La sécurité est une préoccupation majeure pour toutes les organisations. Chez eLabNext, la sécurité de notre plateforme et de vos données est une préoccupation quotidienne. Lisez cette page pour en savoir plus sur la sécurité chez eLabNext.
eLabNext est une marque de Bio-ITech BV, qui fait partie du groupe Eppendorf. Depuis 2016, Bio-ITech est officiellement certifié ISO/IEC 27001, la norme mondialement acceptée pour la gestion de la sécurité de l'information. Cette page identifie les mesures que nous prenons pour protéger vos données.
| Sécurité physique | |
|---|---|
| Installations | Les serveurs de Bio-ITech sont hébergés dans des installations conformes à la norme ISEA 3402 ou ISO 27001, dans au moins deux centres de données géographiquement séparés. Pour les clients d'Amérique du Nord, le Cloud est hébergé aux États-Unis. Pour les clients du reste du monde, le Cloud est hébergé en Europe. Les installations de Cloud privé sont hébergées dans le centre de données Cloud d'Amazon Web Services (AWS) dans la région de préférence du client. |
| Sécurité sur place | Tous les serveurs sont hébergés dans des installations conformes aux normes ISO 27001, SOCII ou ISEA 3201. Nos centres de données disposent d'un périmètre sécurisé avec un personnel de sécurité 24/7, une surveillance vidéo, des serrures physiques et des alarmes de sécurité. |
| Contrôle | La disponibilité du réseau est surveillée en permanence par Bio-ITech. En outre, les performances et le temps de fonctionnement des serveurs sont contrôlés en temps réel et Bio-ITech est averti lorsque les seuils fixés sont dépassés en raison d'événements anormaux. |
| Localisation | Bio-ITech utilise des centres de données aux États-Unis pour les clients d'Amérique du Nord et des centres de données en Europe pour les clients du reste du monde. |
| Suppression des données | Bio-ITech traite les informations avec le plus grand soin et élimine tous ses dispositifs de stockage conformément à un protocole de destruction des données ISO 27002. |
| Sécurité des réseaux | |
| Équipe de sécurité dédiée | Bio-ITech dispose d'une équipe de sécurité répartie dans le monde entier pour répondre aux alertes et aux événements de sécurité. |
| Protection de l'environnement | Notre système est protégé par de multiples pare-feux, un transport sécurisé des données grâce au cryptage HTTPS, des audits de sécurité réguliers et des mesures préventives pour éviter les attaques malveillantes du réseau. |
| L'architecture | Bio-ITech dispose de plusieurs zones de sécurité dont l'accès est limité. Les systèmes sensibles sont sécurisés par une protection à plusieurs niveaux et ne sont accessibles qu'aux personnes qui en ont besoin pour la maintenance. |
| Analyse de la vulnérabilité des réseaux | Bio-ITech évalue périodiquement la sécurité des composants d'application lors d'audits internes de sécurité des logiciels. |
| Tests de pénétration par des tiers | Nos applications sont soumises à des tests de pénétration périodiques afin de détecter les vulnérabilités. |
| Accès logique | L'accès au nuage et au réseau de nuage privé est limité en fonction du besoin de savoir. L'accès nécessite plusieurs facteurs d'authentification |
| Cryptage | |
| Chiffrement en transit | Toutes les communications avec les utilisateurs finaux depuis et vers notre centre de données sont cryptées à l'aide d'une connexion SSL (HTTPS). Les produits eLabNext utilisent un certificat SSL Extended Validation (EV) de classe III qui a été émis par COMODO CA Limited, une autorité de certification (CA) enregistrée. Les certificats à validation étendue ne sont délivrés qu'aux fournisseurs de services les plus fiables (y compris les instituts gouvernementaux et les banques) et sont indiqués par une barre de confiance verte. |
| Chiffrement au repos | Toutes les données de sauvegarde sont cryptées et stockées en toute sécurité. |
| Disponibilité et continuité | |
| Temps de fonctionnement | La disponibilité de tous les serveurs en nuage et en nuage privé est surveillée en temps réel. En cas d'incident, notre personnel est alerté et formé pour résoudre les problèmes. |
| Redondance et sauvegardes | Le nuage est hébergé dans une infrastructure entièrement redondante afin d'éliminer tout point de défaillance unique. Toutes les données sont répliquées en temps réel et archivées sur une troisième base de données pour garantir une récupération immédiate. En outre, toutes les 24 heures, une sauvegarde complète de toutes les données est stockée dans notre coffre-fort crypté en cas de reprise après sinistre. |
| Reprise après sinistre | Bio-ITech a mis en place une procédure de reprise après sinistre en cas de défaillance complète du système. |
| Convention de dépôt fiduciaire | Pour assurer la continuité des activités, Bio-ITech propose un service de dépôt fiduciaire. Le code source de l'application sera stocké en toute sécurité chez un tiers indépendant et sera libéré au cas où Bio-ITech ne fournirait pas le service requis. |
| Développement sécurisé | |
|---|---|
| Formation à la sécurité | Bio-ITech organise des formations annuelles à la sécurité pour l'ensemble de son personnel afin de maintenir la sensibilisation à la sécurité à jour. |
| Assurance qualité | Des testeurs spécialisés examinent et testent le code développé pour détecter les vulnérabilités. |
