Conception à faible risque
Le modèle de pointe SaaS d’Avature donne à chaque client sa propre instance logique totalement séparée de l’application. Comme nous ne mettons pas en commun les données des clients et qu’il n’existe pas de point d’accès universel, nous ne courons pas le risque de mélanger les données d’un client avec celles d’un autre. Grâce au fait que des centaines de clients partagent une base de code commune, Avature identifie les problèmes avant même que les clients ne les signalent. Notre cycle de vie de développement logiciel à microversion à haute fréquence (HF-SDLC) nous permet d’effectuer des mises à jour rapides sans devoir recourir à des correctifs. Ainsi, les corrections ne sont pas seulement effectuées plus rapidement, mais aussi avec moins de risques. En outre, qu’elles transitent de votre navigateur à notre serveur ou qu’elles soient au repos dans des environnements de production, vos données sont toujours protégées par un cryptage fort ou complet du disque.
Contrôle d’accès en fonction du rôle
L’accès à la sécurité chez Avature repose sur les rôles et prend en charge l’authentification unique (SAML) et l’authentification à facteurs multiples (MFA). Puisque l’accès est enregistré en temps réel, les administrateurs du système sont autorisés à observer et à mettre fin manuellement aux sessions actives des utilisateurs en cas de besoin. Comme il n’y a pas de rôles prédéfinis dans Avature, les schémas d’autorisation permettent aux clients de définir et d’affecter des utilisateurs à des groupes, des rôles et des privilèges spécifiques, ce qui garantit que l’accès aux données et le contrôle du traitement peuvent être finement segmentés sur l’ensemble de la population d’utilisateurs d’un client. Des fonctions de sécurité supplémentaires, telles que la liste blanche des adresses IP, l’authentification des certificats en fonction du matériel et le cryptage spécifique aux champs pour les données sensibles (par exemple, les SSN), offrent aux clients une expérience de sécurité des applications à la pointe du secteur.
Tenue d’un journal
Le journal d’Avature enregistre les activités de l’utilisateur au sein de l’application, notamment l’historique des connexions de l’utilisateur, les tentatives de connexion réussies et échouées (avec l’IP distante et l’horodatage) et les modifications de données dans les enregistrements, les changements de configuration du workflow et les changements de configuration des paramètres de sécurité.
Tests de sécurité intégrés
Chaque version d’Avature est soumise à plus de 10 000 tests, y compris des tests contre les 10 principales menaces de l’OWASP, ainsi qu’un ensemble exhaustif de tests d’évaluation des performances.
Tests périodiques par des tiers
Une société de sécurité partenaire certifiée PCI (Payment Card Industry) réalise de manière biannuelle un test d’intrusion et un audit relatif à notre application, à l’application mobile, et au réseau. Nos clients ont la possibilité d’accéder à ces résultats à tout moment.
Tests clients
Chez Avature, nous permettons à nos clients d’effectuer leurs propres tests de vulnérabilité des applications contre une copie de leur instance configurée dans un environnement en quarantaine. Les données sont masquées et nos clients peuvent faire appel à des sociétés de test tierces pour exécuter le travail. Nos clients procèdent habituellement à plusieurs tests par trimestre.