Services de sécurité fournis
-
Mise à jour de Log4j / Log4Shell
Notre équipe est consciente de la récente vulnérabilité du système de journalisation Java Log4j. NutshellL'exposition de l'infrastructure de l'entreprise à Java est minime et, dès que nous avons appris l'existence de cette vulnérabilité, nous avons procédé à un examen de nos systèmes. Nous n'avons identifié aucun système utilisant une version affectée de Log4j, y compris nos infrastructures Solr et Jenkins.
Nous continuons à revoir nos systèmes pour garantir la sécurité de vos données et nous continuerons à surveiller les listes de sécurité de l'industrie pour des problèmes de ce type.
-
Toujours crypté
Nous utilisons un cryptage TLS 1.2 256 bits de qualité bancaire chaque fois que vous accédez à votre compte Nutshell , que ce soit via le web ou nos applications mobiles. Vos données sont cryptées au repos dans nos bases de données.
-
Sauvegardes continues
Toutes les données sont immédiatement répliquées sur plusieurs serveurs. Nous prenons également des clichés biquotidiens, hebdomadaires et mensuels. Des services de surveillance tiers informent immédiatement notre équipe de tout problème. Consultez les mises à jour de disponibilité en direct sur status.nutshell.com.
-
Protection des données financières
Nous utilisons un fournisseur conforme à la norme PCI pour stocker en toute sécurité vos informations de facturation. Les informations relatives aux cartes de crédit ne sont pas stockées sur nos serveurs.
-
Mots de passe sécurisés
Les mots de passe sont cryptés à sens unique et le personnel de Nutshell n'y a pas accès.
-
Réussite de l'évaluation CASA
Nous avons passé avec succès une évaluation CASA (Cloud Application Security Assessment) pour notre application web, validant que nous répondons aux exigences de sécurité définies par l'App Defense Alliance (ADA).
Les exigences comprennent l'alignement sur les cadres de sécurité les plus importants du secteur et l'absence de résultats liés à des dénombrements de faiblesses communes (CWE) présentant un risque d'exploitation élevé ou moyen.
Et voici les détails pour les professionnels de la sécurité :
Sécurité des réseaux
Notre équipe d'ingénieurs a l'habitude de gérer des pétaoctets de données de manière sûre et durable. Nous prenons les mesures suivantes pour assurer la sécurité de vos données au repos et lorsqu'elles transitent sur les réseaux.
- Pare-feu, VPN, systèmes d'exploitation Linux modernes, réseau conservateur et configuration des groupes de sécurité
- Chiffrement au repos
- VPN pour sécuriser l'accès des employés et crypter toutes les données qui transitent par les liens Internet
- Nutshell Les mots de passe sont salés et hachés à sens unique. Notre personnel ne peut pas accéder à votre mot de passe ni le voir
- Les pages de connexion sont protégées contre les attaques par force brute
- Nous suivons les listes de sécurité de l'industrie et corrigeons rapidement les problèmes critiques (nous avons corrigé Heartbleed en quelques heures).
- Nous utilisons une architecture de stockage de données multi-locataires. Les données des clients sont stockées dans des silos distincts par compte, afin d'isoler et de protéger vos données.
Sécurité opérationnelle
Notre équipe d'assistance est basée en interne avec notre équipe d'ingénieurs d'Ann Arbor. Nous n'accédons à votre compte qu'avec votre autorisation pour résoudre des problèmes d'assistance. Le personnel ne vous demandera jamais votre mot de passe Nutshell .
- Tous les ordinateurs du personnel sont dotés d'un système de cryptage du disque complet et de mots de passe robustes.
- Nous limitons l'exposition de notre réseau interne à Windows
- Chaque employé de Nutshell reçoit une copie de 1Password dès son premier jour.
- Les bureaux sont sécurisés par un accès individuel par carte magnétique
Sécurité financière
Les informations relatives à votre carte de crédit et à votre facturation sont stockées en toute sécurité. Notre fournisseur de services de facturation est conforme à la norme PCI et géré séparément des systèmes d'application Nutshell .
Mots de passe
Nutshell utilise une méthode de hachage à sens unique pour stocker en toute sécurité une représentation de votre mot de passe. Nous ne pouvons pas récupérer un mot de passe - vous devez utiliser notre outil de mot de passe oublié en conjonction avec votre adresse électronique pour récupérer votre mot de passe. Il est de votre responsabilité de maintenir votre adresse électronique Nutshell à jour.
Il est de votre responsabilité de choisir des mots de passe sûrs et de les conserver en toute sécurité. Nutshell ne peut être tenu responsable des données compromises en raison d'un mot de passe d'utilisateur non sécurisé ou volé. Si vous vous authentifiez auprès de Nutshell par l'intermédiaire d'un tiers (par exemple, Google Apps), ces mots de passe doivent également être sécurisés.
Divulgation responsable
Si vous êtes un chercheur en sécurité ou si vous pensez avoir rencontré un problème dans la sécurité de Nutshell, veuillez lire les notes suivantes.
Nutshell ne propose pas de programme de récompense pour les signalements de bogues.
Veuillez signaler tout problème de sécurité à security@nutshell.com. Si vous avez besoin d'envoyer un message crypté, vous pouvez le trouver sur Keybase.
Nous vous demandons de nous accorder un délai raisonnable pour répondre aux rapports avant de rendre l'information publique.
Nous vous prions de ne pas effectuer de recherches en matière de sécurité qui pourraient entraîner la destruction de données, l'interruption ou la dégradation du service. Cela inclut l'utilisation d'outils automatisés ou de scanners : ils sont susceptibles de provoquer le bannissement de votre adresse IP.
Nous n'acceptons pas les rapports de divulgation responsable concernant les questions suivantes :
- Problèmes de redressement des Iframe / UI liés aux en-têtes X-Frame-Options
- Mise en œuvre de la SSST
- Force du mot de passe fourni par l'utilisateur
- Problèmes de configuration SPF, DKIM et DMARC
- Problèmes d'énumération des utilisateurs (nous utilisons la limitation de débit pour protéger nos utilisateurs)
- Présence d'une bannière ou d'une information sur la version
Remerciements
De nombreuses personnes et organisations nous ont fait part de leur volonté de rendre le site Nutshell plus sûr. Vous pouvez les lire ici.