Sécurité de l'information
Gestion globale de la sécurité de l'information et de la qualité
La sécurité et la qualité sont d'une importance capitale pour Projektron GmbH. En effet, un développement logiciel sûr et des processus commerciaux performants sont au cœur de notre solution de gestion de projet basée sur le web et de notre entreprise. C'est pourquoi nous accordons une grande importance à une gestion globale de la sécurité de l'information et de la qualité. Vous découvrirez ici les mesures que nous avons mises en œuvre pour créer un environnement sûr et ce que nous prévoyons pour l'avenir.
Mesures organisationnelles
Nous visons un niveau élevé de sécurité de l'information dans l'entreprise. Les objectifs généraux de la sécurité de l'information s'appliquent à tous les secteurs de l'entreprise :
Confidentialité Intégrité Disponibilité
Nous mettons en œuvre ces mesures organisationnelles
| Contrôle de sécuritéProjektron BCS est régulièrement testé pour détecter les failles de sécurité selon des modèles de procédure reconnus tels que le guide de test OWASP. | | Projektron BCSPour la mise en œuvre de l'ISMS, le logiciel interne Projektron BCS a été développé en conséquence dans le cadre d'un projet. | |
| ISMSL'introduction d'un système de gestion de la sécurité de l'information (ISMS) a permis d'ancrer la sécurité de l'information dans l'organisation de l'entreprise et d'établir des processus importants de sécurité de l'information tels que la gestion des risques. | | Formation des collaborateursTous les collaborateurs sont sensibilisés et formés au thème de la sécurité de l'information. Ces formations ont lieu régulièrement pour rafraîchir les connaissances ou pour aborder des sujets d'actualité, et les nouveaux collaborateurs sont également formés directement lors de leur intégration. | |
| Équipe d'expertsUne équipe d'experts pour la sécurité dans le développement a été constituée au sein de l'entreprise pour traiter des thèmes actuels de la sécurité informatique. | | Manuels d'urgenceAfin de réagir rapidement aux incidents de sécurité et de limiter les dommages éventuels, des concepts de prise en charge d'urgence ont été développés et consignés dans des manuels d'urgence. | |
| Formations continuesLes collaborateurs bénéficient de formations continues adaptées à leurs besoins pour les sensibiliser aux objectifs et aux risques en matière de sécurité de l'information. | | DSMSNous utilisons un système de gestion de la protection des données (DSMS) conforme au règlement général de l'UE sur la protection des données (RGPD). | |
| Responsables ISMS et équipeChez Projektron, on travaille activement sur la sécurité de l'information et les processus qui y sont liés. Une équipe veille en permanence au respect des objectifs de sécurité. | | ISO 27001Les principaux processus clés tels que le développement de produits, l'assistance, les services informatiques et l'administration informatique ont été certifiés conformes à la norme ISO 27001 par le TÜV Süd. | |
| Audits de systèmesExamen structuré de la sécurité de tous les services informatiques à l'aide d'audits annuels des systèmes, en se concentrant sur l'examen des risques, les droits d'accès et le cryptage. |
Développement de produits
La prise en compte de la sécurité de l'information dans le processus de développement de Projektron BCS est fondamentale pour atteindre les objectifs de sécurité de l'information de Projektron GmbH.
