Chez Onshape, nous prenons la sécurité très au sérieux afin que vous et vos équipes puissiez consacrer votre temps et vos efforts à ce que vous faites le mieux : créer des produits exceptionnels. Nous sommes fiers de pouvoir offrir à nos utilisateurs des pratiques de sécurité qui vont bien au-delà de ce que la plupart des utilisateurs d’outils de CAO classiques sont capables de faire par eux-mêmes. Nous espérons que le récapitulatif suivant de quelques-unes de nos principales pratiques de sécurité vous sera utile. Si vous avez d’autres questions ou si vous souhaitez partager votre point de vue sur nos approches de la sécurisation des informations que vous nous confiez, n’hésitez pas à participer à notre’s forum communautaire, ou contactez-nous à l’adresse security@onshape.com.
Onshape vous permet d’accorder des autorisations lorsque vous partagez vos documents privés avec d’autres utilisateurs. Grâce à ces niveaux d’autorisation, vous contrôlez avec précision les actions qu’un utilisateur particulier peut entreprendre dans le document que vous partagez avec lui :
Les communications entre les serveurs cloud d’Onshape et les clients de navigateur Web et appareils mobiles des utilisateurs sont toujours chiffrées. Toutefois, si des documents sont partagés avec des utilisateurs malveillants, ceux-ci pourraient, par des moyens manuels ou automatisés, reproduire les données des documents à leurs propres fins, indépendamment des autorisations que vous attribuez. Par exemple, Onshape ne peut pas empêcher le destinataire de faire des captures d’écran ni empêcher les tentatives de rétroingénierie des informations envoyées au navigateur ou au client mobile.
Comme pour toutes les données importantes, de l’entreprise ou personnelles, nous vous recommandons de faire preuve de prudence en toutes circonstances lors du partage et de limiter les niveaux d’autorisation au minimum nécessaire. Dans les situations très sensibles où le comportement des destinataires vous préoccupe, nous vous recommandons de copier les données dans un autre document Onshape, de les défaire, de les partager uniquement dans un format tessellé ou d’utiliser d’autres techniques pour supprimer les informations détaillées.
Pour en savoir plus sur le partage dans Onshape, cliquez ici..
Onshape a obtenu une certification SOC 2, Type 2, en utilisant les critères de services de confiance de l’AICPA (American Institute of Certified Public Accountants) pour la sécurité, la disponibilité et la confidentialité. Une copie de notre rapport SOC 2 est disponible sous accord de confidentialité.
Onshape utilise un service de traitement des paiements tiers. Les informations des cartes de crédit sont chiffrées dans votre navigateur ou votre client mobile, et envoyées directement à ce service. Elles ne sont pas transmises à nos serveurs ni stockées par Onshape. Notre service de traitement des paiements est conforme à la norme PCI et notre utilisation de ce service préserve la conformité à cette norme de sécurité.
Onshape exige le protocole HTTPS pour tous les services, y compris notre site web public et notre forum communautaire. Nous vérifions régulièrement les détails de notre mise en œuvre : les certificats et autorités de certification que nous utilisons, ainsi que les chiffrements que nous prenons en charge. Nous utilisons des outils automatisés pour tester l’exposition de nos serveurs actifs aux vulnérabilités SSL/TLS nouvelles et existantes. Nous utilisons HSTS pour garantir que les navigateurs interagissent avec Onshape uniquement via HTTPS.
Tous les documents Onshape sont enregistrés sur un stockage chiffré avec AES-256. Toutes les communications entre nos serveurs de calcul internes et les bases de données internes contenant vos documents Onshape utilisent le protocole TLS v1.2. Nous bloquons les suites de chiffrement faibles et donnons la priorité aux plus fortes pour les communications entre votre client et notre service. Nous n’utilisons que des algorithmes forts entre nos serveurs internes.
Onshape ne stocke jamais les mots de passe des clients en clair. Nous utilisons de puissantes fonctions de hachage cryptographique à sens unique, de sorte que même si notre stockage interne de mots de passe est compromis, les mots de passe originaux ne peuvent pas être récupérés.
Onshape fait appel à un service de test tiers qui dispose d’une équipe internationale de chercheurs en sécurité spécialisés. Leur mission consiste à trouver et signaler les failles de sécurité dans notre service. Ces tests de sécurité sont continus et valident en permanence le flux des mises à jour du service Onshape par rapport aux menaces existantes et nouvelles.
Nous examinons tous les problèmes de sécurité signalés dans les plus brefs délais. Si vous pensez avoir découvert un bogue dans la sécurité d’Onshape, veuillez nous contacter à l’adresse security@onshape.com (en utilisant éventuellement notre clé PGP en bas de cette page). Nous vous répondrons aussi rapidement que possible. Nous vous demandons de ne pas divulguer publiquement le problème avant que nous l’ayons résolu.
Notre clé PGP se trouve ci-dessous. Vous pouvez l’utiliser pour chiffrer vos communications avec Onshape ou vérifier les messages signés que vous recevez de notre part. (Vous ne connaissez pas bien PGP ? Consultez cette page, et commencez par importer une clé publique.)
1