)
  • Vous faites un effort de bonne foi pour éviter les violations de la vie privée et l'interruption ou la dégradation des services d'Acquia pendant vos recherches. ex. Déni de service)
  • N'effectuer aucun type d'attaque physique ou électronique contre le personnel, les bureaux ou les centres de données d'Acquia.
  • Vous permettez à Acquia le temps raisonnable d'enquêter sur votre rapport et de procéder à toute réhabilitation nécessaire.
  • Ne violez aucune loi ou n'enfreignez aucun accord préalable.

Veuillez ne pas signaler les questions suivantes:

  • Bannières logicielles affichées sur le serveur ou autres informations de version.
  • Messages d'erreur descriptifs.
  • En-têtes de sécurité http manquants. ex. X-Frame-options)
  • Enregistrements SPF manquants ou incorrects.
  • CSRF sur les formulaires disponibles pour les utilisateurs anonymes
  • Énumération username/email
  • Divulgation de fichiers publics connus. (p. ex. robots. txt)

Acquia n'entamera pas de poursuites judiciaires contre les chercheurs, pourvu qu'ils adhèrent à ces paramètres. Acquia se réserve le droit de ne créditer que les chercheurs qui ont signalé un problème éprouvé et suffisamment sévère.

Quels détails devez-vous inclure lors de la déclaration d'un problème de sécurité

S'il vous plaît fournir autant de détails pertinents que vous pouvez, tels que:

  • Comment la vulnérabilité peut être exploitée et l'impact potentiel.
  • Comment vous avez découvert la vulnérabilité et les étapes claires à reproduire.
  • Toute preuve de concept d'attaque et/ou d'images montrant le vecteur d'attaque.
  • Tous les correctifs ou contrôles connus pour atténuer la vulnérabilité.

Acquia voudrait remercier les personnes suivantes qui ont divulgué de façon responsable des vulnérabilités à nous

Temple de la renommée de la sécurité

Un merci spécial aux personnes suivantes qui ont divulgué de façon responsable des vulnérabilités à Acquia dans le passé:

- Gokul Babu

-Suhas Gaikwad (iamsuhasgaikwad)

-S. Vijay-Twintech solutions (Facebook.com/cracbaby)

-Fabio pires (@fabiopirespt)

-Francesco Mifsud (@GradiusX)

-Cody Zacharias

-Kamil Sevi (@kamilsevi)

-Emanuel Bronshtein (@e3amn2l)

-M. R. (@vigneshkumarmr)

-Prajal Kulkarni (www.prajalkulkarni.com)

-(@mehimansu)

-Ajay Singh notte

-mickael Hariba Shed

-Chiragh Dewa (@ChiraghDewan)

-Rafay Baloch (rafayhackingarticles.net)

-Flavien Singh

-Adam Ziaja (adamziaja.com)

-Martine Malik (@ThePiyushMalik)

-rudea Vega

-WAN ikram (@rinakikun)

-elody Shukla

-Narendra Bhati (Facebook.com/narendradewsoft)

-Ahmad walid (@yappare)

-Angel Patel & Pichon yannick

-Joeri Poesen

-Vedachala (@vedachalaka)

-Sebastian NEEF & Tim Schäfers

- (@internetwache)

-Vinesh Redkar (AVsecurity.in)

-Samandeep Singh (@samanLEET)

-Dhaval chouchou (@ 17haval)

-Nitesh Shilpkar (@NiteshShilpkar)

-Umraz Ahmed (@umrazahmed)

-Ehraz Ahmed (@securityexe)

-Jigar Thakkar (technologies InfoBit)

TUshar. R. kumbhare (Defencely)

-chakib Gervais

-Frans Rosén (www.detectify.com)

-Aboubacar de Collette

-Yuji Kosuga (@yujikosuga)

-Rafael Pablos (silverneox.blogspot.com)

-Reegun Richard Jayapaul (LinkedIn.com/in/reegun)

-M. Goplani (in.LinkedIn.com/in/nitingoplani)

-mamadi modi

-Ali Hassan Goffaux

-Turzo Ahmed

-Ashesh Kumar

-Muhammed Gamal Fahmy (https://www.Facebook.com/Profile.php?ID=646694111)

-Jadon Singh

-Kiran Klass

-Akshay Pandurangi (https://www.Facebook.com/Akshay.pandurangi.7)

-Yves yannick

 

Sécurité by Design

La plate-forme et le logiciel Acquia ont été construits à partir du sol avec la sécurité à l'esprit. Les clients obtiennent un environnement sécurisé avec un éventail de contrôles d'accès et d'authentification forts, ainsi que des contrôles de pare-feu différents pour les meilleures capacités de sécurité défensive de classe. Chacune des fonctionnalités suivantes garantit que votre site est protégé dès le premier jour.

Pare-feu superposés

Plusieurs couches de pare-feu garantissent que seul le trafic réseau approuvé est autorisé vers et depuis votre environnement Acquia.

Authentification multi-facteurs

Les méthodes d'authentification puissantes sont essentielles à un Cloud sécurisé. Acquia fournit une prise en charge de l'authentification multifactorielle pour empêcher l'accès non autorisé à votre environnement Acquia Cloud.

Gestion des vulnérabilités

Une proposition de valeur fondamentale de la plate-forme d'Acquia Cloud est l'identification, le triage et la résolution des failles de sécurité.

Surveillance des événements de sécurité

Acquia utilise une plate-forme de stockage et de surveillance du journal des événements de sécurité. Les alertes de sécurité sont constamment surveillées et réglées par des analystes qualifiés pour assurer l'intégrité des systèmes sur lesquels votre site est en cours d'exécution.

