Sécurité, confidentialité et confiance chez Xeal
Xeal est une entreprise de recharge de véhicules électriques (VÉ) qui place la technologie au premier plan, opérant à l'intersection de la mobilité, de l'immobilier, de l'IdO et de l'énergie. Nous construisons la prochaine génération de solutions VÉ, ce qui inclut de veiller à ce que nos systèmes soient conçus et exploités de manière sécurisée. Ce document donne un aperçu du programme de sécurité de Xeal et de la façon dont nous atteignons cet objectif.

Conformité SOC 2 Type II
Xeal est une organisation conforme à la norme SOC 2 Type II, en ce qui concerne la sécurité et la confidentialité. Le SOC 2 est un audit tiers effectué annuellement pour s'assurer que le programme de sécurité de l'information d'une entreprise fonctionne efficacement. Chaque année, plus de 50 contrôles et processus de sécurité individuels utilisés chez Xeal sont vérifiés de manière indépendante par une firme d'audit tierce.
Introduction
La majorité d'entre nous a malheureusement été touchée, à un moment ou à un autre, par une forme de violation de données. C'est un sentiment déstabilisant d'apprendre que vos données personnelles ont été exposées à des tiers inconnus, et de se demander comment ils prévoient de les utiliser à mauvais escient. Compte tenu de cela, on peut tous nous pardonner d'être un peu cyniques lorsque les entreprises qui traitent nos données affirment comment elles les gardent en sécurité.
Chez Xeal, lorsque nous considérons le traitement sécurisé des données personnelles, nous savons que la confiance doit, à juste titre, se mériter. Ce document est conçu comme une première étape vers l'obtention de votre confiance. Il vous guidera à travers nos pratiques de sécurité et de confidentialité, de haut en bas. Nous commencerons par nos pratiques et principes organisationnels qui guident les décisions en matière de sécurité, qui se répercutent ensuite dans nos logiciels, matériels et services.
Mais ce n'est que cela ; la première étape. Nous savons que la majeure partie de la confiance viendra plus tard, à mesure que nous travaillerons ensemble et que vous interagirez avec l'équipe Xeal.
Après tout, lorsque vous vous associez à Xeal, vous obtenez bien plus qu'une simple borne de recharge VÉ. Vous élargissez votre équipe pour inclure les connaissances en matière de sécurité, de fiabilité et d'ingénierie des membres de Xeal. Nous ne doutons pas qu'en collaborant avec nous, vous découvrirez un groupe de personnes tout aussi passionnées par la protection de vos données que vous l'êtes.

Xeal, l'entreprise
Xeal compte des employés partout aux États-Unis. Certains travaillent chaque jour dans un bureau Xeal, d'autres ont adopté un horaire hybride et d'autres encore travaillent entièrement à distance. Peu importe leur lieu de travail, tous les employés de Xeal ont accès à une équipe de sécurité dédiée, respectent les mêmes politiques et procédures et disposent d'ordinateurs portables fournis par l'entreprise, équipés d'un ensemble commun de mesures de sécurité technique.
Ils suivent également notre ensemble de principes de sécurité fondamentaux, tirés directement de notre Politique de sécurité de l'information :
La sécurité dans tout
Xeal aspire à s'assurer que la sécurité est une considération primordiale dans toute activité réalisée au cours de nos opérations. Que ce soit pour travailler avec des informations clients, développer une nouvelle fonctionnalité dans nos produits logiciels ou matériels, ou simplement utiliser un ordinateur pour effectuer des recherches en ligne. En adhérant aux politiques et aux directives de la politique de sécurité de l'information, ainsi qu'aux autres documents subordonnés du système de management de la sécurité de l'information (SMSI) de Xeal, les employés de Xeal disposent d'une variété de ressources pour respecter ce principe directeur fondamental.
La sécurité est l'affaire de tous
Les politiques du SMSI de Xeal s'appliquent à toute personne ayant accès aux ressources informatiques de Xeal, y compris, sans s'y limiter, les employés, les sous-traitants indépendants, les partenaires commerciaux et les fournisseurs.
