Engagement à la sécurité

Devolutions Inc. s'engage à être un chef de file dans le développement sécuritaire de logiciels et de services de gestion de connexions à distance et de mots de passe. Les valeurs fondamentales de notre entreprise sont au cœur même de nos engagements en matière de hauts standards de sécurité. La transparence des pratiques, le partage de l’expérience et le dépassement des attentes sont mis de l’avant afin de motiver nos pratiques.

Notre programme de sécurité, dirigé par le Directeur de la sécurité (CSO) et gouverné par le Comité exécutif et le Conseil d’administration, couvre les trois pratiques suivantes :

  • La gouvernance et la transparence (GovSec)
  • La gestion des risques et des incidents de cybersécurité (OpSec)
  • La gestion du développement sécuritaire (DevSec)

Ce programme est géré et opéré à l’interne par une équipe de professionnels hautement qualifiés qui s’investit tous les jours, à tous les niveaux de l’organisation, afin de répondre et même de dépasser les attentes de l’industrie en matière de sécurité de l’information.

Les informations disponibles ci-dessous sont la pointe visible de l’iceberg des efforts importants et constants dans la réalisation de notre engagement. Plus d’informations seront disponibles au cours de l’année. Pour toute demande d’information concernant notre engagement ou nos pratiques, notre équipe de sécurité est toujours disponible via security@devolutions.net.

Signaler un problème de sécurité

Bien que nous nous soucions de la sécurité dans nos produits, l’évolution rapide et la complexité de la sécurité peuvent involontairement exposer notre logiciel ou infrastructure à des vulnérabilités. Si vous décelez une vulnérabilité, veuillez nous envoyer un rapport le plus tôt possible à security@devolutions.net. Le rapport doit inclure les éléments suivants :

  • Du code prouvant la faisabilité et des captures d’écran pertinentes pour nous aider à confirmer et à reproduire la vulnérabilité.
  • Une justification sur les impacts possibles d’une éventuelle exploitation de la faille et l’incidence sur notre organisation et/ou sur les clients.
  • Une suggestion de correctif, si possible et applicable.

Une fois le problème signalé, laissez-nous suffisamment de temps pour y donner suite. Notre équipe de sécurité doit :

  • Reproduire et confirmer la vulnérabilité telle que décrite dans votre rapport.
  • Déterminer une cote de sévérité selon le standard CVSS 3.1.
  • Considérer les recommandations énumérées dans le rapport et établir un plan d’action avec les équipes concernées.
  • Communiquer avec la personne à l’origine du signalement jusqu’à ce que le problème soit réglé.

Nous vous prions de garder le rapport et son contenu confidentiels jusqu’à ce que les correctifs soient publiés en production. Veuillez également noter que l’exploitation abusive, illégale, malicieuse ou inappropriée d’une vulnérabilité signalée peut vous exposer à des procédures juridiques en responsabilité civile ou criminelle. Une action est considérée abusive ou inappropriée lorsqu’elle compromet des informations confidentielles internes ou relatives à des clients de façon excessive ou disproportionnée, ou lorsque celle-ci est effectuée dans un but autre que la démonstration d’une vulnérabilité.

Conformité/Autres ressources

PCI DSS

Dernière mise à jour : 1 septembre 2020

Chiffrement

Dernière mise à jour : 28 mai 2021

Développement sécuritaire de logiciels

Dernière mise à jour : 1 janvier 2021

Devolutions Password Hub SOC 3 Report

Dernière mise à jour : 6 mai 2021

Cryptographic Design for Devolutions Password Hub

Dernière mise à jour : 18 décembre 2020

ISO 27001:2013

Dernière mise à jour : 1 mars 2021