Fox Plan : Logiciel de gestion de projet

ESSAI GRATUIT
LOGIN
ESSAI GRATUIT

Mesures de sécurité

Mesures de sécurité dans l'application FoxPlan

Note : Les mesures techniques et organisationnelles de l'application web FoxPlan sont résumées ci-dessous. La mise en œuvre dans le code et la configuration est indiquée le cas échéant ; les conditions d'hébergement, juridiques et commerciales sont couvertes dans le document FoxPlan's Politique de confidentialité, Accord sur le traitement des données, et les contrats. Les choix d'infrastructure (TLS au niveau du proxy inverse, chiffrement du volume, SOC du fournisseur de services en nuage, etc.

Pratiques de développement sécurisées et références industrielles

L'ingénierie de FoxPlan utilise des méthodes largement acceptées développement de logiciels sécurisés pratiques. En particulier, la conception du produit et les révisions de code s'appuient sur les principes suivants Top 10 de l'OWASP (le catalogue des risques les plus critiques en matière de sécurité des applications web établi par l'Open Web Application Security Project). Les mesures décrites dans les sections ci-dessous la carte de ces zones à risque-Par exemple, le contrôle d'accès et le moindre privilège, l'authentification forte, le transport et la protection des données au repos, la configuration sécurisée et la journalisation de la sécurité. Il s'agit d'un l'alignement méthodologique avec les meilleures pratiques communautaires ; il est pas une déclaration de “certification OWASP” du produit par une tierce partie. Pour les évaluations des grandes entreprises, une matrice de contrôle plus détaillée peut être discutée ; la matrice de contrôle de l'OWASP est une matrice de contrôle. OWASP ASVS (Application Security Verification Standard) est une référence commune pour de tels exercices.

  • Analyse statique : La base de code est intégrée à SonarQube (champs d'application Java et TypeScript/JavaScript tels que configurés), permettant de détecter les problèmes de maintenabilité et de nombreux modèles relatifs à la sécurité ; l'analyse peut être exécutée dans le cadre du flux de travail Maven documenté pour le projet.
  • Tests automatisés : Les régressions sont réduites grâce à des suites de tests automatisés (par exemple JUnit pour le backend, Jest pour le frontend) exécutés dans le pipeline de livraison.
  • Gestion de la dépendance : Les bibliothèques sont gérées par Maven et npm; Les mises à jour des dépendances font partie de l'hygiène des versions en cours afin de remédier aux vulnérabilités connues des composants tiers.
  • Cadres axés sur la sécurité : La pile repose sur Sécurité du printemps et des bibliothèques établies pour l'authentification et la sécurité des transports, limitant le code cryptographique et de contrôle d'accès sur mesure.

Modèle de solution et déploiement

  • FoxPlan est livré en tant que SaaS. L'intégration avec les systèmes des abonnés se fait généralement via HTTPS dans le navigateur. SSO d'entreprise (OAuth2/OIDC, SAML) lorsqu'il est configuré.
  • Options de déploiement (nuage public, nuage privé, hybride, sur site) dépendent de la portée du projet ; un déploiement SaaS en nuage public est généralement la solution par défaut.
  • Non-production et production : L'application prend en charge plusieurs Profils de printemps et des configurations isolées ; la manière dont les environnements sont strictement séparés pour un déploiement donné est définie dans l'architecture de déploiement.

Authentification et sessions

  • Stockage du mot de passe : Les mots de passe sont hachés à l'aide de BCrypt (Sécurité du printemps).
  • Authentification de l'API : Apatride JWT signés avec des HS512; les clés de signature sont fournies via la configuration (secret base64 recommandé).
  • SSO d'entreprise : OAuth2 / OpenID Connect (y compris Microsoft Entra ID-flux compatibles) et SAML 2.0, avec l'enregistrement dynamique des clients et des fournisseurs d'identité.
  • Authentification forte (MFA) : TOTP (applications d'authentification) et codes à usage unique par courriel, Les utilisateurs finaux peuvent y accéder et l'accès administratif peut être activé par la politique de l'entreprise.
  • Comptes privilégiés et administratifs : L'administration fonctionnelle et technique est pilotée par rôles à l'intérieur du locataire ; chaque organisation souscriptrice désigne les personnes qui détiennent les privilèges d'administrateur.
  • Cookie token optionnel : Attributs configurables des cookies (Sécurisé, SameSite) lorsque le mode "token-in-cookie" est activé.
  • Cookies de session HTTP : Les cookies de session des servlets utilisent la fonction HttpOnly drapeau (application.yml).

Contrôle d'accès et personnes autorisées à accéder aux données

  • Routes de l'API : La plupart des /api/** nécessitent une authentification ; la connexion, l'enregistrement, les contrôles de santé, les points de terminaison publics sélectionnés et les chemins de découverte SSO sont explicitement autorisés.
  • Critères d'évaluation administratifs : Spring Boot Actuator routes sous /management/** nécessitent un rôle administratif, sauf si elles sont ouvertes individuellement (par exemple, santé / info / métriques par configuration).
  • Autorisation fine : Sécurité au niveau des méthodes (@PreAuthorize) protège les ressources REST sensibles tout en assurant une administration de l'espace de travail basée sur les rôles.
  • Données sur les locataires : L'accès quotidien se fait par utilisateurs finaux en fonction des profils et des autorisations définis par les administrateurs de cette organisation.
  • Accès opérationnel à FoxPlan : L'accès du personnel de FoxPlan à des fins d'assistance ou de maintenance est régi par les dispositions suivantes contractuel et les contrôles de procédure décrits dans la documentation officielle.
  • Localisation du personnel de FoxPlan avec un tel accès est principalement France, sauf accord contraire pour une mission spécifique.

