Phrase

Sécurité

Déclaration de sécurité de Phrase

Introduction

Cette déclaration de sécurité s’applique aux produits, services et applications offerts par Phrase. La protection et la fiabilité des données client sont notre priorité absolue. Notre système de sécurité est basé sur les principes de haute résilience, de transparence et d’évaluation par des tiers conformément aux normes de sécurité reconnues mondialement. Nous pensons que l’architecture de Phrase, fondée sur un service cloud public avec un modèle multi-locataire et des contrôles d’accès logiques, offre la meilleure valeur et la meilleure protection aux données confidentielles de nos clients, telles que les traductions, les fichiers de mémoire de traduction, etc.

Certifications

Phrase a.s. (anciennement Memsource a.s.) a été certifié ISO 27001 ce qui prouve que le système de gestion de la sécurité de l’information (SGSI) que nous avons mis en place est conforme à la norme ISO. Le certificat ISO a été renouvelé pour les années 2020-2023.

Nous utilisons Amazon Web Services (AWS) comme notre fournisseur de cloud. AWS est conforme à un large éventail de normes de sécurité, y compris SOC 1/ISAE 3402, SOC 2, SOC 3, FISMA, DIACAP, et FedRAMP, PCI DSS Niveau 1, ISO 9001, ISO 27001, ISO 27017, et ISO 27018.

Nous utilisons un fournisseur de paiement tiers qui est conforme à PCI DSS et utilise des mécanismes de sécurité supplémentaires tels que MasterCard SecureCode, Verified by VISA et SafeKey.

Audits et Détection de Vulnérabilités

Les services de Phrase subissent des tests de pénétration par des tiers chaque année. Les tests sont réalisés conformément à la norme OWASP ASVS.

Nous exploitons un programme de divulgation de vulnérabilités hébergé par un tiers permettant aux chercheurs indépendants de divulguer de manière responsable toute vulnérabilité qu’ils pourraient trouver dans nos applications et services.

Nous utilisons un service tiers pour des analyses de vulnérabilités automatisées mensuelles.

Notre système de gestion de la sécurité de l’information est soumis à des audits internes annuels et à des audits par des tiers vérifiant notre conformité à la norme ISO 27001.

Contrôle des données

Les données de votre compte Phrase sont protégées. Seuls les utilisateurs à qui vous avez accordé les autorisations appropriées ont accès à votre contenu. Au lieu d’envoyer des données par e-mail, les utilisateurs accèdent aux données après authentification dans Phrase (voir Contrôle d’accès) et toutes les actions des utilisateurs sont enregistrées.<5>

Toutes les données stockées sont chiffrées à l’aide de Linux LUKS (aes-xts-plain64:sha256) ou du chiffrement AWS (AES256).<6>

Centres de données et emplacements<1>

Le service Phrase est hébergé sur la plateforme Amazon Web Services (AWS). Les serveurs physiques sont situés dans les centres de données AWS. Le contenu utilisateur peut également être trouvé dans les sauvegardes stockées dans AWS S3.

Environnement de production<1>

Nous maintenons des environnements de développement, QA, pré-production et production séparés et distincts.<1>

Pour accéder à l’environnement de production de Phrase, les membres autorisés et formés de l’équipe d’ingénierie de Phrase utilisent un VPN et s’authentifient en utilisant des mots de passe forts uniques et 2FA.<2>

Gestion des changements

Phrase utilise un processus formalisé de gestion des changements informatiques conçu pour garantir que les changements sont autorisés et fonctionnent comme prévu.<1>

Le système de gestion des changements dans Phrase suit ces principes :<2>

  • Tout développement logiciel suit les meilleures pratiques documentées dans les politiques et la documentation de Phrase concernant des composants particuliers.<1>
  • Tous les changements sont documentés et approuvés par le responsable d’équipe concerné.<1>
  • Tous les changements sont testés dans les environnements QA et pré-production avant le déploiement dans l’environnement de production. Les modifications sont approuvées uniquement si elles remplissent des critères prédéterminés. Les environnements de développement et de QA utilisent des données de test et n’incluent pas de données réelles de clients.
  • Tous les changements qui affectent les mesures de sécurité appliquées ou le profil de risque du service Phrase sont évalués par l’équipe de sécurité de l’information de Phrase.<1>
  • En cas de changement majeur, des tests de pénétration et/ou des tests de vulnérabilité sont effectués.<1>

Contrôle d’accès<1>

La gestion des accès dans Phrase est guidée par les principes suivants :<1>

Principe du Moindre Privilège

Les privilèges d’accès pour tout utilisateur doivent être limités aux ressources absolument essentielles à l’exécution des tâches ou fonctions assignées, et rien de plus.

