Hébergement et sécurité

Fiabilité et disponibilité

Sprout Social s'efforce de minimiser les temps d'arrêt des services et les répercussions négatives que cela peut engendrer. Nos systèmes sont conçus pour être opérationnels malgré les failles, et nos équipes sont formées à la résolution rapide des incidents. Nous mettons un point d'honneur à éviter à tout prix les temps d'arrêt, que ces derniers soient ou non planifiés. Nous n'imposons jamais d'arrêt de maintenance s'il est évitable, et c'est généralement le cas. Les concepts de continuité des activités et de reprise après incident sont intégrés dans nos pratiques et dans nos systèmes. Nous y avons pensé en amont, et ils ne sont pas l'apanage d'une seule équipe.

Une expérience qui a fait ses preuves

Le temps de disponibilité de 99,99 % est un indicateur clé de performance pour notre groupe d'ingénierie. Au moment où nous écrivons ces lignes, nous avons un temps de disponibilité supérieur à 99,99 % par rapport aux 6 et aux 12 derniers mois.

Une transparence totale envers nos clients

La confiance commence par une communication ouverte. Nous partageons publiquement les mesures et l'état du système en temps réel sur https://status.sproutsocial.com pour Sprout Social et sur https://status.getbambu.com pour Bambu. Nous vous tenons au courant des incidents et des périodes de maintenance planifiées, et notamment de l'impact que cela peut avoir sur les clients. De même, nous partageons les données concernant la santé des systèmes provenant de fournisseurs tiers indépendants. Les clients peuvent également s'inscrire pour recevoir des notifications immédiates par SMS ou par e-mail en cas d'incident.

Flux des médias sociaux

Notre couche d'ingestion de données combine plusieurs connexions aux API des réseaux sociaux. En tant que partenaires certifiés, les réseaux sociaux tels que Facebook, Twitter, Instagram et Linkedin nous offrent un niveau de redondance plus élevé et un accès à leurs équipes d'assistance.

Sauvegardes

Des sauvegardes sont effectuées fréquemment, chiffrées en transit et au repos et testées régulièrement. Les sauvegardes sont stockées « hors site » sur Amazon S3, qui stocke les fichiers sur de nombreux appareils physiques au sein de nombreuses installations, ce qui assure leur longévité dans 99,999999999 % des cas et leur disponibilité dans 99,99 % des cas.

Transparence totale envers nos équipes

En cas d'échec, nous réalisons en interne des analyses multidisciplinaires rétrospectives (qui ne visent aucunement à trouver des coupables) afin de faire progresser nos employés, nos procédures et nos systèmes. La peur est l'ennemie du progrès.

Isolation

Notre plateforme back-end hautement distribuée se base sur des modèles de conception d'isolation pour atténuer les risques entre les composants. Les défaillances d'un composant affectent rarement d'autres composants.

Perte de données maximale admissible (PDMA)

Les stratégies de récupération sont conçues pour fournir des PDMA à jour avec de faibles durées maximales d'interruption admissible (DMIA), les données plus anciennes étant récupérées avec des DMIA plus longues. Cela répond aux attentes des clients sur les médias sociaux, car ils sont en mesure de satisfaire les besoins immédiats de leurs clients.

DevOps : les bonnes pratiques

Notre équipe d'ingénieurs a recours à l'Infrastructure as Code pour offrir exactitude, cohérence, testabilité et vitesse de récupération. Tous les membres de l'équipe sont habilités à reconstruire les systèmes et les topologies avec une cohérence totale, et ce 24 h sur 24, 7 j sur 7 et 365 jours par an. En cas de perte de système, notre équipe d'ingénierie est en mesure de recréer rapidement les systèmes en exécutant le code d'infrastructure.

Surveillance et assistance d'astreinte

Nous effectuons une surveillance continue dans le monde entier pour afficher et envoyer des alertes et créer des rapports en temps réel dans l'ensemble de nos environnements techniques. Pour être aux côtés de nos clients, nous comptons sur la collaboration entre notre équipe d'assistance client et nos ingénieurs. Notre équipe d'ingénieurs spécialisés travaille en continu, 24 h sur 24, 7 j sur 7 et 365 jours par an.

Lorsque des problèmes surviennent, une notification est rapidement envoyée à nos équipes. En outre, elles reçoivent automatiquement des informations contextuelles, et des outils sont mis à leur disposition afin de collaborer efficacement avec leurs collègues. Nous utilisons un système de triage par pager pour nous assurer que les ingénieurs reçoivent les alertes rapidement et de manière fiable.

Centres de données

Les produits Sprout Social sont hébergés par Amazon Web Services (AWS). AWS fournit des installations d'hébergement haut de gamme. Ces dernières sont sécurisées, hautement disponibles et redondantes, et sont également conformes aux normes Cloud Security Alliance Star Level 2, ISO 9001, 27001, 27017, 27018, PCI DSS Level 1 et SOC 1, 2 et 3. Pour plus d'informations sur les certifications et les programmes de conformité d'AWS, rendez-vous sur https://aws.amazon.com/compliance/programs.

