Sécurité et conformité

Construit pour que vous ne perdiez jamais une affaire sur une questionnaire de sécurité

PulseCargo.ai™ est d’abord sécurisé par conception. Isolation de base de données par locataire, MFA native, journaux d’audit sur chaque action, et frameworks de conformité majeurs suivis dès le premier jour — sans la complexité d’entreprise.

Chiffrement AES-256

Toutes les données chiffrées au repos en utilisant SQL Server TDE et le chiffrement Azure Blob Storage. TLS 1.3 appliqué pour toutes les données en transit.

Isolation de base de données par locataire

Chaque locataire obtient sa propre base de données SQL Server. Pas un filtre au niveau des lignes. Pas un paramètre de requête. Une base de données séparée par locataire, résolue au niveau de l’intergiciel. Les auditeurs de conformité le remarquent immédiatement.

MFA native + SSO

Authentificateur TOTP natif avec inscription QR. Facteur SMS via Twilio. Fédération SSO via Microsoft 365 et Google Workspace au niveau du portail et du locataire. MFA peut être appliqué par niveau de rôle.

Chemin SOC 2 Type II

Architecture conçue dès le premier jour pour respecter les critères SOC 2 Trust Services. 23 modèles de contrôle chargés sur CC1–CC9 ; les sondes d’intégration ingèrent les preuves de M365, GitHub, Okta, CrowdStrike, Sentinel, Splunk, Datadog, Cloudflare et plus.

Droits GDPR & CCPA

Les points de terminaison de confidentialité en libre-service sont en direct aujourd’hui : demandes d’accès aux données, demandes de suppression, export de données et refus. Export initialisé par l’administrateur disponible pour les administrateurs de locataire. Articles 5 / 32 / 33 du RGPD et sections 1798.100 / .105 / .150 de la CCPA mappées.

Pistes d’audit immuables

Les appels API entrants, les webhooks CargoWise et les actions utilisateur sont enregistrés par demande avec horodatage, utilisateur, locataire et action. L’audit d’intégration sortante (Stripe, fournisseurs TMS) est en cours d’extension pour la couverture complète SOC 2 CC4.1 / CC7.2.

Audit d’isolation des locataires

61 contrôleurs et ~140 points de terminaison examinés pour l’exposition de données entre locataires. Zéro constatations CRITIQUES. Le rapport d’audit est partageable avec votre équipe de sécurité sur demande.

Escrow logiciel

Intégrations NCC Group, Iron Mountain et EscrowTech. Les dépôts ZIP incluent le code source, les plugins par locataire, la sauvegarde SQL et un manifeste SHA-256. La réhydratation testée de bout en bout — jamais seulement en exécution sèche.

Permissions RBAC

Administrateur du portail, administrateur de locataire, utilisateur de locataire et rôles par association de client. Les jeux d’autorisations granulaires contrôlent ce que chaque utilisateur voit. L’emprunt d’identité des locataires est enregistré séparément pour les flux de support.

Hébergé sur Azure

Hébergé sur Azure App Service en centralus avec App Service, SQL, Blob, Key Vault, SignalR et Front Door + WAF. Infrastructure modélisée Bicep sur les niveaux de réseautage, de données et d’application.

Conformité multi-frameworks

Suit les frameworks d’industrie majeurs — SOC 2, ISO 27001, GDPR / CCPA, OWASP, NIST et standards supplémentaires. SOC 2, ISO 27001, GDPR, CCPA et CTPAT ont aujourd’hui des bibliothèques de contrôles remplies ; les frameworks supplémentaires sont suivis avec les modèles en cours d’élaboration. Liste complète des frameworks disponible sur demande.

Test de pénétration

Test de pénétration annuel par tierce partie prévu avec calendriers de remédiation publiés. Balayage continu des dépendances et gestion des correctifs aujourd’hui.

Frameworks de conformité et de sécurité

Sur quoi notre infrastructure, notre code et notre posture de confidentialité sont mesurés.

PulseCargo suit quatre classes de normes sur la plateforme — conformité d’infrastructure, sécurité d’application, contrôles DevSecOps et alignement de la réglementation de la confidentialité. Les badges d’état ci-dessous reflètent ce qui est actuellement en direct en production, ce qui est en cours et ce qui est suivi (contrôles mappés, collecte de preuves en cours).

