Conformité
Carbonhound est conforme à la norme SOC2, Type 1 pour l'année 2024. L'audit a été réalisé par Insight Assurance.
Principales caractéristiques de sécurité
Base de données
Cloud SQL (Postgres) hébergé dans GCP
Uniquement accessible de l'extérieur par le biais d'une connexion proxy vérifiée
L'ensemble du système est codé et sauvegardé quotidiennement.
Les utilisateurs recevront un OTP (mot de passe à usage unique) après avoir saisi leur adresse électronique. Les sessions durent 7 jours, après quoi ils seront déconnectés.
Téléchargement de données et gestion de fichiers
Les téléchargements de données (et les téléchargements de fichiers privés) utilisent urls signées pour télécharger vos fichiers d'importation dans notre espace de stockage privé GCP dans un dossier généré spécifiquement pour votre entreprise et télécharger
Les URL signées sont un lien temporaire à accès restreint (par exemple, accès en lecture ou en écriture) à une ressource privée qui nécessite un contrôle d'authentification spécialisé (voir permissioning).
Communications interservices
Tous les services GCP sont hébergés dans un réseau privé partagé, c'est-à-dire qu'ils peuvent communiquer entre eux, mais pas avec des tiers.
Les services GCP utilisent aussi régulièrement Pub/Sub (messagerie/queuing) pour les intercommunications, avec les mêmes stipulations de réseau privé partagé que celles mentionnées ci-dessus.
Le seul service GCP accessible au public qui traite des données privées est l'application web elle-même (nécessaire pour pouvoir utiliser l'application) - toutefois, tous les traitements sont effectués via le serveur et les informations en transit sont cryptées.
Hébergement de services
Tous les services sont hébergés dans GCP via CloudRun dans un réseau privé
Gestion des secrets
Les secrets (par exemple, les clés d'API privées) sont hébergés par le gestionnaire de secrets GCP et font l'objet d'une rotation semestrielle.
Cela signifie que les informations sensibles nécessaires au fonctionnement de l'application qui pourraient être volées pour accéder à l'application de manière inappropriée ou pour accéder à des fournisseurs tiers associés à notre application ne sont exposées dans aucun de nos services.
Enregistrement
Nous surveillons et enregistrons le comportement des utilisateurs dans l'application, les erreurs au niveau du service, le trafic et les incidents, ainsi que les actions des employés de Carbonhound dans l'application dans notre service d'hébergement GCP et notre service 1password.
Détection et atténuation des menaces
le système fait l'objet d'une surveillance constante afin de détecter les menaces, les violations et les vulnérabilités. Les vulnérabilités sont rapidement corrigées dès qu'elles sont découvertes, conformément à la politique de sécurité informatique du CH.
le système utilise une protection contre les DDOS, les logiciels malveillants et les brèches sur tous les points d'extrémité
Autorisation
Chaque point d'accès authentifié dans l'application fait l'objet d'une vérification des autorisations en fonction de l'utilisateur actuellement authentifié, de son rôle et de l'entreprise à laquelle il appartient.
Cela signifie que vous ne pouvez pas accéder aux informations d'une entreprise à laquelle vous n'appartenez pas et que vous ne pouvez pas non plus accéder aux informations sans être connecté.
Gestion de l'accès
Seuls les employés de Carbonhound qui en ont besoin ont accès aux services de BPC, et uniquement aux services auxquels ils ont réellement besoin d'accéder.
Encodage
tous les identifiants présents dans l'application client (l'application web avec laquelle vous interagissez et que vous voyez) sont encodés
Analyse et anonymisation
Les analyses sont effectuées par Segment et ne contiennent pas d'informations personnalisées - seuls les identifiants codés sont utilisés pour définir les événements.
Meilleures pratiques en matière de gestion des sessions et des autorisations
Nous utilisons des jetons JWT pour gérer l'authentification avec une période d'expiration de 2 semaines.
Les jetons JWT sont encodés à l'aide d'une clé secrète (voir la politique de gestion des secrets) et ne contiennent pas d'informations sensibles au décodage.
Les données de l'État ne persistent pas d'un site à l'autre
La formulation du mot de passe lors de la création d'un compte suit les meilleures pratiques actuelles
Être au moins 10 caractères
ne pas être identique au courrier électronique de l'utilisateur ou à d'autres informations sensibles
Ne pas contenir d'expressions courantes ou de séquences de chiffres
Politiques internes, à l'échelle de l'entreprise
les informations sensibles (par exemple, les identifiants de connexion) doivent toutes être stockées à l'aide de 1password. De même, le partage d'informations sensibles doit se faire par le biais de 1password sharing, jamais par des moyens vulnérables tels que Slack ou le courrier électronique.