Localisation des données

Les données de nos clients sont stockées aux États-Unis, dans les régions us-east-1 et us-west-2 d'AWS. Sprout Social est conforme aux principes du Bouclier de protection des données ainsi qu'au RGPD et est autorisé à transférer des données personnelles à partir de l'Union européenne et de la Suisse.

Installations

Les centres de données d'AWS sont équipés de capacités d'hébergement physique haut de gamme. Les bâtiments disposent de fonctions de surveillance et de gestion de la température et de l'humidité, de détection et d'évacuation automatiques de l'eau, ainsi que de détection et d'extinction automatiques des incendies. La combinaison de plusieurs alimentations électriques, de systèmes d'alimentation sans coupure (UPS) et de générateurs électriques sur site fournit des couches d'alimentation de secours. Les télécommunications et les connexions internet sont redondantes. Les produits de Sprout Social sont indépendants de nos bureaux et des installations que nous gérons.

Sécurité informatique

Des éléments de sécurité supplémentaires sont mis en place dans les salles et au niveau des systèmes dédiés aux technologies de l'information (alarmes de détection de forçage de porte, systèmes de détection d'intrusion électronique et filaire, authentification à plusieurs facteurs et destruction des contenus multimédias avec
NIST 800-88).

Sécurité physique

L'accès physique aux installations abritant les centres de données font l'objet d'un contrôle et d'un examen rigoureux. Tous les accès physiques sont surveillés 24 h sur 24 et 7 j sur 7 par le personnel. L'authentification à plusieurs facteurs est obligatoire pour tous les visiteurs. Pour éviter tout accès non autorisé, une surveillance continue est assurée grâce à des systèmes de vidéosurveillance, de détection des intrusions et de contrôle des journaux d'accès.

Sécurité des infrastructures et du réseau

Sprout Social emploie une équipe de sécurité dédiée. Tous les systèmes sont surveillés et alertés pour les événements liés à la sécurité et aux opérations, et ce 24 h sur 24, 7 j sur 7 et 365 jours par an. La détection d'intrusion basée sur l'hôte est déployée sur tous les systèmes de production.

Contrôles du réseau

Notre réseau privé est segmenté en de nombreuses zones de sécurité, qui garantissent des niveaux de contrôle croissants au contact des données de nos clients.

Gestion et réponse aux incidents

Le plan et les procédures de Sprout Social en matière de réponse aux incidents sont basés sur les normes NIST. Tous les rapports d'incident sont rapidement examinés, signalés et corrigés si nécessaire. Le plan et les procédures de réponse définissent toutes les étapes pour garantir un processus cohérent.

Scan

Les systèmes et les applications sont régulièrement scannés afin d'identifier les vulnérabilités communes.

Chiffrement au repos et en transit

Toutes les communications sur les réseaux publics avec les applications et les API de Sprout Social sont transmises avec les protocoles TLS ou HTTPS. Toutes les données sont stockées chiffrées au repos, y compris pour les sauvegardes.

Administration système

Nous suivons les meilleures pratiques, telles que le principe du moindre privilège, la gestion centralisée de la configuration et des politiques strictes de pare-feu hôte et réseau. Les serveurs sont patchés automatiquement selon un planning régulier, les patches de haute priorité étant appliqués manuellement hors cycle.

Sécurité de l'application

Les développeurs de Sprout Social sont formés tous les ans au codage sécurisé. L'ensemble du code de l'application est écrit par les employés de Sprout et chaque modification est évaluée par les pairs. Les vulnérabilités en matière de sécurité sont rapidement triées et corrigées.

Tests d'intrusion par des tiers

Sprout Social fait appel à de multiples fournisseurs de tests d'intrusion pour effectuer plusieurs tests par an. Les rapports sont disponibles sur demande des clients et sont soumis à notre accord de confidentialité.

Mitigation DDoS

La mitigation DDoS est fournie sur notre plateforme d'hébergement.

Politique de divulgation responsable

Les experts en sécurité peuvent signaler les vulnérabilités par l'intermédiaire de Bug Crowd. (lien : https://bugcrowd.com/sproutsocial). Pour en savoir plus sur notre politique, rendez-vous sur le site https://sproutsocial.com/responsible-disclosure-policy.

Employés et service informatique interne

En plus des développeurs formés au codage sécurisé, tous les employés participent à une formation générale annuelle sur la sécurité et la confidentialité des données. Des simulations de phishing sont mises en œuvre quotidiennement et comparées aux données de référence du secteur.

Politiques et normes de sécurité des informations

Sprout Social dispose d'un ensemble complet de politiques et de
normes couvrant tous les aspects de la sécurité et de la vie privée. Tous les employés doivent confirmer leurs responsabilités en matière de protection des données des clients dans le cadre de leur condition d'emploi.

Protocoles d'assistance sécurisés

Lorsque notre équipe d'assistance doit mener des actions sensibles sur les comptes des clients, elle suit les protocoles contre le phishing et les menaces conçus par notre équipe de sécurité.