Nous mettons en œuvre ces mesures de sécurité de l'information dans le développement de nos produits
| Concept de rôles et de droitsUn concept de rôles et de droits adaptable aux besoins du client offre la condition préalable à la limitation de l'accès aux données ou aux informations à la personne autorisée. | | Coffre-fort de mots de passeLes mots de passe nécessaires pour les systèmes tiers peuvent être déposés de manière cryptographique et sécurisée dans un coffre-fort de mots de passe. | |
| Connexions cryptéesPour une transmission sécurisée des données entre Projektron BCS et les utilisateurs ou les systèmes tiers, une communication cryptée est possible (https, imaps, smtps). | | Injection SQL, Cross Site Scripting & Cross Site Request ForgeryProjektron BCS est protégé contre ces techniques d'attaque. | |
| Mots de passe sécurisésLes mots de passe sont sécurisés dans Projektron BCS via l'algorithme PBKDF2 avec Salt et Pepper. | | Directives pour les mots de passeProjektron BCS prend en charge les directives relatives aux mots de passe en ce qui concerne leur complexité et leur fréquence de modification. | |
| Connexion uniquePrise en charge d'une authentification via l'Active Directory (LDAP/KERBEROS) ou OAuth 2.0 avec OpenID Connect. | | Attaques par force bruteProtection des comptes d'utilisateurs par un délai d'attente en cas d'échec de plusieurs tentatives de connexion. Le cas échéant, l'accès à des comptes individuels peut être autorisé uniquement pour certaines adresses IP et plages IP. | |
| Authentification à 2 facteursSécurisation supplémentaire de la connexion via un deuxième facteur généré selon le procédé TOTP. | | Directive interne "Développement de logiciels en toute sécurité"L'objectif est de minimiser les déficits de sécurité et les points faibles dans le développement de Projektron BCS et de réagir de manière appropriée à ces derniers, notamment en s'appuyant sur le Top 10 de l'OWASP et SANS 25. | |
| PentestsDes pentests sont régulièrement effectués en collaboration avec nos clients. Les résultats de ces tests sont continuellement pris en compte dans le développement et la protection de Projektron BCS. | | SANS 25La SANS 25 répertorie les 25 vulnérabilités les plus dangereuses (et les plus pertinentes) dans les logiciels. Les considérations sont donc plus globales que le regard spécifique de l'OWASP Top 10 sur les applications Web. | |
| Tests automatisésProjektron BCS est testé tant au niveau des fonctions que de la convivialité. Les modèles d'attaque courants peuvent être testés de manière automatisée. | | Top 10 de l'OWASPLe Top 10 OWASP (Open Web Application Security Project) répertorie les dix erreurs ou vulnérabilités les plus répandues et les plus importantes pour les applications web. |
Hébergement / SAAS
Nous savons qu'un système sûr est important pour vous, surtout si vous hébergez Projektron BCS chez nous ou chez notre prestataire de services. C'est pourquoi nous avons pris différentes mesures pour rendre notre hébergement encore plus sûr.
Voici les mesures que nous prenons pour un hébergement sûr
| PentestNotre hébergement est soumis chaque année à un pentest. | | SSLLors de l'hébergement, vous accédez à Projektron BCS via un accès crypté avec un certificat SSL. | |
| Fenêtres de maintenanceIl existe des fenêtres de maintenance régulières et planifiées pour l'installation de mises à jour et de correctifs. En cas de faille de sécurité aiguë, des mises à jour non programmées sont effectuées et annoncées deux heures à l'avance. | | Pare-feuUn pare-feu centralisé avec des règles de filtrage strictes individuellement par client vous protège contre les attaques de l'extérieur. Un pare-feu pour les applications web peut être mis à disposition sur demande. | |
| Serveurs de base de données séparésLes données des clients se trouvent sur des serveurs de base de données séparés. Cela permet d'améliorer les performances et de mettre en place des interfaces individuelles. | | Mises à jour automatiséesLes machines virtuelles ainsi que Projektron BCS sont mises à jour automatiquement afin que vous soyez toujours à la pointe de la sécurité. | |
| SVCNos clients sont automatiquement connectés au service de versionnement des configurations (SVC). Cela signifie que leurs configurations sont gérées au sein d'un référentiel SVN. | | HTTPS/SFTP/SSH & SCPEn règle générale, vous accédez à votre machine virtuelle uniquement via des connexions sécurisées (via HTTPS/SFTP/SSH) et créez ainsi par exemple des sauvegardes ou des copies de données (via SCP). | |
| Tunnel VPNLes machines virtuelles ne sont pas accessibles via Internet. Projektron n'y accède que via des tunnels VPN. | | Sauvegarde et restaurationL'hébergement offre des sauvegardes et, si nécessaire, une restauration rapide. | |
| DisponibilitéNous garantissons la disponibilité convenue, qui est surveillée en permanence. | | Protection par gardiennageLe centre de données est surveillé 24h/24 et 7j/7 par un service de gardiennage sur place. | |
| Site en AllemagneLe centre de données est situé en Allemagne et est soumis à des niveaux de sécurité élevés. Il appartient à la classe Tier IV avec des ISP POP redondants. | | Contrôle d'accèsSeules les personnes autorisées chargées de l'exécution des tâches peuvent pénétrer dans le centre de données, moyennant une inscription préalable. | |
| CertifiéNotre centre de données et les secteurs de Projektron liés à la sécurité sont certifiés ISO 27001. Le centre informatique possède également d'autres certificats : VdS ISO 9001 NSL et IS, DIN 14675 pour BMA et DIN EN 50518. |
Kevin Botsch
BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch
"En tant que prestataire de services de conseil, de développement et d'intégration d'applications professionnelles dans le secteur financier, la sécurité des logiciels et la transparence des processus sont importantes pour nous. En raison de la croissance que nous avons connue jusqu'à présent et de l'augmentation constante du nombre d'utilisateurs, la convivialité et l'utilisation intuitive sont également devenues des facteurs importants. Avec Projektron BCS, nous avons trouvé un système qui répond exactement à ces exigences. En outre, BCS peut également être adapté de manière flexible à nos besoins et nous permet d'apporter de nombreuses améliorations aux processus".
