La sécurité du produit est d'une importance capitale chez Ava. Ava utilise un cycle de développement logiciel conforme aux principes généraux de l'Agile. Lorsque les efforts de sécurité sont appliqués tout au long du cycle de publication Agile, les défauts logiciels orientés vers la sécurité peuvent être découverts et corrigés plus rapidement que dans les méthodologies de développement à cycle de publication plus long. Les correctifs logiciels sont publiés dans le cadre de notre processus d'intégration continue. Les correctifs qui peuvent avoir un impact sur les utilisateurs finaux seront appliqués dès que possible, mais peuvent nécessiter une notification des utilisateurs finaux et la planification d'une fenêtre de maintenance.
Ava effectue une intégration continue. De cette manière, nous sommes en mesure de réagir rapidement aux problèmes fonctionnels et de sécurité. Des politiques et des procédures de gestion des changements bien définies déterminent quand et comment les changements sont effectués. Cette philosophie est au cœur de notre méthodologie de développement. Ainsi, Ava assure la résolution des vulnérabilités de sécurité et des problèmes fonctionnels dans un délai moyen extrêmement court.
L'infrastructure de production d'Ava est hébergée dans des environnements de fournisseurs de services cloud (CSP). Les contrôles de sécurité physique et environnementale des serveurs de production d'Ava, qui incluent les bâtiments, les serrures ou les clés utilisées sur les portes, sont gérés par ces CSP. « L'accès physique est strictement contrôlé à la fois au niveau du périmètre et aux points d'entrée des bâtiments par un personnel de sécurité professionnel. Le personnel autorisé doit passer par une authentification à deux facteurs au moins deux fois pour accéder aux étages des centres de données. »1
Ava s'appuie sur des services internes qui nécessitent une sécurité au niveau du transport pour l'accès réseau et authentifient individuellement les utilisateurs via un fournisseur d'identité central tout en utilisant l'authentification à deux facteurs autant que possible.
Tout le personnel d'Ava suit régulièrement des formations sur la sécurité et la sensibilisation à la confidentialité, intégrant la sécurité dans les rôles techniques et non techniques ; tous les employés sont encouragés à participer à la sécurisation des données de nos clients et des actifs de l'entreprise. Les supports de formation à la sécurité sont développés pour les rôles individuels afin de s'assurer que les employés sont équipés pour faire face aux défis spécifiques en matière de sécurité liés à leurs fonctions.
Les utilisateurs finaux peuvent se connecter à Ava en utilisant un fournisseur d'identité, grâce à la prise en charge d'Ava pour le Security Assertion Markup Language (SAML), ou via les services OpenID « Connexion avec Google », « Connexion avec Facebook » ou « Connexion avec Apple ». Ces services authentifient l'identité d'un individu et peuvent offrir la possibilité de partager certaines informations personnelles avec Ava, telles que votre nom et votre adresse e-mail, afin de préremplir notre formulaire d'inscription. La prise en charge de SAML par Ava permet aux organisations de contrôler l'authentification à Ava et d'appliquer des politiques spécifiques de mot de passe, des stratégies de récupération de compte et des technologies d'authentification multi-facteurs.
Toutes les requêtes à l'API d'Ava doivent être authentifiées. Les requêtes qui écrivent des données nécessitent au minimum un accès de rapport ainsi qu'une clé API. Les requêtes qui lisent des données nécessitent un accès utilisateur complet ainsi qu'une clé d'application. Ces clés agissent comme des jetons d'accès permettant d'accéder aux fonctionnalités du service Ava.