Bureaux

Les bureaux de Sprout Social sont sécurisés grâce à un accès par carte-clé. Les réseaux de nos bureaux sont segmentés, surveillés de manière centralisée et protégés par des pare-feu et des dispositifs de prévention des intrusions. Nos produits ne dépendent pas de nos bureaux ou d'autres installations gérées par notre entreprise.

Appareils

Tous les appareils de Sprout Social sont inventoriés avec des étiquettes d'inventaire et gérés par le biais d'une solution centrale de gestion de terminaux mobiles.

Points de terminaison

Les postes de travail des employés sont protégés par le chiffrement du disque dur, un antivirus et une solution avancée de détection des logiciels malveillants.

Vérification des antécédents

Avant de les embaucher, nous vérifions tous les antécédents judiciaires des nouveaux employés ayant accès aux données des clients.

Continuité des activités

Sprout Social dispose de bureaux dans le monde entier, mais tout comme pour l'hébergement de nos produits, la continuité de nos activités ne dépend pas de ces bureaux. Nos produits, notre service client et l'ensemble de nos activités commerciales peuvent se poursuivre sans interruption, même en cas d'incidents matériels ou de problèmes dans nos bureaux. Notre équipe dispose d'outils basés sur le Cloud et de solutions d'accès à distance et de collaboration qui sont utilisés quotidiennement.

Caractéristiques de sécurité des produits

Validation en deux étapes (2FA)

Les propriétaires et les administrateurs de comptes exigent parfois que leurs utilisateurs utilisent cette couche de sécurité supplémentaire. Sprout Social prend en charge des applications (comme Google Authenticator et d'autres), qui implémentent l'algorithme de mot de passe unique basé sur le temps (Time-based One-time Password Algorithm, TOTP) ou l'algorithme de mot de passe unique basé sur un HMAC (HOTP) pour générer des mots de passe.

Stockage sécurisé des identifiants

Les mots de passe des comptes sont salés et hachés à l'aide d'un ensemble robuste d'algorithmes et d'approches de dernière génération qui font l'objet d'une vérification régulière. Aucun humain ne peut voir les mots de passe, même pas nos équipes. Si vous perdez votre mot de passe, il ne pourra pas être récupéré et devra être réinitialisé.

Protection contre les attaques par force brute

En plus du hachage, qui représente en soi un défi informatique, nos services d'authentification mettent en œuvre des protections supplémentaires de limitation de débit ainsi qu'un système de ReCAPTCHA.

Flux de travail d'approbation

Les propriétaires et les administrateurs de compte peuvent restreindre certaines activités derrière les flux d'approbation. Cela permet de répartir les tâches au sein d'une équipe et de garantir que les principaux décideurs puissent examiner et contrôler les actions disponibles pour le public.

Restrictions d'adresses IP

Sprout Social peut être configuré pour restreindre l'accès à l'application et à l'API pour des plages spécifiques d'adresses IP.

Authentification unique (SSO)

Sprout Social offre une authentification unique (SSO) SAML 2.0 aux organisations qui utilisent ce service d'authentification pour donner à leurs employés un ensemble d'identifiants de connexion qui leur permet d'accéder à plusieurs applications. Notre équipe d'ingénieurs travaille avec les clients pour mettre en œuvre des intégrations SSO personnalisées sur le Web et les appareils mobiles.

Signature des e-mails

Sprout Social utilise les normes Sender Policy Framework (SPF) et
DomainKeys Identified Mail (DKIM) afin que les e-mails que nous envoyons soient authentifiés comme provenant de Sprout Social, ce qui permet d'éviter l'usurpation d'adresse e-mail et de garantir leur authenticité.

Autorisations d'accès

Les propriétaires et les administrateurs de comptes peuvent restreindre l'accès à des profils, à des fonctionnalités, à des actions (comme lire et rédiger) et à d'autres données en appliquant des contrôles précis aux comptes des utilisateurs.

Pause des publications à échelle mondiale

En temps de crise, un simple bouton permet à votre équipe de désactiver temporairement l'envoi de tous les messages automatiquement programmés et mis en file d'attente qui sont censés être envoyés par l'intermédiaire de Sprout Social. Il est accessible dans nos applications web et mobiles.

Conformité et certifications

RGPD

Sprout Social est conforme au RGPD en tant que contrôleur des données et de sous-traitant des données à caractère personnel en vertu du règlement général sur la protection des données.

Conformité PCI

Sprout Social est parfaitement conforme aux exigences du questionnaire SAQ-A défini par le Conseil des normes de sécurité PCI. Pour les paiements, les transactions sont externalisées vers des organismes de paiement tiers qui observent la norme de sécurité de l’industrie des cartes de paiement (PCI DSS)
Niveau 1.

Partenariats officiels avec les médias sociaux

Sprout Social est reconnu comme un partenaire officiel de Twitter, de Facebook, d'Instagram, de LinkedIn et de Pinterest.