Conformité d’infrastructure

Comment notre plateforme d’hébergement, les réseaux et les pratiques opérationnelles se comparent aux normes d’industrie.

Critères SOC 2 Trust Services (CC1–CC9)

En cours23 modèles de contrôle chargés ; les sondes de preuves ingèrent M365, GitHub, Okta, CrowdStrike, Sentinel, Splunk, Datadog, Cloudflare

ISO/IEC 27001:2022

SuiviLes contrôles de l’annexe A mappés ; la portée ISMS en cours

Cadre de cybersécurité NIST (CSF) 2.0

SuiviLes fonctions Identifier / Protéger / Détecter / Répondre / Récupérer / Gouverner mappées à la bibliothèque de contrôles

NIST SP 800-53 (baseline modéré)

SuiviLes familles de contrôle d’accès, de journalisation d’audit et d’intégrité du système chevauchées avec les contrôles SOC 2

Contrôles de sécurité critique CIS v8

En directInventaire des actifs, configuration sécurisée, gestion des vulnérabilités, surveillance des comptes implémentées

Repère de fondations CIS Azure

En directInfrastructure modélisée Bicep validée par rapport aux recommandations CIS Azure

Cadre d’adoption du cloud Azure (CAF)

En directConception de la zone d’atterrissage, normes de dénomination, baselines gouvernance et identité alignés avec CAF

CTPAT (Partenariat douanier commercial contre le terrorisme)

SuiviLes contrôles de sécurité de la chaîne d’approvisionnement pertinents pour les clients du fret remplis

Sécurité du développement d’applications

Sur quoi le code source est réellement mesuré pendant la création, l’examen et le déploiement.

Normes OWASP de vérification de la sécurité des applications (ASVS) Niveau 2

En directAuthentification, gestion des sessions, contrôle d’accès, validation des entrées, exigences de cryptographie gating

OWASP Top 10 (2021)

En directA01 Contrôle d’accès cassé à A10 SSRF mappé aux listes de contrôle d’examen du code et requêtes CodeQL

OWASP Top 10 de sécurité des API (2023)

En directLes menaces au niveau du point de terminaison (BOLA, authentification cassée, exposition excessive de données) vérifiées pour chaque surface API

CWE/SANS Top 25 des faiblesses logicielles les plus dangereuses

En directCWE-79, CWE-89, CWE-352, CWE-22, CWE-787 et al. appliqués via SAST

Cadre de développement logiciel sécurisé NIST (SSDF) SP 800-218

En coursLes pratiques PO/PS/PW/RV étant mappées à la documentation SDLC interne

SLSA (Niveaux d’approvisionnement pour les artefacts logiciels) — Niveau 2

En coursGénération de provenance, durcissement source/build ; attestation d’artefacts signés en conception

Modèle de maturité des assurances logicielles OWASP (SAMM) v2

SuiviLes pratiques de gouvernance, conception, mise en œuvre, vérification, opérations mesurées trimestriellement

Cycle de vie du développement sécurisé Microsoft (SDL)

En directModélisation des menaces, portes de sécurité, fuzzing le cas échéant ; les conseils spécifiques à la pile .NET appliqués

DevSecOps et balayage au niveau du code

Les contrôles automatisés continus exécutés sur chaque commit et demande de tirage.

GitHub Dependabot — Balayage des vulnérabilités de dépendances

En directLes manifestes npm + NuGet balayés toutes les heures ; les PRs auto-générées pour les dépendances transitives vulnérables

GitHub CodeQL — Test statique de sécurité des applications (SAST)

En directRequêtes JavaScript/TypeScript + C# sur chaque poussée ; suite de requêtes étendue de sécurité activée

GitHub Secret Scanning + Push Protection

En directLes secrets détectés pré-push et bloqués ; les intégrations partenaires (Azure, Stripe, Resend) couvertes

npm audit / dotnet list package --vulnerable

En directLa porte CI échoue PR sur les vulnérabilités Critical/High

Protection de branche + Examens requis

En directBranche principale protégée ; examens requis, commits signés encouragés, forces-pushes bloquées

Balayage d’image de conteneur (Trivy / Defender for Containers)

En coursLes vulnérabilités de l’image de base sont balayées ; déploiement sur tous les pipelines CI

Test dynamique de sécurité des applications (DAST)

En coursLes balayages automatisés OWASP ZAP sur la mise en scène ; les résultats triés dans le backlog de vulnérabilité

Test de pénétration par tierce partie

SuiviL’engagement annuel prévu ; calendriers de remédiation publiés

Alignement de la réglementation de la confidentialité

Les contrôles mappés aux régimes majeurs de protection des données dans lesquels nos clients opèrent.

