Accueil
-
Commencer avec TeamOneOutils des tableaux TeamOneCollaborer sur TeamOneGestion des équipes et des projets sur TeamOneTeamone Security
FAQ - Sécurité
Authentification et Autorisation
Comment le logiciel gère-t-il l'authentification des utilisateurs ?
Nous sommes conforme à la norme OpenID Connect, qui est couramment utilisée dans l'industrie.
SupprimerQuels types de rôles et permissions d'utilisateur sont pris en charge ?
TeamOne définit les rôles et permissions des utilisateurs au niveau de l'équipe, du tableau et du projet, comme décrit dans cet article.
SupprimerL'authentification à plusieurs facteurs est-elle disponible ?
Oui, l'authentification à plusieurs facteurs (MFA) est disponible en activant la 2FA. Google Authenticator peut être utilisé comme paramètre d'authentification sécurisé.
SupprimerCryptage des données
Comment les données sensibles sont-elles cryptées pendant la transmission et le stockage ?
Toutes les données sont cryptées pendant la transmission en utilisant HTTPS, et les données sensibles sont cryptées en stockage grâce au cryptage AWS RDS.
SupprimerQuels sont les algorithmes et protocoles de cryptage utilisés ?
Nous utilisons HTTPS avec TLS 1.3 pour le cryptage des données en transmission, et le cryptage RDS AES256 pour le stockage des données.
SupprimerDes pratiques de gestion des clés de cryptage sont-elles en place ?
Oui, la gestion des clés de cryptage est réalisée à l'aide du Service de gestion des clés AWS (KMS).
SupprimerGestion des vulnérabilités
Comment le logiciel gère-t-il les mises à jour et les correctifs de sécurité ?
TeamOne emploie DevSecOps pour les mises à jour de sécurité, intégrant DAST (Test de sécurité d'application dynamique), les tests automatisés et le déploiement continu pour assurer des mesures de sécurité performantes et à jour.
SupprimerExiste-t-il un processus pour traiter les vulnérabilités découvertes lors de la phase bêta ?
Grâce à l'intégration de DevSecOps, les vulnérabilités détectées en bêta sont traitées avec SAST (Test de sécurité d'application statique)/Revue par les pairs pendant la phase de développement et DAST et test de l'équipe rouge lors de la phase de déploiement, mettant l'accent sur la sécurité proactive à toutes les phases pour une diminution considérable des risques.
SupprimerÀ quelle fréquence sont effectués les scans de sécurité et les évaluations ?
Le scan de sécurité du code s'exécute à chaque construction, tandis que les scans de sécurité et les évaluations sont effectués semestriellement.
SupprimerContrôle d'accès
Quels mécanismes sont en place pour contrôler l'accès aux fonctionnalités ou données sensibles ?
TeamOne donne la priorité à un contrôle d'accès strict en utilisant le contrôle d'accès basé sur les rôles (RBAC) pour gérer précisément les permissions, associé à un pare-feu d'application Web (WAF) pour renforcer la protection contre les accès non autorisés, garantissant ainsi une sécurité robuste pour vos informations sensibles.
SupprimerLe contrôle d'accès basé sur les rôles (RBAC) est-il pris en charge ?
TeamOne intègre le contrôle d'accès basé sur les rôles au niveau de l'équipe, du tableau et du projet, comme décrit dans cet article.
SupprimerL'accès peut-il être restreint en fonction de l'adresse IP ou de la localisation géographique ?
Si l'accès peut être restreint en fonction de l'adresse IP ou de la localisation géographique, cette fonctionnalité n'est pas actuellement mise en œuvre. Techniquement, il est possible de le faire en fonction des exigences. Par exemple, dans un profil d'équipe, un administrateur pourrait entrer des adresses IP ou des régions spécifiques pour restreindre l'accès. Cependant, un risque à prendre en compte est la possibilité pour un administrateur d'entrer par erreur une adresse IP incorrecte, ce qui pourrait entraîner des problèmes si elle ne peut pas être corrigée.
SupprimerQue se passe-t-il avec les tableaux des collègues qui ont quitté l'organisation (comptes inactifs) ?
L'administrateur de l'équipe a le pouvoir d'attribuer un autre administrateur pour gérer l'équipe. Les autres utilisateurs au sein de la même équipe peuvent toujours accéder aux tableaux, ce qui permet un accès continu pour les collègues.
SupprimerJournal d'audit
Le logiciel fournit-il des journaux d'audit complets ?
Des journaux d'audit complets à des fins orientées client ne sont pas actuellement conçus. Cependant, tous les journaux de transaction peuvent être suivis sur une période de 7 jours.
SupprimerQuelles actions sont consignées dans le journal, et les journaux peuvent-ils être stockés et analysés de manière sécurisée ?
Toutes les actions sont consignées dans le journal, et les journaux sont cryptés avec AES256 à l'aide d'une clé de cryptage sécurisée.
SupprimerCommunication sécurisée
Comment sont sécurisées les communications entre les clients et les serveurs ?
TeamOne sécurise les communications entre le client et le serveur grâce à HTTPS pour le cryptage, les pare-feu d'application Web (WAF) pour la défense contre les menaces, des contrôles d'accès stricts et le cryptage des données lors du transfert et du stockage, garantissant ainsi une protection robuste pour vos informations.
SupprimerLa sécurité des transports (TLS) est-elle utilisée pour le cryptage ?
Oui, TeamOne utilise TLS 1.3 pour le cryptage de la sécurité des transports (TLS).
SupprimerExiste-t-il des protocoles pour prévenir les attaques de type "homme du milieu" ?