Protection des navigateurs et des applications web

  • CSRF : Jetons CSRF soutenus par des cookies avec des noms d'en-tête/cookie standard ; des exclusions s'appliquent le cas échéant pour les flux SPA + JWT.
  • En-têtes de sécurité : Politique de sécurité du contenu (CSP), politique de référence (Referrer-Policy), politique de permissions (Permissions-Policy) et contrôles de cadrage de même origine.
  • CORS : Traitement inter-origines via un filtre dédié dans la chaîne de sécurité.

Protection des données (en transit et au repos)

  • Cryptage en transit : Le trafic doit utiliser HTTPS (TLS) de bout en bout. L'application inclut un profil TLS pour le serveur intégré (suites de chiffrement, TLS 1.2). équilibreur de charge ou proxy inverse.
  • Chiffrement au repos - couche application : Les valeurs sensibles de la configuration SSO (secrets du client, certificat/matériel SAML) peuvent être stockées à l'aide de la fonction AES-GCM avec un texte chiffré versionné.
  • Chiffrement au repos - infrastructure : Le chiffrement des volumes ou des disques (par exemple, le chiffrement géré par le fournisseur ou LUKS sur des hôtes dédiés) fait partie de la solution de chiffrement des volumes et des disques. pile d'hébergement. Le SaaS public de FoxPlan s'appuie généralement sur Scaleway l'infrastructure en France; Les détails figurent dans la politique de confidentialité de FoxPlan et dans la documentation du fournisseur.
  • Clés fournies par l'abonné : L'utilisation de clés ou de certificats fournis par l'organisation souscriptrice pour le chiffrement des volumes est généralement liée aux éléments suivants Cloud dédié ou non public et doivent être convenues dans le contrat du projet - et non dans le modèle standard de SaaS public partagé.
  • Limitation de l'accès et cycle de vie : Le produit permet un accès basé sur les rôles, des audit et la conservation des journaux API, ainsi que les opérations liées au cycle de vie des utilisateurs et des comptes ; les règles légales de conservation et de protection de la vie privée sont énoncées dans la politique de confidentialité.

Limitation du taux

  • Limitation du débit par fenêtre coulissante configurable sur des découverte du SSO public réduit les abus automatisés.

Journalisation, audit, supervision et incidents

  • Événements d'audit : La conservation est configurable (exemple par défaut dans la configuration : 30 jours) avec suppression programmée des enregistrements les plus anciens.
  • Enregistrement des demandes d'API : Enregistrements facultatifs de demandes d'API par organisation dans la base de données avec une durée de conservation limitée.
  • Opérations : Spring Boot Actuator et métriques compatibles avec Prometheus dans le cadre d'une exposition contrôlée par la configuration.
  • Supervision des infrastructures : L'hébergeur assure sa propre surveillance de la sécurité (par exemple, processus de classe SOC) ; FoxPlan la complète par son traitement des incidents - les détails sont contractuels.
  • Coopération en matière d'audit et fourniture de journaux : La coopération en matière d'audits et la fourniture de journaux opérationnels étendus peuvent dépendre des éléments suivants étendue du service, Le modèle d'isolation du locataire et l'accord discutent des exigences avec FoxPlan.

Portabilité et réversibilité des données

  • Exportation en vrac : Les administrateurs autorisés peuvent exporter des données d'environnement pour utilisateurs, projets, et tâches en CSV, XLSX, XML ou JSON, les scénarios de migration et de sortie (le champ d'application exact dépend des règles d'accès aux produits).

Sous-traitants, conformité et certifications

  • Sous-processeurs : Les infrastructures critiques, et en particulier l'hébergement, sont décrites dans le document FoxPlan. Politique de confidentialité et les déclarations contractuelles des sous-traitants. Le principal partenaire d'hébergement de l'UE est généralement Scaleway (France) ; les instruments juridiques (DPA, SCC le cas échéant) suivent les pratiques des fournisseurs.
  • GDPR et vie privée : Voir le site de FoxPlan Politique de confidentialité pour les principes de traitement des données, la conservation, les sous-traitants et les coordonnées du DPD.
  • RACI / responsabilité partagée : La répartition des responsabilités entre FoxPlan et les organisations souscriptrices est documentée dans les documents contractuels (y compris les annexes relatives au traitement des données et à la sécurité, le cas échéant).
  • Certifications : Les normes ISO 27001, SOC 2 ou des normes similaires peuvent s'appliquer à L'organisation de FoxPlan ou au fournisseur de cloud; obtenir des certificats ou des rapports à jour auprès de FoxPlan ou du fournisseur d'hébergement - le code source seul ne prouve pas la certification.

© FoxPlan SAS - Tous droits réservés.

START-UP

Test FOXPLAN
gratuitement dans 10'



10 minutes suffisent pour accéder à FOXPLAN, c'est gratuit et vous pouvez juger des avantages de notre application pour vous et vos collaborateurs.
N'hésitez pas, cela ne vous engage à rien.

COMMENCEZ VOTRE ESSAI GRATUIT
CONTACTEZ-NOUS
PRODUIT
SOLUTIONS

PRIX
ESSAI GRATUIT
LOGIN

CONTACTEZ-NOUS
BLOG

TERMES
DOCUMENTATION
QUI NOUS SOMMES
POLITIQUE DE CONFIDENTIALITÉ
GDPR / CCPA
Linkedin

Télécharger la fiche produit


Remplissez le formulaire pour télécharger la fiche produit.