Autorisations de fichiers sécurisés

La majorité des attaques contre des sites tentent de prendre le contrôle du service Web. La plate-forme Acquia a restreint les autorisations de fichiers par défaut. Cela empêche toute modification non autorisée de votre code de site et de tout téléchargement de fichier malveillant de l'exécution.

Récupération d'urgence et sauvegardes de sites

Acquia maintient une solution de sauvegarde complète pour la reprise après sinistre. Le Cloud Acquia fournit aux clients des sauvegardes de code, de fichier et de base de données faciles d'accès de leur site.

Sécurité par les normes-conformité Acquia

Acquia dispose d'un portefeuille de conformité complet qui valide la sécurité de notre plate-forme. Ce portefeuille de conformité comprend une variété d'audits et de certifications spécifiques de l'industrie exécutés par des tierces parties indépendantes. Ces évaluations indépendantes évaluaient la conception et l'efficacité opérationnelle des contrôles de sécurité d'Acquia.

SSAE16/ISAE 3402: contrôle de l'Organisation des services (SOC 1) type II

Déclaration sur les normes d'engagement en matière d'attestation (SSAE) n ° 16 est une norme d'attestation utilisée pour évaluer la conception et l'efficacité d'exploitation des contrôles des technologies de l'information d'Acquia qui influent sur les contrôles internes de nos clients sur les Rapports.

SSAE 16 est une norme d'audit américaine émise par l'American Institute of Certified Public Accountants (AIPCA). Afin de satisfaire aux exigences des normes comptables internationales, Acquia reçoit un "SSAE 16/ISAE 3402 combo rapport." Le rapport ISAE 3402 fournit une couverture pour appuyer les exigences d'information financière des organisations internationales.

Contrôle de l'Organisation des services (SOC 2) type II

Le rapport de la SOC 2 d'Acquia comprend une évaluation en fonction des principes communs de sécurité, de disponibilité et de confidentialité.

Industrie des cartes de paiement-norme de sécurité des données (PCI-DSS)

Pour les clients qui traitent, stockent ou transmettent des données de détenteur de carte, Acquia fournit une plate-forme d'hébergement conforme PCI-DSS pour assurer la protection des données du détenteur de la carte de votre client conformément à la version 3.2 de PCI-DSS.

Loi sur la transférabilité et la responsabilisation de l'assurance maladie (HIPAA)

La plateforme de Cloud Acquia répond aux exigences de la règle de sécurité HIPAA et Hitech pour les informations de santé protégées électroniques (Ephi).

FERPA

Loi sur les droits et la protection de l'éducation des familles (FERPA) (20 U.S.C. § 1232g; 34 CFR part 99) est une loi fédérale qui protège la vie privée des dossiers d'éducation des étudiants.

ISO 27001

Acquia est certifiée ISO 27001. Vous pouvez voir notre marque de certification ici. Reconnue à l'échelle mondiale, la norme de sécurité ISO/IEC 27001:2013 (ISO 27001) est liée à l'implémentation d'un système de gestion de la sécurité de l'information (SMSI).

FedRAMP

La plate-forme de Cloud Acquia est conforme à la norme FedRAMP, et les détails sur les organismes d'autorisation peuvent être consultés sur le marché fedramp.

Sécurité par l'innovation-produits de sécurité Acquia

Pour les clients sur la plate-forme Acquia, nous offrons des couches supplémentaires de sécurité au-dessus de notre protection intégrée. La gamme de produits Acquia Cloud Edge comprend Acquia Cloud Edge Protect et Acquia Cloud Edge CDN. Nous offrons également Acquia Cloud Shield, une section isolée de l'Acquia Cloud. 

Acquia Cloud Edge Protect

Acquia Cloud Edge Protect atténue les effets des attaques DDoS et des attaques au niveau des applications pour nos clients Acquia Cloud Enterprise (ACE) et Acquia Cloud site Factory (ACSF).

Acquia Cloud Edge CDN

Acquia Cloud Edge CDN fournit un réseau de distribution de contenu global (CDN) qui accélère la livraison de votre site aux visiteurs, où qu'ils se trouvent.

Acquia Cloud Shield

Acquia Cloud Shield est un environnement dédié et logiquement isolé au sein d'Acquia Cloud qui dispose d'une configuration réseau personnalisable.

Acquia Cloud VPC Family

Les données sont l'élément vital de votre organisation et, chez Acquia, nous reconnaissons l'importance de la classification appropriée de l'information et de la gestion des données. Notre'Acquia Cloud VPC family'est une suite de produits Virtual Private Cloud (VPC) conçu pour fournir une protection élevée et conforme aux données sensibles.

Fonctions de sécurité

C'est un état d'esprit, une culture, un engagement. Le paysage de la menace de sécurité évolue constamment à l'ère numérique. Relever les défis de ces menaces exige l'expertise, la technologie, les ressources financières et la collaboration. Chez Acquia, nous avons fait les investissements nécessaires en sécurité pour fournir à nos clients une plateforme fiable et sécurisée, avec le personnel qualifié et les procédures et technologies requises. Cela inclut la sécurisation de notre plate-forme by design, l'offre de produits et des services de sécurité complémentaires, et un portefeuille d'audits de conformité indépendants tierces pour valider la robustesse de notre programme de sécurité.

 

Fonctions de sécurité Acquia
Contrôles d'accès basés sur les rôles
Autorisations de fichiers sécurisées
Authentification SSH basée sur des clés
Volumes chiffrés par défaut
Prise en charge de l'authentification SAML et à deux facteurs
Sauvegardes automatisées et récupération d'urgence
Surveillance automatisée des plateformes
Support logiciel anti-malware
Protection contre les attaques DDoS *
Cloud privé virtuel *
Environnement conforme HIPAA *
Environnement compatible PCI-DSS *
* Disponible comme Add-ons