RGPD (UE) — Articles 5, 32, 33

En directLes points de terminaison en libre-service d’accès aux données, suppression, export, refus ; les registres de base légale remplis

CCPA (Californie) — § 1798.100, .105, .150

En directAvis à la collecte, droit de connaître, droit de supprimer, refus de vente (n/a)

PDPA (Singapour)

SuiviConsentement, limitation de l’objet, contrôles de responsabilité mappés ; À venir bientôt

LGPD (Brésil)

SuiviAligné avec les articles équivalents au RGPD dans le framework de conformité ; À venir bientôt

POPIA (Afrique du Sud)

SuiviLes rôles d’agent d’information, les limitations de traitement mappées ; À venir bientôt

RGPD du Royaume-Uni + Loi de 2018 sur la protection des données

En directLes mêmes contrôles que le RGPD de l’UE ; le Code de pratique ICO référencé

La matrice complète des contrôles avec les ID de contrôle, la justification du mappage et les pointeurs de preuves disponible sous NDA. Demander le dossier du framework →

Fréquemment demandé

Questions de sécurité que les équipes d’approvisionnement posent en premier.

Comment PulseCargo isole-t-elle les données des clients entre les locataires ?

PulseCargo utilise l’isolation à trois niveaux : une base de données SQL Server dédiée par locataire (pas un filtre au niveau des lignes ou un paramètre de requête), les filtres de requête EF Core plus Azure SQL Row-Level Security comme défense en profondeur, et les conteneurs de stockage Azure Blob par locataire. 61 contrôleurs et ~140 points de terminaison ont été examinés pour l’exposition de données entre locataires avec zéro constatations CRITIQUES.

PulseCargo est-elle conforme à SOC 2 ?

L’architecture de PulseCargo’s est conçue dès le premier jour pour respecter les critères SOC 2 Trust Services. 23 modèles de contrôle sont chargés sur CC1–CC9. Les sondes d’intégration ingèrent les preuves de Microsoft 365, GitHub, Okta, CrowdStrike, Sentinel, Splunk, Datadog et Cloudflare. Le calendrier du rapport SOC 2 Type II est partagé avec les clients potentiels sous NDA.

PulseCargo prend-elle en charge MFA et SSO ?

Oui. L’authentificateur TOTP natif avec inscription QR est inclus sur tous les niveaux. Le facteur SMS via Twilio est disponible. La fédération SSO via Microsoft 365 et Google Workspace est disponible au niveau du portail et du locataire sur Enterprise et supérieur. MFA peut être appliqué par niveau de rôle.

Comment PulseCargo gère-t-elle les demandes GDPR et CCPA ?

Les points de terminaison de confidentialité en libre-service sont en direct : demandes d’accès aux données, demandes de suppression, export de données et refus. L’export initialisé par l’administrateur est disponible pour les administrateurs de locataire. Les contrôles des articles 5, 32 et 33 du RGPD et des sections 1798.100, .105 et .150 de la CCPA sont mappés dans la plateforme de framework de conformité.

PulseCargo propose-t-elle un escrow logiciel ?

Oui. PulseCargo s’intègre à NCC Group, Iron Mountain et EscrowTech. Les ZIPs de dépôt incluent le code source, les plugins par locataire, la sauvegarde SQL et un manifeste SHA-256. La réhydratation est testée de bout en bout, pas seulement en exécution sèche. L’escrow logiciel est inclus avec Enterprise+ et disponible comme module complémentaire sur Enterprise.

Où PulseCargo est-elle hébergée ?

Azure App Service dans la région centralus. L’infrastructure inclut App Service, SQL, Blob, Key Vault, SignalR et Front Door avec WAF. Infrastructure modélisée Bicep sur les niveaux de réseautage, de données et d’application. Enterprise+ supporte l’infrastructure Azure dédiée et le déploiement multi-régions.

Passez chaque examen de sécurité.

Les équipes d’approvisionnement de vos clients adoreront ce qu’ils voient.

Demander la documentation de sécurité →