centré sur l'humain

Latenode et le RGPD

Le RGPD est un sujet d’actualité. Bien que la législation soit entrée en vigueur il y a un an, de nombreuses entreprises peinent encore à se conformer au RGPD. Il ne se passe pas un jour sans que les journaux ne mentionnent des entreprises qui ne respectent pas les normes du RGPD ou qui testent les limites de la conformité au RGPD.

Chez Latenode, nous avons toujours été conscients de la manière dont nous traitons les données, car elles constituent le fondement de notre plateforme. Nous avons investi beaucoup de temps et d'efforts pour garantir notre conformité au RGPD et avons même rédigé un guide d'introduction pour les autres.

Normes de sécurité vérifiées par Google avec l'évaluation CASA

Latenode répond aux normes de sécurité les plus strictes et met en œuvre des protocoles de pointe pour garantir la protection de vos données à chaque étape. Notre engagement en matière de sécurité vous donne la confiance nécessaire pour automatiser les flux de travail de manière sûre et efficace.

Protection et cryptage des données clients

Comptes utilisateurs, authentification et autorisation

Nuage de Latenode

Lorsque vous vous inscrivez à un compte cloud Latenode, vous créez un compte directement avec Latenode. Lorsque vous créez un compte sur Latenode.cloud avec un nom d'utilisateur et un mot de passe, Latenode met en œuvre les meilleures pratiques pour la gestion des comptes. Par exemple, Latenode sale et hache votre mot de passe, puis stocke le mot de passe haché dans une base de données chiffrée au repos.

Comptes tiers

L'un des principaux éléments de la fonctionnalité de Latenode est la liaison de services tiers. Lorsque vous liez un compte à partir d'une application tierce, vous devrez peut-être autoriser l'application OAuth Latenode à accéder à votre compte ou fournir une clé API ou d'autres informations d'identification.

Latenode recommande d'utiliser OAuth pour les applications tierces qui le prennent en charge. Le protocole OAuth permet à Latenode de demander un accès limité à des ressources spécifiques de votre compte tiers sans que vous ayez à fournir directement des informations d'identification à long terme. Latenode doit demander des jetons d'accès à court terme à intervalles réguliers, et la plupart des applications offrent un moyen de révoquer l'accès de Latenode à votre compte à tout moment.

Certaines applications tierces ne fournissent pas d'interface OAuth. Pour accéder à ces services, vous devez fournir le mécanisme d'autorisation requis (souvent une clé API). En tant que bonne pratique, si votre application fournit une telle fonctionnalité, Latenode recommande de limiter l'accès de cette clé API aux seules ressources auxquelles vous devez accéder dans Latenode.

Lorsque vous utilisez des informations d'identification dans un workflow, Latenode les charge dans l'environnement d'exécution de votre instance Latenode. Pour Latenode Cloud, les instances client sont logiquement isolées les unes des autres. Latenode n'enregistre ni n'exporte les informations d'identification par défaut. Si vous enregistrez leurs valeurs, vous pouvez toujours supprimer les données de cette exécution. La plateforme supprime automatiquement les données d'exécution en fonction des paramètres de conservation de votre compte.

Vous pouvez supprimer vos autorisations OAuth ou vos informations d'identification basées sur des clés à tout moment. La suppression des autorisations OAuth dans Latenode ne révoque pas l'accès de Latenode à votre compte. Vous devez révoquer cet accès partout où vous gérez les autorisations OAuth dans votre application tierce.

Authentification d'utilisateur

Un nom d'utilisateur et un mot de passe sont nécessaires pour s'authentifier dans l'application.

Hébergement et stockage cloud

Latenode Cloud utilise Microsoft Azure pour l'hébergement.

Latenode sécurise davantage l'accès aux ressources Azure grâce à une série de contrôles, notamment :

  • Utilisation de l'authentification multifacteur pour accéder à Azure
  • Services d'hébergement au sein d'un réseau privé inaccessible à l'Internet public.

Latenode stocke tous les jetons OAuth, les informations d'identification basées sur des clés et le reste de la base de données de votre instance Cloud sur un disque chiffré au repos à l'aide du chiffrement côté serveur Azure (au moment de la rédaction de cet article, à l'aide d'AES256 et d'une implémentation conforme à la norme FIPS-140-2). Pour le cloud Latenode, cette base de données réside également dans un réseau privé. Les sauvegardes de cette base de données sont également chiffrées.

