27 Janvier 2014
English version on our new en's blog here
Depuis le lancement de Card.biz nous sommes souvent questionnés sur la sécurité.
Souvent, il s'agit d'une question plutôt générale qui ne demande pas vraiment une réponse technique, mais plutôt de simplement de rassurer.
Parfois, il s'agit simplement de rassurer sur le fait qu'un annuaire Card.biz est privé par défaut (donc protégé par identifiant/mot de passe). Il est possible de le rendre 100% public comme nous l'avons fait pour notre Démo.
Si on creuse un peu plus la question de la sécurité, il faut rapidement en venir à crypter les données entre le client et le serveur, comme vous pouvez le voir en vous connectant sur le site, la connection est automatiquement "forcée" en HTTPS.
L'étape d'après consiste pour garder un regard très global à analyser le code et s'assurer qu'il ne comporte par de brèches. Il est indispensable pour Card.biz de s'assurer qu'il n'est pas possible de voler les données de nos clients. Notre première arme est l'utilisation du Ruby mais à la demande d'un client, nous avons dû passer une nouvelle étape : le test d'intrusion.
Nous avons donc listé les pour et les contre :
Contre :
- c'est cher
- c'est du temps
- Cela ne donne pas droit à un label/mention/logo...
Pour :
- Tester nos compétences
- Nous permettre de nous améliorer
- Régler des problèmes que nous n'aurions pas détecté
- Commencer à vraiment intégrer Card.biz avec un groupe international
- Donner une raison de plus de nous faire confiance sur le sujet de la sécurité
- Ecrire cet article :)
Malgré le prix qui était vraiment élevé nous avons décidé de le faire.
Nous avons donc mandaté un tiers de confiance, spécialisé dans ce type de mission qui pendant plusieurs jours à tester le service.
Et bonne nouvelle : aucune faille de sécurité \o/
Vos données sont en sécurité.
Bien sûr ils ont trouvé des petites choses à corriger, mais aucune d'importante et surtout les conséquences n'aurait pu nuire qu'au Card.biz et pas à ses clients.
Maintenant, seul le temps nous dira si le ROI est à la hauteur de l'investissement.
A suivre.
Richard