Index
Sécurité du portail client
Karbon prend au sérieux sa responsabilité envers ses clients et la sécurité des données de leurs clients. Le portail client de Karbon est une fonctionnalité de la plateforme Karbon qui permet aux conseillers de confiance de s'engager avec leurs clients et de partager des informations d'une manière plus sûre que le courrier électronique.
Ce document décrit notre approche de la sécurité du portail client de Karbon, les Magic Links, et la connexion des clients.
Demandes de client
Le portail client est protégé par les mêmes mesures de sécurité que celles qui protègent l'accès à la plateforme Karbon.
Tous les messages de demande de client sont configurés avec le protocole de cryptage TLS (une forme avancée de cryptage SSL) pour crypter les messages de demande de client et la documentation ou l'artefact soumis par le client pendant les activités de transmission de données (c'est-à-dire le voyage de données) sur Internet.
Ce cryptage transfère tous les messages et artefacts du portail client sur Internet en texte chiffré, réduisant ainsi la probabilité que vos données soient compromises durant l'utilisation du portail client par votre client. Le cryptage du Portail Client avec TLS signifie que l'utilisation du Portail Client par votre client est sécurisée et que les activités et les données de notre client sont cryptées et partagées en toute sécurité.
Liens magiques
Les liens magiques constituent une méthode pratique et sécurisée permettant à une partie de vérifier son identité. Lorsqu'un client reçoit une demande de Karbon, celle-ci contient un lien magique unique permettant d'accéder à la demande à partir du corps du courriel.
Les liens magiques ne peuvent être utilisés qu'une seule fois par un seul appareil. Un lien magique ne peut être utilisé qu'une seule fois. Une fois qu'il a été utilisé, le dispositif qui l'a reçu est considéré comme un dispositif de confiance. Toute tentative de réutilisation du lien sur un autre appareil sera refusée. Si un client souhaite accéder au portail sur un deuxième appareil, il peut demander qu'un nouveau lien soit généré et lui soit envoyé.
Les liens magiques expirent après 30 jours. Qu'un lien ait été activé ou non, son accès au portail expire 30 jours après sa création. À ce moment-là, le client sera invité à générer un nouveau lien.
Les liens magiques ne sont valables que pendant la durée de vie du document de travail. Une fois qu'un élément de travail associé à un lien magique a été marqué comme terminé, le lien magique ne peut plus être utilisé.
Les liens magiques sont indéchiffrables. Contrairement à un code PIN, qui peut être deviné, un lien magique ne peut pas être deviné à l'avance.
Un seul lien magique peut être valide à la fois. Si vous renvoyez une demande de client à une nouvelle adresse électronique, le lien de la demande initiale deviendra immédiatement inutilisable.
Les liens magiques ne peuvent pas être utilisés pour télécharger des documents sensibles. Les documents téléchargés par les clients via les demandes de client ne peuvent pas être téléchargés via Magic Links. Les documents téléchargés par les clients ne sont accessibles que depuis la plateforme Karbon.
Accès complet par connexion
Si vos clients ont besoin d'accéder à toutes les demandes ouvertes et complétées (y compris les commentaires et les documents), ils peuvent se connecter au portail client, qui est une application web protégée par un mot de passe. Il s'agit d'une application web protégée par un mot de passe, contrairement au lien magique, qui ne donne accès qu'aux détails de la demande pour un élément de travail spécifique.
Le portail des clients exige que votre client soumette un nom d'utilisateur et un mot de passe avant d'obtenir l'accès au portail. La soumission d'un nom d'utilisateur et d'un mot de passe exige que le portail client valide l'identité de l'utilisateur avant d'accéder à toutes les demandes envoyées au client.
Seuls vos clients peuvent accéder à votre portail client. Pour accéder à votre portail, l'adresse courriel doit être associée à un contact dans votre compte Karbon. Une fois connecté, votre client ne verra que les demandes envoyées à l'adresse courriel avec laquelle il s'est connecté.
Meilleure pratique en matière de sécurité
Les entreprises qui utilisent la plateforme Karbon pour envoyer des liens magiques et demander des éléments à leurs clients sont responsables de la sécurité 1. de leur utilisation de la plateforme Karbon, et 2. de leur fournisseur de messagerie associé utilisé pour communiquer via Karbon.
La plateforme Karbon s'authentifie sur la base des informations d'identification du fournisseur de messagerie du cabinet, sélectionné au cours du processus d'enregistrement du compte Karbon ; par conséquent, les demandes des clients et les communications par lien magique sont envoyées via une connexion authentifiée au fournisseur de messagerie sélectionné.
Nous vous suggérons de garder la sécurité des courriels en tête de vos préoccupations lorsque vous utilisez la plateforme Karbon et ses fonctionnalités. Comme la vulnérabilité de vos courriels réside dans votre fournisseur de courriel, il est de votre responsabilité de mettre en œuvre des mesures de sécurité appropriées à ce niveau. Veuillez vous assurer qu'un processus est en place pour la sécurité des courriels de votre entreprise. Nous vous présentons ici quelques bonnes pratiques pour sécuriser vos courriels :
Mot de passe fort et complexe — Un mot de passe fort est un mot de passe que vous ne pouvez pas deviner ou craquer par une attaque par force brute dans un délai raisonnable. Ils consistent en une combinaison de lettres majuscules et minuscules, de chiffres et de symboles spéciaux, comme la ponctuation. L'application de ces règles à l'ensemble du personnel peut renforcer votre sécurité. Le moyen le plus sûr de protéger votre mot de passe est d'utiliser un gestionnaire de mots de passe.
Authentification multifactorielle (AMF) — Ajoute une couche supplémentaire de sécurité. Cela signifie que toute personne tentant de se connecter à votre compte doit disposer d'au moins deux facteurs de vérification pour pouvoir y accéder. Au lieu de demander simplement un nom d'utilisateur et un mot de passe, l'authentification multifactorielle exige un ou plusieurs facteurs de vérification supplémentaires, comme un code SMS, ce qui réduit la probabilité d'une cyberattaque.
Formation à la sensibilisation à la sécurité — Les entreprises sont vulnérables en raison d'un facteur clé : l'erreur humaine. En 2021, 98 % des cyberattaques impliquaient une forme d'ingénierie sociale. Il est donc primordial que tout le personnel de votre entreprise comprenne les bases de la sécurité des informations et de la protection des actifs.
Nous vous encourageons à dispenser une formation de sensibilisation à la sécurité sur les meilleures pratiques de protection des mots de passe, les tentatives de phishing, et les pratiques de votre cabinet en matière de sécurité des informations.
Sécurité de la plate-forme Karbon
Toutes les informations stockées sur la plateforme Karbon, y compris les données relatives aux demandes de client, sont cryptées en transit et au repos à l'aide de serveurs et de bases de données en nuage hautement évolutifs de qualité professionnelle.
Karbon a mis en place de nombreuses pratiques de sécurité supplémentaires pour protéger les données traitées par la plateforme Karbon. Ces pratiques de sécurité sont évaluées lors d'activités d'audit interne périodiques et d'audits de sécurité externes — notamment l'examen SOC 2 de type 2. Une copie de notre rapport SOC 3 d'usage général couvrant les engagements de service en matière de sécurité, de disponibilité, de confidentialité et de respect de la vie privée pour notre application web Karbon peut être demandée ici.
Les clients de Karbon qui souhaitent obtenir une copie de notre rapport SOC 2 Type 2, plus complet, doivent contacter notre équipe de support client. Si vous avez d'autres questions sur la sécurité du portail client de Karbon, vous pouvez contacter notre équipe d'assistance clientèle à l'adresse support@karbonhq.com.