Sécurité

La sécurité de vos documents constitue une priorité majeure chez PandaDoc. Vos documents commerciaux contiennent des informations que seuls vos clients et vous devez voir, et nous travaillons à ce que ce soit toujours le cas. Chaque jour, nous veillons à ce que la sécurité de nos services réponde aux normes du secteur.

Conformité au RGPD

Conformité au RGPD

Pour PandaDoc, la protection de la vie privée requiert un programme de sécurité global. Nous avons mené des recherches poussées et créé une page de référence expliquant de manière détaillée en quoi consiste le RGPD et comment PandaDoc se conforme à ce règlement.

Certification

Certification

PandaDoc est certifiée SOC 2 Type II. Nous pouvons vous fournir sur demande un rapport SSAE 18 SOC 2 et des attestations de conformité. Les services PandaDoc sont hébergés sur la plateforme Amazon AWS. La certification détaille comment nous tirons parti, pour nos clients, des investissements massifs et constants d’Amazon en matière de sécurité.

Sécurité physique

Sécurité physique

Les centres de données de PandaDoc (gérés par Amazon AWS) sont à la pointe de la technologie et reposent sur des approches d’architecture et d’ingénierie innovantes. Amazon dispose de nombreuses années d’expérience dans la conception, la construction et la gestion de centres de données à grande échelle, expérience dont tirent parti la plateforme et l’infrastructure AWS.

Sous-traitants tiers

Sous-traitants tiers

PandaDoc fait actuellement appel à des sous-traitants tiers pour différentes fonctions commerciales. Leur posture de défense a été minutieusement évaluée, et ils ont signé un contrat exigeant le respect et le maintien de pratiques de sécurité minimales acceptables.

Sécurité logicielle

Serveurs et mise en réseau

Serveurs et mise en réseau

Tous les serveurs qui exécutent le logiciel PandaDoc en production sont des systèmes Linux récents sur lesquels les derniers correctifs disponibles sont installés en continu. Les autres services hébergés auxquels nous faisons appel, comme Amazon RDS, S3 et d’autres, reposent sur des plateformes AWS renforcées de type infrastructure en tant que service (IaaS).

Stockage

Stockage

PandaDoc stocke les données de document comme les métadonnées, l’activité, les fichiers d’origine et les données des clients dans différents emplacements, tout en compilant et en générant des documents à la demande. Les données présentes dans chaque emplacement sont chiffrées au repos à l’aide de l’algorithme AES-256 et d’une gestion complexe des clés de chiffrement.

Bonnes pratiques en matière de codage et de test

Bonnes pratiques en matière de codage et de test

PandaDoc tire parti de techniques de programmation standard du secteur. Par exemple, le développement et les processus d’assurance qualité sont documentés, et les consignes comme celles du rapport OWASP sont appliquées. Il s’agit pour PandaDoc de s’assurer que ses applications répondent aux normes de sécurité.

Accès des employés

Accès des employés

Nous suivons le principe du moindre privilège dans la conception de nos logiciels, ainsi que dans le niveau d’accès que nous conseillons à nos employés d’utiliser pour le diagnostic et la résolution des problèmes dans nos logiciels et pour la réponse aux demandes d’assistance des clients.

Environnements isolés

Environnements isolés

Les segments du réseau de production sont isolés de manière logique des autres segments réservés à l’entreprise, à l’assurance qualité et au développement.

Informations de paiement des clients

Informations de paiement des clients

PandaDoc fait appel à un traitement des paiements tiers, externe et sécurisé, et ne traite, ne stocke et ne transmet aucune donnée de carte de paiement.
Surveillance du système et alertes

Surveillance du système et alertes

Chez PandaDoc, l’application en production et les composants d’infrastructure sous-jacents sont surveillés 24 h/24, 7 j/7 et 365 j/an par des systèmes de surveillance dédiés. Les alertes critiques générées par ces systèmes sont envoyées 24 h/24, 7 j/7 et 365 j/an aux membres de l’équipe DevOps de garde, et font l’objet d’une remontée adaptée au service de gestion des opérations.

Niveaux de service et sauvegardes

Niveaux de service et sauvegardes

L’infrastructure de PandaDoc utilise de nombreuses techniques par couches pour une disponibilité de plus en plus fiable, y compris l’utilisation de la mise à l’échelle automatique, de l’équilibrage des charges, de files d’attente de tâches et de déploiements glissants. Nous effectuons une sauvegarde quotidienne de toutes nos bases de données. Toutes les sauvegardes sont chiffrées.

Test des vulnérabilités

Test des vulnérabilités

La sécurité de l’application Web est évaluée par l’équipe de développement en synchronisation avec le cycle de publication de l’application. Ce test des vulnérabilités inclut l’utilisation de kits d’outils de sécurité d’application Web répandus, ainsi que d’outils d’analyse permettant d’identifier les vulnérabilités des applications avant leur lancement en production.

Architecture d'application

Architecture d’application

L’application Web PandaDoc est séparée en plusieurs couches représentant des segments logiques (frontal, moyen et base de données). Chaque couche est isolée des autres à l’aide d’une configuration de type DMZ. Cela garantit une protection maximale et une indépendance entre les couches.