Sécurité

UiPath® goes to great lengths to ensure that data related to your RPA projects remains safe and secure, without exception. When using UiPath® Task Mining, your data benefits from multiple layers of security and governance technologies, operational practices, and compliance policies that UiPath® enforces.

UiPath® Task Mining is comprised of four main components: the recording application, Data Preprocessor, Analyzer, and Admin Portal. Together these components run studies on the tasks performed by users in your environment. From these studies, UiPath® Task Mining will identify a list of tasks that are good candidates for automation and produce a detailed process map for the tasks. These studies are controlled by your system administrator and the data collected during the studies is encrypted to ensure your users’ privacy is not violated.

Principes de conception de services

Le portail d'administration et l'analyseur sont fournis via un modèle de logiciel en tant que service (SaaS) conçu et hébergé dans Microsoft Azure. Ils utilisent tous les services Azure de base, notamment le calcul, le stockage, la mise en réseau, la base de données SQL, la configuration des applications, le stockage secret dans Key Vault et la gestion des identités et accès.

This allows us to focus on the unique aspects of running UiPath® services while taking advantage of, and building upon, Azure’s state-of-the-art capabilities in security, privacy, and compliance. We also utilize the industry certifications available through Azure.

At UiPath®, we share the responsibility of protecting your data with Azure and strictly adhere to the guidance they publish.

Cryptage des données

Nous chiffrons toutes les données client au repos dans tous les magasins de données faisant partie de notre service. Par exemple, nous utilisons un cryptage de données transparent dans les bases de données SQL.

Toutes les données sont transmises via des canaux protégés, qu'elles transitent par Internet ou au sein de nos composants de service internes.

Gestion des identités et des accès

We support account creation in our Automation Cloud^TM Platform using a variety of identity service providers, such as Google, Microsoft, and LinkedIn, as well as through native accounts. Post account creation, our services manage a given user’s access rights using application-managed, role-based access control checks.

Isolement des données du locataire

Les données de chaque locataire sont logiquement séparées des autres dans notre service afin que nous puissions appliquer des contrôles d'accès et d'autorisation à tous les locataires lorsqu'ils accèdent aux données dans le cadre de notre service.

Vie privée

UiPath® collects two categories of data from users to operate and improve Task Mining Services:

Customer data: Includes user-identifiable transactional and interactional data that we need to operate the service and to manage your contract with UiPath®
Journaux générés par le système : incluent les données d'utilisation des services qui peuvent être agrégées et contenir des éléments de données client

From a GDPR standpoint, UiPath® is considered a data processor. As such, we honor all obligations of a data processor by providing customers with full control over their data, in accordance with the product architecture and implementation.

We have ensured that we can export all of your data for you upon request. Should you close your account with UiPath® Task Mining, or otherwise request data deletion, we delete that data from our systems after the requisite 30-day soft-delete period.

We recommend our customers assess if their use of our cloud service is in line with their privacy obligations. For more information about the UiPath® privacy statement, how UiPath® processes your data when using online services, and GDPR commitments, please visit our Privacy Policy.

Résidence et souveraineté des données

Nous savons que nos clients se soucient de l'emplacement de leurs données. Nous servirons l'intégralité du contenu et stockerons toutes les données utilisateur dans la région qui correspond aux exigences d'emplacement et de souveraineté de l'utilisateur payant. Pour afficher l'ensemble actuel de régions prises en charge, veuillez consulter Résidence des données (Data Residency). Nous continuerons à ajouter des régions supplémentaires au fur et à mesure que notre clientèle augmentera.

Remarque :

La résidence des données est appliquée car nous utilisons désormais Microsoft Cognitive Service pour le masquage des IPP, ce qui fonctionne en relation avec la région du locataire.

Pratiques de sécurité et de conformité

UiPath® addresses the following aspects of security and compliance in order to help prevent breaches and uphold the highest standards for data security, privacy, and availability:

Durcissement des systèmes

UiPath® Task Mining uses Azure's Platform-as-a-Service (PaaS) offering for much of its infrastructure. PaaS automatically provides regular updates for known security vulnerabilities.