Cryptage des données

Nuage de Latenode

Lorsque vous utilisez l'application Web Latenode, elle crypte le trafic entre votre client et les services Latenode en transit. Il en va de même pour le trafic lié à l'API publique ou aux nœuds déclencheurs de webhook. Latenode utilise Cloudflare pour gérer et renouveler les certificats SSL.

Protection du réseau

Un système d'audit opérationnel surveille en permanence l'infrastructure cloud de Latenode et envoie des alertes au personnel approprié si nécessaire. Nous utilisons uniquement des configurations qui implémentent des ports et des protocoles réseau approuvés, y compris des pare-feu. Par exemple, nous maintenons un pare-feu d'application Web pour protéger l'application Web de Latenode du trafic malveillant et des menaces extérieures. Et un système de détection d'intrusion pour détecter les intrusions potentielles.

Journalisation des audits

Latenode collecte et stocke tous les journaux de votre serveur dans un emplacement central. Les utilisateurs autorisés peuvent interroger les informations du journal si nécessaire pour retracer les actions des utilisateurs individuels. Nous conservons l'historique du journal d'audit et les enregistrements d'activité historiques pendant au moins 3 mois, avec au moins le dernier mois immédiatement disponible pour analyse.

Pratiques de développement sécurisées

Système de contrôle de version

Latenode utilise un système de contrôle de version pour gérer le code source, la documentation, l'étiquetage des versions et d'autres tâches de gestion des modifications. Tout employé doit faire approuver son accès par un administrateur système pour apporter des modifications au code.

Processus de révision du code

Lorsque le code de l'application Latenode change, une personne autre que celle qui a effectué la modification examine et teste le nouveau code.

Environnements de test et de production séparés

Latenode utilise des environnements séparés pour les tests et la production de notre application.

Modifications restreintes du code de production

Seul le personnel autorisé de Latenode peut pousser ou apporter des modifications au code de production.

Test de sécurité d'application statique (SAST)

Latenode utilise des tests de sécurité d'application statiques (SAST) ou un outil équivalent dans le cadre du pipeline CI/CD pour détecter les vulnérabilités dans sa base de code. Lorsque des vulnérabilités sont identifiées, des corrections sont mises en œuvre avant la publication, selon la nature de la vulnérabilité.

Surveillance des systèmes

Latenode surveille son code, son infrastructure et ses applications principales pour détecter les vulnérabilités connues et traite rapidement les vulnérabilités critiques.

Contrôles d'accès

Accès aux données strictement réservé aux « personnes ayant besoin de savoir »

Latenode accorde aux employés l'accès aux systèmes contenant des données sensibles sur la base du principe du moindre privilège. Cela signifie que les employés n'ont accès qu'aux données dont ils ont besoin pour effectuer leur travail. L'entreprise révise l'accès au système tous les trimestres, à chaque changement de rôle et lors de la cessation de l'emploi.

Accès restreint au code de production

Latenode utilise GitLab pour stocker et versionner tout le code de production. Les employés utilisent l'authentification multifacteur pour accéder à l'organisation GitLab. Et seul le personnel autorisé de Latenode peut déployer ou modifier le code de production.

Authentification multifacteur requise

Nous exigeons l’authentification multifacteur partout où elle est disponible.

Accès Web crypté

Latenode utilise le cryptage pour protéger l'authentification des utilisateurs et les sessions d'administration de l'outil d'administration interne transmises sur Internet. Toutes les connexions se font via SSL/TLS avec un certificat valide provenant d'une autorité de certification fiable.

Sécurité d'entreprise

Processus de recrutement rigoureux

Les candidats à un emploi doivent passer par plusieurs étapes de vérifications d'antécédents et d'entretiens complets pour s'assurer qu'ils respectent les lois, les réglementations et l'éthique en vigueur. Tous les nouveaux employés doivent signer notre politique de protection des données lors de leur embauche.

Processus de départ strict

Lorsqu'un employé quitte Latenode, nous utilisons une liste de contrôle de résiliation pour garantir que l'accès au système de l'employé, y compris l'accès physique, est supprimé dans un délai d'un jour ouvrable et que tous les actifs de l'organisation (physiques ou électroniques) sont restitués.

