Formation en matière de code sécurisé |
Workiva propose une formation obligatoire en matière de sécurité destinée aux personnes ayant accès aux systèmes Workiva. La formation est requise au début de l'accès et chaque année par la suite. La formation inclut les politiques, les normes, la confidentialité, la sécurité physique, la sécurité des systèmes, l'utilisation acceptable, l'ingénierie sociale et d'autres éléments. |
Quality Assurance |
Le processus détaillé de contrôle des modifications de Workiva imposé par la Politique de sécurité de l'information s'applique à toutes les modifications apportées à l'environnement, y compris les mises à jour de la configuration, du système d'exploitation et de l'application. Les nouvelles versions de Wdesk, ou les mises à jour désignées pour publication, sont déplacées de l’environnement de développement et déployées dans un environnement de production en miroir où notre équipe d’assurance qualité effectue des tests rigoureux des systèmes, d’intégration, de régression et d’acceptation. Cet environnement est également l'emplacement dans lequel des tests d’intrusion et des analyses de vulnérabilité continus sont effectués.
La sécurité fait partie de toutes les étapes du développement de produits. Le code relatif à la gestion des sessions, au contrôle des accès, aux API qui exécutent des appels inter-plateformes, à l'authentification, à la validation des saisies, à l'encodage des sorties, à la transmission sécurisée, à la journalisation des audits, aux téléchargements de fichiers, à la protection XSS/CSRF ou au chiffrement/hachage fait l'objet d'un examen de sécurité effectué par l'équipe InfoSec ou les développeurs formés et autorisés en matière d'examen de sécurité. Les modifications et ajouts de code sont suivis, examinés et approuvés par la version de production de sécurité. L'équipe de sécurité de l'information utilise l'OWASP Top 10 parmi les autres normes du secteur en matière de codage sécurisé.
Lors des étapes de conception et de prototypage de tout ensemble de fonctionnalités, un grand soin est apporté à l’identification de l’architecture et du déploiement qui peuvent nécessiter de prendre des précautions en matière de sécurité. Les nouveaux ensembles de fonctionnalités nécessitant des précautions en matière de sécurité donneront lieu à la révision et à l’approbation du code avant la publication en production.
|