Cycle de vie de développement sécurisé

UiPath® security and development teams work hand in hand to address security threats throughout the development process of UiPath® Task Mining.

Les équipes effectuent une modélisation des menaces lors de la conception des services. Elles adhèrent aux meilleures pratiques de conception et de codage et vérifient la sécurité du produit final à l'aide d'une approche à plusieurs volets qui s'appuie sur des outils internes, des outils commerciaux d'analyse statique et dynamique, des tests de pénétration internes ainsi que des programmes de primes de bogues externes.

We also monitor vulnerabilities introduced in our code base through third-party libraries and minimize our dependency on these libraries and corresponding exposure. Because the security landscape is continually changing, our teams stay current with the latest in best practices. We also enforce annual training requirements for all engineers and operations personnel working on UiPath® cloud services.

Disponibilité du service et des données

Ensuring that UiPath® Task Mining services are available so you can access your organization’s assets is of the utmost importance to us. That is why we rely on Azure’s backup mechanism and practice data recovery.

We employ other fail-safes to help ensure availability. A malicious distributed denial-of-service (DDoS) attack, for example, could affect UiPath® Task Mining service availability. Azure has a DDoS defense system that helps prevent attacks against our service. It uses standard detection and mitigation techniques such as SYN cookies, rate limiting, and connection limits.

Il a été est conçu non seulement pour résister aux attaques de l'extérieur, mais aussi de l'intérieur.

Test de site en direct

Nous émulons des tactiques accusatoires sur nos services et notre infrastructure sous-jacente au moyen d'équipes rouges internes.

L'objectif est d'identifier les vulnérabilités concrètes, les erreurs de configuration et autres failles de sécurité de manière contrôlée afin que nous puissions tester l'efficacité de nos capacités de prévention, de détection et de réponse.

Réponse aux incidents de sécurité

Nous nous efforçons de minimiser la surface d'attaque de nos services et de réduire la probabilité qu'une violation de données se produise. Cela n'empêche toutefois pas certains incidents de sécurité de se produire.

En cas de violation, nous utilisons des plans de réponse de sécurité pour minimiser les fuites, les pertes ou la corruption de données. Nous assurons la transparence de nos opérations à nos clients tout au long de l'incident. Notre équipe de SRE et de sécurité 24h/24 et 7j/7 vous aide à identifier rapidement le problème et à utiliser les ressources de l'équipe de développement nécessaires pour contenir l'impact de l'incident.

Une fois que l'équipe a contenu le problème, notre processus de gestion des incidents de sécurité se poursuit pendant que nous en identifions la cause première et suivons les changements nécessaires pour nous assurer d'éviter tout problème similaire à l'avenir.

Contrôle d'accès à la production

Nous maintenons un contrôle strict sur les personnes qui ont accès à notre environnement de production et aux données clients.

L'accès n'est accordé qu'au niveau de moindre privilège requis et uniquement après que des justifications appropriées ont été fournies et vérifiées. Si un membre de l'équipe requiert un accès pour résoudre un problème urgent ou déployer un changement de configuration, il doit demander un accès « juste à temps (just in time) » au service de production.

L'accès est révoqué dès que la situation est résolue. Les demandes d'accès et les approbations sont suivies. Si le nom d'utilisateur et le mot de passe de l'un de nos développeurs ou de notre personnel d'exploitation ont été volés, les données sont toujours protégées, car nous utilisons une authentification à deux facteurs pour tous les accès au système de production.

Gestion des secrets

Les secrets que nous utilisons pour gérer et maintenir le service, tels que les clés de cryptage, sont gérés, stockés et transmis en toute sécurité via le portail de gestion Azure.

Tous les secrets sont pivotés à une cadence régulière et peuvent être pivotés à la demande dans le cas d'un événement de sécurité.

With a solid foundation for security and privacy, UiPath® is working towards obtaining industry certifications and accreditations over the next year, which include Veracode continuous for our Cloud Platform, ISO 27001:2013, and ISO 27017, CSA Star and SOC 1 Type 2.