Gestion des menaces et des vulnérabilités

Analyses de vulnérabilité

Latenode effectue des analyses de vulnérabilité tierces de son environnement de production au moins une fois tous les 90 jours.

Tests de pénétration

Latenode effectue des tests de pénétration tiers de son environnement de production au moins une fois par an.

Détection d'intrusion

Latenode exploite un système de détection d'intrusion (IDS) pour détecter les intrusions potentielles et alerter le personnel lorsqu'une intrusion potentielle est détectée. Inclut une solution anti-malware continuellement mise à jour qui analyse en continu pour détecter, supprimer ou bloquer tous les types de malware connus.

Simulation de phishing

Latenode effectue périodiquement des simulations de phishing dans le cadre des initiatives de sensibilisation à la sécurité de l'entreprise.

Intelligence de la menace

Latenode a mis en place des mécanismes pour collecter des informations sur les menaces et produire des renseignements sur les menaces (par exemple, des outils de renseignement sur les cybermenaces commerciales, des flux de renseignements sur les produits/fournisseurs de sécurité, des flux open source, etc.) conformément aux objectifs de renseignement sur les menaces définis.

Sauvegarde, récupération et continuité des activités

Latenode stocke les données client dans un compte de production sécurisé dans Azure. Latenode sauvegarde automatiquement toutes les données client et système quotidiennement pour se protéger contre les pertes catastrophiques dues à des événements imprévus qui affectent l'ensemble du système. Ce processus sauvegarde ou réplique les données dans une région distincte du même pays. Et les sauvegardes sont chiffrées de la même manière que les données de production en direct.

Le service de sauvegarde de Latenode surveille l'ensemble du processus de sauvegarde et toute défaillance déclenche automatiquement une alerte à l'équipe de réponse aux incidents.

Latenode dispose d'un plan de continuité des activités défini et régulièrement testé décrivant les procédures de réponse, de récupération, de reprise et de restauration des opérations après une catastrophe naturelle majeure ou une défaillance catastrophique du système.

Plan de reprise après sinistre

Latenode a formulé un plan de reprise après sinistre détaillé décrivant les rôles, les responsabilités et les procédures détaillées pour la récupération des systèmes en cas de panne.

Journaux de sécurité

Latenode collecte et stocke les journaux du serveur dans un emplacement central. Le système peut être interrogé de manière ad hoc par les utilisateurs autorisés.

Politique de sécurité des informations

Latenode dispose d'une politique de sécurité de l'information pour définir les obligations de sécurité des employés et des sous-traitants, ainsi que son processus disciplinaire en cas de violation de la politique.

Divulgation de vulnérabilité

Latenode dispose d'un processus dédié permettant aux employés de signaler les pannes, incidents et problèmes de sécurité, de confidentialité, d'intégrité et de disponibilité.

De plus, Latenode maintient une documentation d'assistance accessible aux clients où vous pouvez trouver les coordonnées de l'assistance. Nous nous engageons à faire en sorte que Latenode soit un outil sûr et sécurisé pour tous nos utilisateurs. Ainsi, si vous constatez des défaillances opérationnelles ou de sécurité, des incidents, des problèmes système, des préoccupations ou d'autres problèmes/réclamations, n'hésitez pas à contacter le personnel Latenode concerné.

Soutenu par

Pouvons-nous avoir confiance dans la longévité de votre plateforme ?

Les gens ont vu les plateformes d’automatisation aller et venir…

– Oui, oui et oui 😎

La raison est que nous nous appuyons sur Latenode tout comme vous. L'un de nos projets, Debexpert.com, est entièrement investi dans Latenode avec plus de 250 scénarios automatisés prenant en charge presque tous les aspects des opérations commerciales. Cela signifie que nous sommes entièrement alignés sur notre propre solution.

Latenode est là pour rester et poursuivra son développement, en étant entièrement autonome par rapport à ce que nous avons déjà construit avec succès. En même temps, nous percevons Latenode comme un projet passionné, car nous sommes de vrais fans de l'automatisation, désireux de partager notre enthousiasme pour Latenode avec le monde.