| Environnements séparés | Le développement, les tests et la mise en phase sont effectués dans des environnements séparés, ce qui garantit la sécurité de nos applications. |
| Sécurité de l'authentification | |
|---|---|
| Options d'authentification | Dans le nuage, nous proposons l'ouverture de session eLab. Dans le nuage privé, nous offrons la possibilité d'utiliser le Single Sign On (SSO) avec Active Directory (AD/LDAP/AD FS). |
| L'authentification unique (SSO) | eLabJournal et eLabInventory permettent l'authentification via Single sign-on (SSO). Cela est possible via AD, ADFS, SAML LDAP et SURFconext en fonction de l'option d'hébergement. |
| Authentification à deux facteurs (2FA) | Avec la vérification en deux étapes, les utilisateurs peuvent être obligés de se connecter avec un code de vérification en deux étapes en plus de leur mot de passe. Le code de vérification en deux étapes est généré par leur appareil mobile. La vérification en deux étapes fournit une deuxième couche de sécurité à votre compte, ce qui rend plus difficile pour quelqu'un d'autre de se connecter en votre nom. |
| Stockage sécurisé des justificatifs | Bio-ITech adhère à toutes les meilleures pratiques en matière de stockage des mots de passe des utilisateurs. Les mots de passe ne sont jamais stockés dans un format lisible par l'homme et sont uniquement stockés sous la forme d'un hachage sécurisé, salé et unidirectionnel. |
| Sécurité et authentification de l'API | L'eLabAPI est un service SSL uniquement et vous devez être un utilisateur vérifié pour effectuer des requêtes API. Vous devez toujours vous autoriser avec votre nom d'utilisateur et votre mot de passe ou avec un jeton API pour accéder aux données via l'API. |
| Caractéristiques de sécurité supplémentaires | |
| Privilèges d'accès et rôles | Les produits eLabNext prennent en charge différents rôles système afin de permettre un contrôle total du système par un administrateur du système informatique et des utilisateurs clés de l'organisation. En plus de leur rôle en tant qu'utilisateur, leur niveau d'accès peut être promu pour permettre un contrôle total du système, ou par organisation au sein du système, en fonction de la solution d'hébergement. |
| Rôles et autorisations des utilisateurs | eLabJournal et eLabInventory prennent en charge une liste complète de permissions qui peuvent être activées ou désactivées par utilisateur. L'accès aux données d'eLabJournal peut être étroitement contrôlé. Les autorisations peuvent être configurées pour définir des privilèges d'accès granulaires et peuvent être définies par l'administrateur du groupe. |
| Restrictions IP | Dans le nuage privé, vous pouvez choisir d'activer la restriction IP pour que l'application ne soit accessible que sur des plages d'adresses IP spécifiques. Ces restrictions s'appliquent à tous les utilisateurs et à toutes les données stockées dans l'application. |
| Conformité en matière de sécurité | |
|---|---|
| ISO 27001:2013 | Bio-ITech est certifié ISO 27001 depuis 2016. |
| Conforme au GDPR | Bio-ITech se conforme aux exigences du Règlement général sur la protection des données de l'UE. Dans les installations de systèmes dédiés, il est possible d'appliquer une politique de confidentialité qui empêche l'utilisateur final d'ajouter des données personnelles à son profil. |
| Conforme à la norme 21 CFR 11 | eLabJournal et eLabInventory sont conformes au titre 21 CFR Part 11 du Code of Federal Regulations, réglementation sur les enregistrements et signatures électroniques établie par la Food and Drug Administration (FDA) des États-Unis. |
| FedRAMP | Bio-ITech est conforme, mais pas encore certifiéeLe programme de gestion des risques et des autorisations (Federal Risk and Authorization Management Program), un programme de conformité à l'échelle du gouvernement des États-Unis, définit une approche normalisée pour les produits et services en nuage en ce qui concerne leur approche en matière d'autorisation, d'évaluation de la sécurité et de surveillance continue. |
| Sensibilisation à la sécurité | |
|---|---|
| Politiques | Bio-ITech applique des politiques de sécurité strictes couvrant un large éventail de sujets. Ces politiques sont mises à la disposition de l'ensemble du personnel et des sous-traitants qui ont accès aux informations de Bio-ITech ou de ses clients. |
| Formation | Tous les employés suivent une formation approfondie de sensibilisation à la sécurité après leur embauche afin de maximiser leur vigilance en matière de sécurité. En outre, tous les ingénieurs logiciels reçoivent une formation annuelle sur les bonnes pratiques de codage, dont la sécurité est l'un des principaux thèmes. |
| Vérification des employés | |
| Vérification des antécédents | Tous les employés potentiels font l'objet d'un examen approfondi de leur formation et de leur expérience professionnelle au cours du processus d'embauche. Tous les nouveaux employés sont soumis à une procédure formelle de sélection gouvernementale qui comprend une vérification des antécédents criminels au cours de leur période d'essai. |
| Accords de confidentialité | Tous les contrats des employés contiennent un accord de non-divulgation et de confidentialité. |
Pour toute question concernant nos mesures de sécurité ou si vous êtes intéressé par une déclaration d'un tiers concernant notre gestion de la sécurité de l'information
FR 
ENG-UK 
DE 
NL 
ES