Confirm utilise Auth0 pour l'authentification. Auth0 est une plateforme de gestion de l'identité qui permet aux utilisateurs de s'authentifier rapidement à l'aide de leurs comptes Google, LinkedIn, Facebook ou autres. Auth0 est certifié ISO27001, ISO27018, SOC 2 Type II, HIPAA BAA, EU-US Privacy Shield Framework, Gold CSA STAR et PCI DSS. Vous pouvez en savoir plus sur la sécurité d'Auth0 dans leur aperçu de la sécurité.

Étant donné que Confirm utilise Auth0 pour l'authentification, nous ne recevons ni ne stockons votre mot de passe lorsque vous créez un compte sur notre plate-forme.

Tous les employés de Confirm sont soumis à une vérification rigoureuse de leurs antécédents. Tous les comptes du personnel de Confirm sont protégés par une authentification à deux facteurs. Tous les ordinateurs du personnel sont dotés d'un cryptage intégral du disque. Tous les comptes de messagerie du personnel sont protégés par une authentification à deux facteurs.

Confirm maintient une sécurité numérique de niveau bancaire en utilisant le cryptage SSL 256 bits. Cela inclut l'agrafage OCSP et la sécurité stricte du transport HTTP.

Nous utilisons Amazon Web Services (AWS) pour héberger nos serveurs et nos données. AWS dispose d'une série de certificats de conformité pour ses centres de données, y compris la conformité complète SSAE 16 (SOC 1, SOC 2 et SOC 3). Nos instances de serveur sont hébergées dans un nuage privé virtuel, utilisant uniquement des centres de données situés aux États-Unis. Tout accès direct à nos systèmes de production est protégé par un cryptage à clé publique et une authentification à deux facteurs.

Nos fichiers, y compris ceux que vous téléchargez, sont hébergés sur le service de stockage AWS. Les fichiers sont cryptés avec AES-256 et sauvegardés aux États-Unis. Toutes les bases de données sont stockées sur des systèmes de fichiers cryptés au repos utilisant le cryptage AES-256 à l'aide de clés privées qui font l'objet d'une rotation au moins une fois par an. Toutes les requêtes de base de données et le trafic sont uniquement acheminés via des connexions sécurisées SSL.

Le site Web de Confirm n'est desservi que par SSL afin de sécuriser le trafic du site Web, et les protocoles non sécurisés tels que SSL 2 et SSL 3 ne sont pas activés. Confirm utilise CloudFlare pour se protéger contre les dénis de service et autres vecteurs d'attaque courants.

Confirm utilise Stripe pour les transactions par carte de crédit. Lorsque vous effectuez un achat sur le site Web de Confirm, Stripe détient les informations relatives à la carte de crédit ; Confirm n'a pas accès aux numéros de carte de crédit. Pour en savoir plus sur la sécurité de Stripe et la conformité PCI, consultez leur aperçu de la sécurité.

Confirm emploie des ingénieurs qui ont travaillé dans d'autres domaines critiques en matière de sécurité et de disponibilité, notamment les soins de santé et la technologie financière. Toutes les modifications techniques et logicielles sont soumises à un processus d'évaluation par les pairs et à une série de tests d'acceptation automatisés.

Confirm s'efforce d'être aussi accessible que possible en matière d'assistance à la clientèle. Vous pouvez nous contacter à tout moment à l'adresse [email protected].

Si vous pensez avoir découvert une vulnérabilité dans Confirm, ou si vous êtes un chercheur en sécurité intéressé par cet espace, contactez-nous à l'adresse [email protected]. Incluez autant de détails que possible, y compris les étapes à répéter ou à prouver.