La sécurité de nos services et de vos données est notre priorité absolue. Nous savons que le succès de votre entreprise dépend de votre confiance dans notre sécurité. Nous nous efforçons constamment de protéger vos données en utilisant les meilleures pratiques généralement acceptées.

Infrastructure du système

Chez Metalshub, nous croyons en une séparation forte : Nos serveurs sont hébergés sur du matériel dédié - le matériel n'est pas partagé avec d'autres parties et nous sommes les seuls à pouvoir accéder à nos systèmes. Nous utilisons un matériel distinct pour notre plateforme de production, notre site web et nos services internes. Les serveurs sont situés en Allemagne et sont protégés physiquement et logiquement contre tout accès, tout en étant constamment surveillés. Le centre de données est régulièrement audité et possède une certification ISO 27001.

Serveurs

Tous nos serveurs sont protégés par de multiples pare-feu et disposent d'une protection DDoS (déni de service distribué) automatisée. En outre, notre système de détection des intrusions bloque automatiquement les adresses IP qui présentent un comportement suspect (par exemple, des tentatives de connexion infructueuses). Les fichiers journaux relatifs à la sécurité font l'objet d'un balayage automatique constant et d'un examen manuel hebdomadaire. Les mises à jour du système d'exploitation liées à la sécurité sont appliquées immédiatement et automatiquement.

Contrôle d'accès et formation

L'accès à nos serveurs est limité à l'authentification basée sur RSA-Key (pas de connexion avec un mot de passe). Un nombre absolument minimal d'employés (actuellement deux) et aucune partie externe n'ont un accès administratif à nos serveurs.

Nous utilisons un système de contrôle d'accès basé sur les rôles afin de garantir que chaque employé n'ait accès qu'aux données absolument nécessaires dans le cadre de son travail. En outre, tous les employés concernés reçoivent régulièrement des formations sur la sécurité informatique.

Cryptage

Nous cryptons vos données chaque fois qu'elles nous sont envoyées. Nous utilisons le protocole SSL (Secure Sockets Layer), norme industrielle, qui assure le cryptage des données, l'intégrité des messages et l'authentification du serveur. Nous activons le protocole HTTP Strict Transport Security (HSTS) pour tous nos domaines et sous-domaines. Notre configuration SSL a reçu la note A+ lors de l'audit bien connu de Qualys SSL Labs.

Mots de passe

Nous utilisons un mécanisme de pointe pour le stockage des mots de passe : Ils sont stockés à l'aide de l'algorithme "Password-based Key Derivation Function 2" (PBKDF2), un mécanisme d'étirement des mots de passe recommandé par le National Institute of Standards and Technology (NIST) américain et le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand. Chaque mot de passe possède un sel aléatoire unique et est haché plus de cent mille fois à l'aide de l'algorithme SHA256.

Sur demande, Metalshub peut également limiter la plage d'adresses IP pour les comptes d'entreprise afin que seules les personnes du réseau d'entreprise autorisé puissent se connecter pour un certain compte. Les utilisateurs peuvent également ajouter une couche supplémentaire de sécurité au processus d'authentification en activant l'authentification à deux facteurs (2FA) pour le processus de connexion.

Développement de logiciels

Chaque modification de code est examinée et doit être approuvée avant d'être déployée dans notre environnement de test. Après une révision, les changements sont déployés sur nos serveurs de production. Chaque version est testée automatiquement et manuellement pour vérifier la fonctionnalité, les vulnérabilités, la séparation des données basée sur l'authentification/autorisation et d'autres problèmes liés à la sécurité.

Sécurité des données internes

Nous utilisons un système d'accès très restrictif basé sur les rôles pour contrôler quels employés ont accès à quelles données et adhérons au principe de minimisation des données, c'est-à-dire que les employés n'ont accès qu'aux données nécessaires en fonction de leurs rôles. En outre, tous nos employés ont une clause de confidentialité dans leur contrat de travail. Le non-respect de cette clause peut entraîner le licenciement et d'éventuelles poursuites judiciaires.

Pour toute question, veuillez nous contacter: support@metals-hub.com