La sécurité à l'état pur

Officient offre aux entreprises une solution pour centraliser les données RH, automatiser l'administration et accroître la transparence des différents processus RH.

En raison de la sensibilité des données stockées dans Officient, telles que les informations personnelles et les données salariales, la sécurité est l'une de nos plus grandes priorités.

Fiabilité

Officient gère toutes les données des utilisateurs via Amazon Web Services (AWS). Toutes les données sont automatiquement sauvegardées et stockées de manière redondante. Grâce à notre infrastructure de serveurs et de réseaux, Officient reste accessible même en cas de problème matériel (hardware). Nous garantissons un temps de disponibilité de 99,9 % pour offrir nos services en continu. Toutes les informations sur les mesures de sécurité prises par l'AWS se trouvent ici.

Cryptage

Le cryptage est principalement utilisé dans le secteur financier, mais il est également configuré pour tous les comptes Officient. Cette sécurité est utilisée pour toutes les connexions externes et internes, et garantit que les informations sensibles ne peuvent jamais être envoyées ou reçues sous forme de texte lisible. Grâce à cette sécurité avancée, les données des clients d'Officient restent protégées à tout moment.

Sécurité et confidentialité des données

La confidentialité des données est essentielle pour Officient. C'est pourquoi toutes les données sont stockées à l'intérieur des frontières de l'Union européenne. Les centres de données de l'AWS sont répartis dans le monde entier, mais en ce qui concerne les données d'Officient (y compris les sauvegardes), cela ne concerne que l'Irlande et l'Allemagne. L'AWS est entièrement conforme à la réglementation européenne sur la sécurité des données (GDPR). Pour en savoir plus sur les données stockées par Officient, cliquez ici.

Disponibilité

Officient est disponible sur tout appareil dans le monde entier, à l'exception d'Internet Explorer 11 et des versions antérieures pour des raisons de sécurité. Le navigateur IE edge est cependant supporté. Des contrôles de santé et de simples pings des composants sont utilisés pour vérifier si les fonctions sont opérationnelles. Officient dispose une page où l’état du système peut être vérifié.

Processus de versions

L'équipe de développement d'Officient a mis en place un processus de mise en production structuré :

  • L'intégration et les tests automatiques end2end avec un serveur d'intégration continue garantissent que les mises à jour ne rompent aucun cas d'utilisation nécessaire aux utilisateurs.
  • Les changements sont communiqués en temps utile à l'équipe chargée du support clients.
  • Les environnements de test peuvent être créés librement sur demande.
  • Les changements sont communiqués aux utilisateurs finaux dans l'application.
  • Il n'y a pas d'environnement bêta qui contienne des fonctionnalités plus récentes. Les caractéristiques expérimentales sont publiées par le biais de la signalisation des caractéristiques.

Gestion des données

  • Des fonctionnalités spécifiques telles que le calendrier ont leur propre historique de version par défaut.
  • Il existe des journaux d'audit interne pour chaque caractéristique.

La sécurité par la conception

  • L'équipe de développement d'Officient vérifie par défaut les 10 principaux risques de sécurité d'Owasp (Open Web Application Security Project).
  • Un programme de primes aux bugs est activement utilisé sur la plateforme Officient, en collaboration avec le fournisseur de piratage éthique Intigriti. Cette méthode a déjà permis de détecter (et de corriger) certains risques mineurs pour la sécurité. Les primes les plus élevées sont accordées lors de l'accès aux données d'un autre compte, mais ce type de bug n'a jamais été détecté.
  • La détection avancée des intrusions Sqreen et RASP sont actives sur la plateforme.
  • Tout accès est basé sur des rôles par défaut.
  • L'authentification avec 2FA est prise en charge par défaut. 
  • Une forte protection contre la force brute sur tous les terminaux d'authentification est assurée par auth0.
  • Conformité au GDPR: les employés peuvent consulter et modifier leurs données. Les données relatives aux employés sont également automatiquement supprimées conformément aux directives déterminées par la loi du pays concerné.

Politique de divulgation responsable

Chez Officient, nous considérons que la sécurité de nos systèmes est une priorité absolue. Malheureusement, quel que soit l'effort que nous déployons en matière de sécurité, il y a toujours un risque que des failles dans la sécurité soient présentes.

Si vous découvrez une faille de sécurité, nous aimerions en être informés afin de pouvoir travailler avec vous pour la corriger. Cette politique de divulgation responsable vous indique les mesures à prendre et comment nous contacter.

Gestion des identités et des accès (IAM)

Officient utilise Auth0 comme fournisseur de services d'authentification et propose les fonctionnalités SingleSign-on (SSO) suivantes :

Pour les salariés

  • L'authentification est possible via Office365, azure ad, gmail et d'autres fournisseurs de courrier électronique.
  • Des mesures de sécurité supplémentaires, telles que les codes PIN et l'authentification des empreintes digitales, sont mises en place après l'activation du self service.

Pour le personnel des RH

  • L'authentification est possible via Office365, azure ad et gmail.
  • L'authentification multi-facteurs peut être activée.
  • L'authentification par Okta peut être fournie sur demande. 

Possibilités d'intégration

Officient dispose d'une api REST/json simple, ouverte et documentée. Toutes les informations permettant d'accéder à l'API se trouvent ici.
Il est possible d'utiliser les Webhooks avec Officient.
Les intégrations avec Zapier sont également possibles pour échanger facilement et rapidement des données avec d'autres outils.

Officient répond aux exigences d'intégration suivantes.

  • La plateforme dispose d'une API bien documentée, avec un modèle de données simple et clair.
  • La plateforme dispose d'une API qui permet des opérations CRUD sur presque toutes les entités de données.
  • La plateforme dispose d'une API qui ne permet que la communication via des canaux de communication cryptés (SSL/TLS).
  • La plateforme dispose d'une API protégée par des mesures de sécurité optimisées pour la communication de machine à machine (par exemple, clé api, authentification de base, flux de données client OAuth...).
  • La plateforme a les moyens de notifier aux systèmes externes les changements qui surviennent sur les entités de données internes (par exemple, ajout de formation) via des protocoles standard.
  • La plateforme a la possibilité de renvoyer la communication au cas où elle ne pourrait pas atteindre le système externe.