Services utilisés dans le cadre des Plateforme Google Cloud (PGC) et documentation connexe
Cloud Run (hébergement de conteneurs) :https://cloud.google.com/run/docs/overview/what-is-cloud-run
Cloud SQL (DB - Postgres) :https://cloud.google.com/sql/docs/introduction
Pub/Sub (file d'attente/messagerie) :https://cloud.google.com/pubsub/docs/overview?hl=en
Cloud Scheduler (déclencheurs Cron) :https://cloud.google.com/scheduler/docs/overview?hl=en
Gestion des secrets :https://cloud.google.com/secret-manager/docs#docs
Ressources sur la conformité et la réglementation de Google Cloud :https://cloud.google.com/security/compliance
Sécurité des données relatives aux déplacements des salariés
Afin de protéger la vie privée des employés, lorsque ceux-ci saisissent leurs itinéraires pour le module de trajet, Carbonhound n'enregistre pas cette adresse, mais seulement les distances et les modes de transport nécessaires pour effectuer les calculs d'émissions.
Carbonhound Connect Security
Sous-traitants autorisés
Carbonhound utilise des sous-traitants pour la collecte et le traitement des factures par le biais de notre service CHC : les informations de sécurité publique de chaque fournisseur sont directement liées, et chaque sous-traitant est conforme à l'engagement de sécurité SOC2 Type 2 de Carbonhound.
Société | Description | Pays | Lien vers les informations de sécurité |
Deck | Récupération des factures pour les comptes des fournisseurs de services publics | USA | |
Traitement des PDF | USA |
Credential Protection
Résumé des politiques de sécurité de l'information (InfoSec) chez Carbonhound
Gouvernance
Aperçu de la mission et des objectifs de Carbonhound en matière de protection de la vie privée et de sécurité, et description des principaux rôles et responsabilités liés à la protection de la vie privée et à la sécurité de l'information.
Gestion des actifs
Sauvegarde et suivi de la propriété intellectuelle (PI) et des actifs de Carbonhound - tant pour la PI détenue par Carbonhound que pour celle associée à Carbonhound (vendeurs, clients, partenaires, etc.)
Gestion des risques et de la conformité
La façon dont les risques sont compris et gérés, et qui en est responsable dans l'entreprise, en mettant l'accent sur la protection de la vie privée, la sécurité, la précision et la transparence dès la conception.
Gestion des tiers
régit les activités de gestion des fournisseurs tiers, ainsi que le moment et la manière de procéder à l'évaluation des risques pour les fournisseurs.
Gestion des données
Pratiques visant à sécuriser et à gérer les données tout au long de leur cycle de vie. Cela comprend le cryptage des données, la conservation des données, la classification des données, la reprise après sinistre, les sauvegardes de données, la gestion des clés, la gestion des flux de données et les pratiques de non-répudiation pour toutes les données stockées sur les systèmes de Carbonhound, quel que soit leur emplacement.
Vie privée
Elle couvre le traitement des informations personnelles collectées par Carbonhound ou ses clients, y compris les données stockées, traitées ou partagées de toute autre manière avec Carbonhound, ses systèmes, ses employés et ses sous-traitants. Cette politique régit également les données relatives aux ressources humaines.
Sécurité des ressources humaines (RH)
Cette politique décrit les exigences de Carbonhound en matière de ressources humaines concernant la sécurité de l'information et la confidentialité des données à chaque étape de l'emploi ou de l'engagement. Elle s'applique lors de l'intégration, tout au long de l'emploi ou de l'engagement d'un entrepreneur indépendant, et lors d'un changement de rôle ou d'une cessation d'activité.
Utilisation acceptable
Cette politique décrit l'utilisation acceptable des appareils électroniques et informatiques, des ressources du réseau et des informations relatives à Carbonhound. Elle s'applique à toutes les ressources appartenant à l'entreprise, louées ou sous-traitées, et englobe les informations contrôlées par l'entreprise ainsi que les données partagées avec nous par les clients et les autres parties prenantes.
Travail à distance
Cette politique décrit la manière dont Carbonhound protège les informations consultées, traitées ou stockées sur les sites de travail à distance. Ces mesures de sécurité permettent d'éviter des problèmes tels que le vol, l'espionnage et le sabotage. Un site de travail à distance est un site qui n'est pas un espace de bureau désigné et contrôlé par l'entreprise. Tous les employés et entrepreneurs indépendants qui travaillent à domicile ou sur des sites de travail à distance doivent lire et respecter cette politique.
Apportez votre propre appareil (BYOD)
Régit les exigences de sécurité pour l'utilisation d'appareils privés à des fins professionnelles.
Gestion des identités et des accès
La gestion de l'identité et la gestion de l'accès sont deux concepts qui se rejoignent pour englober la gestion de l'identité et de l'accès (IAM). La gestion des identités concerne les informations, les traits ou les éléments qui sont attribuables de manière unique à un individu ; l'individu est, possède ou connaît quelque chose qui prouve son identité. La gestion ou le contrôle des accès consiste à déterminer quelles personnes ont accès à quels systèmes, comptes, données, etc. Cette politique définit les exigences de Carbonhound, régissant les méthodes acceptables de détermination de l'identité d'un utilisateur et la manière dont le contrôle d'accès est géré pour ces identités sur les réseaux et les services.