Principe de séparation des fonctions

Chaque fois que cela est possible, aucune personne ne devrait être seule responsable de l’exécution ou du contrôle d’une tâche, ou d’un ensemble de tâches, du début à la fin lorsqu’il existe un risque de fraude, d’abus ou d’autres préjudices.

Profils personnalisés

Dans la mesure du possible, les profils utilisateur sont personnalisés, c’est-à-dire liés à l’identité d’un utilisateur spécifique.

Identité unique

Dans la mesure du possible, les profils utilisateur utilisent un seul fournisseur d’authentification (tel que Google ID) et des informations d’identification uniques. L’authentification multi-facteurs est activée lorsque cela est pris en charge par le fournisseur d’authentification.

Responsabilité de l’utilisateur

L’utilisateur est responsable de la protection des moyens d’authentification (nom d’utilisateur, mot de passe, moyens d’authentification multi-facteurs) et de toutes les actions effectuées sous son profil. L’administrateur du système / de l’application informatique est responsable de l’utilisation et de la protection des profils techniques.

Journalisation des événements

Nous stockons des journaux liés aux événements du système et des applications ainsi qu’à toute activité utilisateur au sein de leur compte Phrase. Nous avons une gestion centralisée des journaux sous la forme d’un service tiers.

Les journaux d’audit relatifs à l’utilisation de la plateforme par un client sont disponibles pour les ingénieurs de Phrase et peuvent être fournis sur demande.

L’historique des connexions (y compris l’adresse IP, le pays et l’identification de l’agent utilisateur) est disponible pour chaque utilisateur et accessible via l’interface utilisateur.

Communication Chiffrée

Toute communication est chiffrée par défaut. Cela inclut la communication entre les serveurs de Phrase et le navigateur web de l’utilisateur, le CAT Desktop Editor de Phrase et l’application mobile.

Phrase utilise un chiffrement standard de l’industrie pour les données en transit. Elles sont chiffrées par TLS 1.2. L’identité de la connexion à Phrase est vérifiée par une autorité de certification sécurisée.

Redondance et Sauvegardes

Une architecture redondante garantit une haute disponibilité du service. Toutes les données sont conservées dans plusieurs instances de bases de données redondantes. Toutes les données sont sauvegardées par des sauvegardes incrémentielles quasi en temps réel ainsi que par des sauvegardes complètes quotidiennes vers un stockage hautement durable hébergé sur AWS S3. Les sauvegardes sont chiffrées à l’aide de Linux LUKS (aes-xts-plain64:sha256) ou du chiffrement AWS (AES256).

Récupération après sinistre et Réponse aux incidents

Nous appliquons des politiques de récupération après sinistre et de réponse aux incidents qui facilitent des réactions rapides et efficaces aux incidents. Cela nous aide dans nos efforts pour maintenir une haute disponibilité du service, et pour récupérer rapidement après des événements catastrophiques avec une perte de données minimale. La performance de notre récupération après sinistre est mesurée par l’Objectif de Temps de Récupération (RTO) et l’Objectif de Point de Récupération (RPO).

Le RTO est la durée cible pendant laquelle un processus métier doit être rétabli après une catastrophe (ou une interruption) afin d’éviter des conséquences inacceptables liées à une rupture de la continuité des activités. Phrase a prouvé lors des tests qu’elle atteint un RTO de 8 heures pour tous les composants de son service.

