Sécurité et conformité
VaultPAM est conçu pour les environnements réglementés. Utilisez cette section lorsque vous devez comprendre comment le produit prend en charge les contrôles de sécurité, où résident les données et comment répondre à un questionnaire de conformité.
Posture SOC 2
VaultPAM prend en charge les familles de contrôles courantes grâce à :
- la MFA et la MFA renforcée pour les actions sensibles
- l'enregistrement de sessions pour la responsabilisation des utilisateurs
- la journalisation d'audit pour les événements d'administration et d'accès
- les portes d'approbation sur les coffres-forts à haut risque
- l'isolation réseau via le modèle de connecteur
Résidence des données
- L'architecture de référence actuelle utilise la région GCP
eu-west1. - Les données des tenants sont réparties entre une base PostgreSQL propre au tenant et le stockage d'objets MinIO.
- Les métadonnées de session, les enregistrements et les journaux d'audit restent associés au tenant et sont conservés conformément à la politique configurée.
Accès d'audit
- Les enregistrements d'audit peuvent être consultés dans la console.
- L'export CSV est disponible pour une revue en aval.
- La rétention est pilotée par la politique et doit correspondre à vos contrôles internes.
Chiffrement et gestion des identifiants
- Le trafic est chiffré en transit avec TLS 1.3 ou une version ultérieure.
- Les données au repos sont protégées par AES-256 via la couche de stockage et les clés gérées par GCP.
- Les identifiants sont injectés au moment de la session via OpenBao et ne sont pas exposés en clair aux utilisateurs finaux.
Périmètre de conformité
VaultPAM vise à prendre en charge l'alignement avec SOC 2 et ISO 27001. Les responsabilités du sous-traitant au titre du GDPR, ainsi que les considérations relatives à eIDAS et à NIS2, doivent être validées au regard des paramètres de votre déploiement et de vos obligations contractuelles.
Signaler une vulnérabilité
Si vous avez découvert un problème de sécurité dans VaultPAM, consultez notre Politique de divulgation des vulnérabilités.
Besoin de preuves ?
Contactez votre canal de support ou de customer success pour obtenir les questionnaires de conformité, les notes d'architecture et les dossiers de preuves.