Gestion des points finaux et de la configuration
Cette politique s'applique à tous les terminaux qui accèdent à d'autres systèmes et données, y compris les postes de travail, les serveurs et les dispositifs d'informatique en nuage, ainsi qu'à tous les terminaux appartenant à Carbonhound, loués par elle ou contrôlés par elle d'une autre manière. Des mesures appropriées doivent être prises lors de l'utilisation des postes de travail pour garantir la confidentialité, l'intégrité et la disponibilité des données sensibles.
Gestion des vulnérabilités et des correctifs
La gestion des vulnérabilités et des correctifs comprend les activités, les outils et les stratégies utilisés pour identifier, surveiller, signaler et résoudre les vulnérabilités des systèmes et des logiciels. L'audit comprend l'audit interne des contrôles à intervalles réguliers afin de garantir la conformité avec les politiques de sécurité de l'information de Carbonhound. Cette politique définit les exigences de Carbonhound, régissant les activités, les outils et les stratégies à utiliser dans le cadre du programme de gestion des vulnérabilités, ainsi que les activités d'audit à réaliser et leur degré d'exécution.
La gestion des vulnérabilités pour Carbonhound se concentre sur l'analyse de son environnement d'applications web et de son site web public. Ces environnements sont essentiels pour Carbonhound du point de vue de la confidentialité, de l'intégrité et de la disponibilité.
Développement de systèmes sécurisés
Cette politique décrit les stratégies de développement de logiciels sécurisés de Carbonhound et fournit une vue d'ensemble de l'approche de l'organisation en matière de développement de logiciels sécurisés. Elle constitue la base de la gouvernance, de la conception, de la mise en œuvre, de la vérification et du fonctionnement du cycle de vie du développement logiciel (SDLC) de Carbonhound. Elle fournit des orientations et définit la manière de développer des logiciels en toute sécurité au sein de Carbonhound.
Cette politique s'adresse à tous les employés et sous-traitants de Carbonhound qui développent, conçoivent, modifient ou contribuent au développement de logiciels. Toute personne ayant accès au code et aux référentiels de code de Carbonhound, aux environnements de développement ou au matériel clé, et toute personne apportant des modifications à un logiciel destiné à la production doivent lire et respecter cette politique. Toute personne ayant des privilèges pour développer, gérer et modifier des logiciels chez Carbonhound joue un rôle en veillant à ce que les logiciels soient développés en toute sécurité et à ce que Carbonhound atteigne et maintienne les normes les plus élevées en matière de développement de logiciels du point de vue de la sécurité et de la qualité.
Sécurité des réseaux et de l'informatique en nuage
Cette politique régit la gestion de l'environnement d'hébergement en nuage de Carbonhound, dans lequel est hébergée son application web. Cette politique doit être respectée par les personnes chargées de gérer cet environnement ou d'y accéder, à l'exclusion de celles qui n'y accèdent que via l'interface de l'application en ligne de Carbonhound.
Carbonhound stocke des quantités substantielles d'informations confidentielles dans l'environnement Cloud. La confidentialité, l'intégrité et la disponibilité de ces informations et des applications qui y sont hébergées sont essentielles pour Carbonhound, ses clients, ses employés et ses parties prenantes.
Sécurité physique
Cette politique doit être lue et suivie par tous les employés et entrepreneurs indépendants responsables des bureaux, des équipements informatiques, des supports d'impression et de toutes les autres données sous le contrôle de l'organisation. Cette politique définit les processus et les lignes directrices visant à sécuriser les équipements et à gérer l'accès physique afin de protéger le personnel, d'empêcher les accès non autorisés, de garantir l'intégrité des données et de maintenir la disponibilité des systèmes et des données.
Réponse aux incidents
Cette politique fournit des lignes directrices pour une résolution rapide des incidents de sécurité et de confidentialité au sein de Carbonhound.
Cette politique, applicable à l'équipe de sécurité (appelée équipe de réponse aux incidents), décrit la gestion et la réponse aux incidents de sécurité, en particulier ceux qui ont un impact sur les systèmes ou les données critiques. Toute dérogation à cette politique doit être approuvée par le responsable de la sécurité et la direction générale.
Rapport d'incident interne
Cette politique vise à guider l'ensemble des employés et des sous-traitants de Carbonhound sur la manière d'identifier, de signaler et de contribuer à la résolution rapide de tout incident lié à la sécurité ou à la protection de la vie privée. Elle s'applique à tous ceux qui ont accès aux données et aux systèmes de l'organisation.
Cette politique doit être suivie en cas d'incident réel ou potentiel en matière de sécurité ou de protection de la vie privée. Un incident de sécurité ou de confidentialité est défini comme tout événement susceptible d'avoir un impact sur la confidentialité, l'intégrité ou la disponibilité des informations, des systèmes, du matériel ou des logiciels. Il peut également s'agir de tout autre événement susceptible d'avoir un impact négatif sur l'entreprise, son personnel, ses clients, ses parties prenantes ou ses systèmes.
Continuité des activités et reprise après sinistre (BCDR)