Le RPO est la quantité maximale acceptable de perte de données mesurée dans le temps. C’est l’âge des fichiers ou des données dans le stockage de sauvegarde requis pour reprendre les opérations normales en cas de défaillance d’un système informatique ou d’un réseau. Le RPO couvre les incidents qui nécessitent la récupération complète de toutes les instances de bases de données. Dans le cas où une seule instance de base de données est affectée par l’incident, l’environnement de production passe sans problème à une autre instance. Phrase atteint un RPO de 4 heures même en cas de défaillance catastrophique.

Sécurité Physique

Bien que la plupart des actifs de Phrase soient basés sur le cloud, la politique de l’entreprise garantit la protection des locaux physiques ainsi que des actifs d’information stockés ici.

Nos locaux sont protégés par un service de sécurité présent 24 h/24 et 7 j/7. L’entrée du bâtiment est surveillée par des caméras de vidéosurveillance. La sécurité contrôle tous les points d’accès au bâtiment, y compris les portes de secours.

En général, les locaux de Phrase ne sont accessibles qu’aux employés de Phrase et aux contractuels à long terme. Ces personnes détiennent des jetons leur accordant l’accès à la zone des bureaux généraux, à l’exclusion des zones restreintes.

Les visiteurs sont enregistrés à la réception qui fonctionne 24h/24 et 7j/7. En fonction de leur inscription, ils n’ont accès qu’à la zone de l’ascenseur. Pour accéder aux locaux de Phrase, ils doivent être accompagnés en tout temps par un employé de Phrase. Tous les employés de Phrase sont responsables de garder leurs visiteurs accompagnés en tout temps pendant leur visite et de ne pas leur accorder d’accès inutile à des actifs d’information appartenant à Phrase.

Les copies papier d’informations classifiées ne peuvent être stockées que dans des placards verrouillés situés dans le bureau de Phrase. L’accès à ces documents est accordé uniquement aux employés qui en ont besoin pour l’exécution de leurs fonctions.

Les actifs informatiques classifiés sont stockés dans la salle des serveurs. L’accès à la salle des serveurs n’est accordé qu’après confirmation par un employé désigné de Phrase. Les actifs d’information de Phrase sont stockés séparément de l’équipement des autres locataires dans des racks verrouillés.

Politiques du personnel<1>

Le personnel de Phrase est obligé d’agir conformément à la législation, aux règles et aux procédures décrites dans ce document et dans les documents de politique connexes. Ils sont responsables de la sécurité des actifs qui leur sont confiés par Phrase. Tout comportement inapproprié ou violation des obligations susmentionnées peut entraîner des mesures disciplinaires conformément à la législation du travail applicable.

Une solution anti-malware gérée de manière centralisée et mise à jour automatiquement est installée sur tous les ordinateurs.  Tous les appareils disposent du chiffrement complet du disque activé et sont protégés par un mot de passe fort et/ou des données biométriques. Les utilisateurs de Phrase doivent suivre ces politiques même lorsqu’ils utilisent leurs propres appareils. La politique de bureau propre fournit des règles pour sécuriser les appareils lorsqu’ils ne sont pas surveillés et pour le stockage sécurisé des informations internes et classifiées uniquement dans les zones protégées désignées.

Les utilisateurs doivent créer des mots de passe uniques, complexes et difficiles à deviner pour tous les comptes de travail. L’accès à distance au réseau interne de Phrase n’est possible que par le biais d’un VPN géré par l’entreprise.

Tous les employés et contractuels potentiels de Phrase sont soumis à des vérifications de fond conformément à la législation sur la vie privée. La formation à la sensibilisation à la sécurité fait partie de notre processus d’intégration et est répétée chaque année. Tous les employés et contractuels sont soumis à des engagements de confidentialité dans le cadre de leurs arrangements contractuels.

Programme de bug-bounty

Avez-vous trouvé une vulnérabilité de sécurité dans notre produit ? Vous pouvez la soumettre dans notre programme de bug-bounty et obtenir une récompense. Notre programme de bug-bounty est géré par Intigriti (lien vers Intigriti.com) et vous devez être un chercheur vérifié pour participer. Veuillez nous envoyer un e-mail avec la description de la vulnérabilité que vous avez trouvée et votre nom d’utilisateur Intigriti à security@phrase.com et nous nous assurerons que vous êtes invité.