Trust Hub
Notre mission est de protéger les personnes et les lieux dans le respect de la vie privée. Pour ce faire, nous aidons nos clients à exploiter des bâtiments plus intelligents et plus sûrs. Avec une mission aussi audacieuse, nous savons qu’avant tout, nous devons gagner la confiance de nos clients, en nos produits et en nous en tant qu’entreprise. Pour gagner cette confiance, nous centrons nos activités autour de cinq piliers :
Sécurité
Comment nous sécurisons nos produits et les données qu’ils collectentNotre engagement envers la sécurité commence par ces principes :
- L’approche « Zero Trust » de Verkada pour les appareils IoT (Internet des objets) gérés dans le cloud part fondamentalement du principe que nos systèmes ne doivent faire confiance à aucun utilisateur, réseau ou appareil sans authentification ni autorisation. Cette approche atténue les risques inhérents à la nature étendue et interconnectée des appareils IoT, qui pourraient autrement créer des points d’entrée pour d’éventuelles cyberattaques.
- Le personnel de Verkada ne peut accéder à l’infrastructure ou au code des produits Verkada qu’en s’authentifiant via l’authentification unique SAML du fournisseur d’identité de Verkada.
- Le fournisseur d’identité de Verkada pour l’infrastructure des produits est distinct du fournisseur d’identités d’entreprise de Verkada et nécessite une authentification multifacteur, y compris des clés physiques.
- Le personnel du service d’assistance Verkada qui accède aux données des clients via les outils d’assistance de Verkada doit d’abord obtenir le consentement temporel du client concerné via le système d’autorisation d’assistance.
- Verkada applique un contrôle d’accès en fonction des rôles de moindre privilège pour l’accès à l’infrastructure des produits, aux données client et aux appareils Verkada. Cela signifie que nous basons le niveau d’accès nécessaire sur le rôle d’un utilisateur et fournissons le niveau d’accès le plus bas possible. Les rôles qui nécessitent un accès à haut privilège sont accordés sur demande selon les besoins, et uniquement pendant une période limitée, sous un haut niveau de supervision.
- Toutes les communications avec les produits et systèmes de Verkada sur les réseaux publics utilisent TLS 1.2 ou une version supérieure avec des configurations de méthodes de chiffrement modernes.
- Nous concevons les produits et les interfaces de Verkada de sorte que tout nouveau type de données passe par un ensemble limité d’interfaces dotées d’une sécurité renforcée. Cette approche réduit le nombre de points d’entrée à sécuriser contre les attaques potentielles et nous permet de concentrer nos ressources de sécurité sur chaque point d’entrée.
- Nous isolons les infrastructures de nos produits du reste de l’entreprise, et jusqu’à un fournisseur d’identité distinct pour l’authentification unique.
- Nous développons les firmwares de nos appareils avec des systèmes d’exploitation minimisés et le moins de composants possible, afin de limiter les points d’attaque potentiels.
- Nous utilisons uniquement des canaux sécurisés sur nos appareils, établis par des appels réseau sortants vers une passerelle API sécurisée dans la plateforme Command de Verkada, pour toutes les commandes d’administration.
- Nous développons tous les aspects du programme de sécurité de Verkada avec une approche axée sur l’automatisation. Cela nous aide à maintenir l’efficacité du programme de sécurité de Verkada à mesure que nous évoluons, ainsi qu’à minimiser les lacunes dans la mise en œuvre de nos politiques.
- Notre approche « configuration en tant que code » nous permet d’appliquer systématiquement des modèles de configuration sécurisés alignés sur les critères de référence du secteur en matière de renforcement.
- Notre approche « politique en tant que code » définit les politiques de Verkada comme des règles à suivre par les logiciels, ce qui renforce le respect de ces règles par Verkada.
- Les correctifs pour les vulnérabilités connues sont automatiquement appliqués aux services d’infrastructure au moins toutes les deux semaines.
- Notre plateforme d’automatisation de la conformité surveille en permanence la conformité aux normes de sécurité et de confidentialité.
- Nous effectuons une surveillance continue des journaux de sécurité et une détection automatisée des incidents de sécurité potentiels.
- Verkada intègre la sécurité tout au long du cycle de développement logiciel à l’aide d’une approche multicouche et approfondie visant à prévenir les vulnérabilités et à atténuer les effets de l’exploitation.
- Nos équipes d’ingénierie logicielle collaborent avec un membre de l’équipe de sécurité de Verkada pour s’assurer que les bonnes pratiques en matière de sécurité sont suivies, de la conception des produits et des fonctionnalités jusqu’à leur achèvement.
- Nous mettons en œuvre les logiciels de Verkada avec des configurations et des valeurs par défaut sécurisées pour prendre les bonnes décisions dès le départ.
- Nous mettons en place des barrières afin de préserver les invariants de sécurité pour éviter que des choix non sécurisés ne soient effectués aux étapes de conception et de mise en œuvre.
- Nous organisons également un programme de bug bounty permanent, dans le cadre duquel nous offrons des récompenses financières aux chercheurs externes en sécurité qui détectent et signalent des problèmes de sécurité potentiels.
- Nous faisons appel à des consultants en sécurité indépendants afin d’effectuer des évaluations de sécurité indépendantes au moins une fois par trimestre dans le cadre de notre gestion continue des risques et de l’assurance client.