Support
Pour l'assistance technique de nos clients, nous travaillons avec notre propre portail d'assistance. Nous veillons toujours à la qualité et surtout à la sécurité du traitement des informations.
Nos mesures pour la sécurité du traitement des informations dans le cadre de l'assistance
| Portail d'assistanceLe portail d'assistance pour les clients sert à l'échange sécurisé d'informations et au transfert de données. La communication se fait par le biais de tickets avec un dossier pour l'échange de données. | | SVCLe service de versionnement des configurations (SVC) est une mémoire centrale des configurations pour les clients et Projektron lui-même. Les configurations sont gérées dans un référentiel SVN. | |
| Autorisation d'accèsLes interlocuteurs du client disposent d'un accès personnalisé au portail d'assistance. | | FAQNous mettons régulièrement à la disposition des clients des informations relatives à la sécurité sur le portail d'assistance. | |
| CryptageL'accès au portail d'assistance n'est possible que via un accès crypté. |
Administration informatique
La sécurité de l'information est également une préoccupation majeure de notre administration informatique interne. Nous nous basons sur l'état de la technique pour sécuriser les systèmes et nous continuons à les sécuriser.
Nos mesures pour la sécurisation de nos systèmes dans l'administration informatique
| Distribution centrale de logicielsLes logiciels nécessaires sont déployés de manière centralisée sur les ordinateurs d'exploitation et maintenus à jour. | | SurveillanceLes services internes sont surveillés afin de garantir leur disponibilité et de pouvoir réagir rapidement en cas de problème. | |
| Technique de réseau redondanteLa ligne Internet, le pare-feu et les commutateurs centraux sont redondants. | | CryptographieLes recommandations des directives techniques du BSI (BSI TR-02102) sont vérifiées chaque année. | |
| Autorité de certification interneLes services internes sont cryptés par une autorité de certification propre. | | SVNLes services internes de versionnement sont séparés par thème et l'accès est contrôlé par des groupes de personnes. | |
| Courrier électroniqueLe trafic de messagerie entrant est surveillé et, en cas de doute, d'abord mis en quarantaine. | | VPNDes accès VPN sont mis à la disposition des collaborateurs pour le travail mobile. | |
| Sauvegarde et restaurationLes services internes sont sauvegardés quotidiennement et peuvent être restaurés rapidement à l'état de la dernière sauvegarde. Le processus de restauration est testé tous les six mois. | | Transfert de données cryptéSi les collaborateurs souhaitent emporter des données validées dans le cadre du travail mobile, ils peuvent utiliser à cet effet des clés USB cryptées avec code numérique. |
Autres mesures
Bien entendu, nous ne cessons pas ici de travailler sur nous-mêmes, sur nos processus et sur nos systèmes. Afin d'être toujours prêts à faire face aux dangers et aux exigences actuels, nous entretenons un échange actif d'expériences avec nos clients. Nous continuons également à développer notre équipe d'experts et à faire former certains collaborateurs en tant que spécialistes sur le thème de la sécurité. D'autres mesures sont actuellement en cours ou prévues dans un avenir proche :
| Certificat de protection des donnéesAvec le DSMS, nous voulons obtenir un certificat pour la protection des données, d'une part pour notre entreprise et d'autre part pour notre produit Projektron BCS. |
| ITILNous avons déjà mis en œuvre certaines des meilleures pratiques de l'IT Infrastructure Library (ITIL) et prévoyons d'en intégrer d'autres dans notre entreprise. |