Pour prévenir les attaques de type "homme du milieu", TeamOne utilise le protocole HTTPS, garantissant des communications sécurisées et cryptées. Ceci est complété par les pare-feu d'application Web (WAF) pour la défense contre les menaces et des contrôles d'accès stricts pour protéger les données en transit et en stockage.
SupprimerPolitique de données, confidentialité des données et conformité
Le logiciel est-il conforme aux réglementations pertinentes en matière de confidentialité des données (par exemple, RGPD, HIPAA) ?
TeamOne est conforme aux réglementations du RGPD, comme décrit dans notre politique de confidentialité disponible à l'adresse https://TeamOne.viewsonic.com/legal/privacy-policy.
SupprimerComment les données personnelles sont-elles traitées et protégées ?
TeamOne ne collecte pas directement les données personnelles. Il utilise plutôt le compte ViewSonic comme fournisseur d'identité pour assurer une sécurité renforcée de vos informations personnelles. En tant qu'application, TeamOne ne stocke pas et n'a pas d'accès direct à vos données personnelles. Toutes les informations personnelles restent au sein du système de compte ViewSonic, et TeamOne y accède uniquement par le biais d'un jeton à durée limitée pour gérer le contrôle d'accès.
SupprimerExiste-t-il des mécanismes permettant aux utilisateurs de contrôler leurs paramètres de confidentialité des données ?
TeamOne fournira des menus de paramètres où les utilisateurs pourront ajuster leurs données de confidentialité, y compris la visualisation de leurs informations et la modification des paramètres de confidentialité. Ces paramètres seront accessibles via les paramètres du compte ou le tableau de bord de confidentialité.
SupprimerQue se passe-t-il si les utilisateurs bêta ne se sont pas abonnés et où/comment ViewSonic stocke-t-il leurs données ?
Ces utilisateurs bêta seront rétrogradés au plan gratuit individuel, et leurs tableaux resteront accessibles. TeamOne utilise AWS comme notre fournisseur de soutien, assurant des normes industrielles pour les transactions et les données. Les données des tableaux des utilisateurs résideront dans la même région que celle choisie dans le compte ViewSonic.
SupprimerTeamOne possède-t-il des certifications de sécurité ?
Bien que TeamOne n'ait pas actuellement de certifications de sécurité, ViewSonic maintient la certification ISO 27001 en bonne et due forme. De plus, notre fournisseur d'hébergement AWS adhère à la plupart des normes de sécurité de l'industrie.
SupprimerPuis-je demander à supprimer mon compte et mes données dans TeamOne ?
Oui, si vous avez besoin de supprimer complètement vos données, veuillez soumettre un ticket de support et notre spécialiste vous aidera.
SupprimerQui peut accéder à mes données dans TeamOne ?
Grâce à la mise en œuvre des pratiques DevSecOps, TeamOne interdit à tout développeur de 'toucher' opérationnellement la base de données de production. De plus, selon les rôles prédéfinis, personne ne doit accéder directement à aucune donnée de production dans ViewSonic.
SupprimerRéponse aux incidents
Quel est le processus de réponse aux incidents de sécurité ou aux violations ?
La gestion des incidents pour TeamOne suit les directives énoncées dans le Livre blanc sur la sécurité de myViewBoard.
SupprimerExiste-t-il une équipe de sécurité désignée responsable de la réponse aux incidents ?
L'équipe de sécurité de TeamOne documentera toutes les étapes de récupération prises lors des incidents et les présentera comme des études de cas pour des conseils et une prévention. Les tâches détaillées et les journaux collectés lors du processus de gestion des incidents seront répertoriés dans l'annuaire interne de TeamOne, partagé exclusivement avec l'équipe de développement de logiciels interne. Tous les problèmes signalés seront également répertoriés dans notre annuaire interne et partagés avec l'équipe sans aucune information identifiable sur le client.
SupprimerLes clients sont-ils rapidement informés en cas d'incident de sécurité ?
Les clients sont rapidement informés en fonction de la gravité, du type et de l'impact de l'incident de sécurité. Si nécessaire, des notifications sont envoyées par e-mail pour assurer une communication rapide.
SupprimerIntégrations et dépendances tierces
Existe-t-il des bibliothèques ou composants tiers utilisés dans le logiciel ?
Oui, TeamOne utilise des bibliothèques tierces, qui sont soumises à une analyse rigoureuse par notre outil SAST équipé d'une analyse intelligente de la composition du logiciel (SCA) pour garantir leur sécurité avant l'intégration.
SupprimerComment les dépendances sont-elles gérées et sont-elles régulièrement mises à jour pour les correctifs de sécurité ?
TeamOne utilise DevSecOps pour gérer les dépendances et les met à jour régulièrement pour la sécurité. Nous effectuons des tests de sécurité d'application dynamique (DAST) et des tests de l'équipe rouge lors du déploiement pour une vérification de sécurité approfondie, assurant une protection continue.
SupprimerSystème d'alerte de sécurité
Le logiciel dispose-t-il d'un système d'alerte de sécurité ? Ce système devrait vous avertir rapidement de toute activité anormale détectée sur vos systèmes informatiques (comme des modifications non autorisées ou des connexions inconnues).
TeamOne utilise un pare-feu d'application Web (WAF) en plus du contrôle d'accès basé sur les rôles pour détecter et répondre rapidement aux activités anormales telles que les modifications non autorisées ou les connexions inconnues, assurant ainsi la sécurité de nos systèmes.
SupprimerBase de Connaissance myViewBoard
Dans cet article