Quelles sont les politiques et infrastructures de Tulip en matière de cybersécurité ?

Objectif

Découvrez les politiques générales de sécurité de Tulip.

La sécurité est au cœur des logiciels, des opérations, de l'infrastructure et des processus de Tulip. Nous utilisons les meilleures pratiques industrielles en matière de sécurité, de cryptage et de gestion des menaces.

Infrastructure

Le cloud de Tulip fonctionne sur Amazon Web Services, qui fournit le meilleur centre de données et la meilleure sécurité d'infrastructure de sa catégorie. Les serveurs de Tulip se trouvent dans un nuage privé virtuel AWS, protégé par des pare-feu Security Group. L'accès administratif est protégé par une connexion par clé SSH et une liste blanche d'adresses IP. Tous les comptes Tulip AWS et autres comptes cloud sont protégés par un mot de passe fort et une authentification multifactorielle. Les centres de données d'Amazon répondent à de nombreuses exigences de conformité, notamment ISO 27001, SOC, PCI et FedRAMP.

Cryptage

Toutes les données envoyées vers et depuis Tulip sur l'internet public sont cryptées en transit via TLS en utilisant les suites de chiffrement recommandées les plus puissantes. La configuration TLS de Tulip a reçu la note A+ du SSLLabs de Qualsys. Toutes les données stockées par Tulip, y compris les applications, les données analytiques et les ressources téléchargées, sont cryptées au repos à l'aide d'un algorithme AES 256 bits.

Stockage des données

Les données sont stockées par Tulip dans les services S3 et RDS d'AWS, ainsi que dans le service MongoDB Atlas de MongoDB Inc. Tulip utilise un processus formel d'examen des fournisseurs tiers qui traitent les données des clients, afin de s'assurer qu'ils respectent ou dépassent les normes de sécurité des données de Tulip.

Application

Tulip suit toutes les meilleures pratiques en matière d'applications web, y compris celles recommandées par l'OWASP. Tulip utilise HSTS pour assurer le cryptage en transit, DOM templating et CSP pour éviter XSS, X-Frame-Options pour empêcher le clickjacking, et localStorage au lieu de cookies pour éviter les attaques CSRF. L'application des ACL côté serveur est assurée par la révision du code, ainsi que par des outils d'analyse statique standard et personnalisés. Les mots de passe sont hachés à l'aide de SHA-256 côté client, puis rehaussés à l'aide de bcrypt côté serveur.

Processus

Tout le code de production est révisé par plusieurs ingénieurs. Tulip subit régulièrement des tests de pénétration réalisés par des sociétés de sécurité tierces. Tulip effectue régulièrement des revues de sécurité internes et utilise un processus de développement logiciel documenté.

Modèle de sécurité partagé

Tulip utilise un modèle de sécurité partagé pour établir la responsabilité entre Tulip, nos clients et nos fournisseurs tiers.

Autres lectures

Voir notre politique de sécurité informatique