La sécurité s'applique partout
Les politiques du SMSI s'appliquent aux ressources informatiques et aux données de Xeal, quel que soit le facteur de forme ou l'emplacement physique de la ressource.
Nous nous appuyons sur des normes
Le SMSI de Xeal est basé sur la norme ISO 27001:2022 de l'Organisation internationale de normalisation, qui établit les exigences obligatoires pour un SMSI. Les politiques individuelles contenues dans le SMSI ont été créées sur la base des directives du document de code de pratique ISO 27002:2022 de l'Organisation internationale de normalisation. En adoptant ces normes pour son SMSI, Xeal a clairement démontré sa compréhension de l'importance d'un programme de sécurité de l'information bien défini, soutenu de haut en bas.
Une équipe de sécurité dédiée
Xeal maintient une équipe de sécurité dédiée pour soutenir à la fois les clients et les employés dans le fonctionnement de notre programme de sécurité et de confidentialité. L'équipe est composée de professionnels ayant une vaste expérience dans le développement sécurisé, les opérations de sécurité et la réponse aux incidents. Voici quelques exemples de certifications de l'industrie de la sécurité détenues par les membres de l'équipe :
- Certified Information Security Professional (CISSP)
- Certificated Information Privacy Professional - US (CIPP/US)
- Offensive Security Certified Professional (OSCP)
- Certified Information Security Manager (CISM)
- Certified Information Systems Auditor (CISA)
- HealthCare Information Security and Privacy Practitioner (HCISPP)
- Certified Ethical Hacker (CEH)
- Certified Computer Hacking Forensic Investigator (CHFI)
- AccessData Certified Forensic Examiner (ACE)
- Certified Cyber Forensics Professional-US (CCFP-US)
- Security+ Certification
Les principales responsabilités de l'équipe de sécurité Xeal comprennent :
- Opérations de sécurité — surveillance des environnements logiciels et en nuage de Xeal pour s'assurer que tout est configuré de manière sécurisée et exploité en toute sécurité au quotidien..
- Sécurité des points de terminaison — conception et gestion des contrôles techniques déployés sur les équipements TI de Xeal.
- Sécurité des produits — collaboration directe avec les partenaires du département d'ingénierie pour s'assurer que tous les produits logiciels, micrologiciels et matériels sont conçus en tenant compte de la sécurité.
- Gestion des identités et des accès — s'assurer que les employés de Xeal ont accès aux systèmes dont ils ont besoin pour exercer leurs fonctions, et que l'accès est géré via un annuaire central.
- Gestion des risques — identification, suivi et traitement des risques d'entreprise pour assurer la prospérité continue de Xeal et de nos clients.ers.
Mesures de sécurité technique
Tous les employés de Xeal reçoivent des ordinateurs portables d'entreprise équipés d'un logiciel de détection et de réponse des points de terminaison (EDR) de niveau entreprise, géré de manière centralisée. Nos ordinateurs portables exécutent également un logiciel de gestion des appareils mobiles (MDM) qui permet à l'équipe de sécurité Xeal de s'assurer qu'ils sont conformes à nos normes de sécurité technique, par exemple en utilisant le chiffrement complet du disque et des mots de passe robustes. Les comptes des employés Xeal sont protégés par l'authentification à deux facteurs et par des processus d'intégration et de départ rigoureux qui assurent la suppression rapide des accès lorsque des employés quittent l'entreprise.
Confidentialité chez Xeal
L'équipe de sécurité Xeal participe également activement à la conception de nos produits et processus en tenant compte de la conformité aux nouvelles lois sur la protection de la vie privée en constante évolution. En étroite collaboration avec l'équipe juridique, Xeal s'assure que les lois et réglementations, telles que le California Consumer Privacy Act (CCPA), sont prises en compte et respectées dans nos produits. Les pratiques de confidentialité de Xeal sont conçues pour s'étendre à tous les utilisateurs de nos produits, quelle que soit leur citoyenneté ou leur localisation physique. Nous croyons que tout le monde devrait avoir les mêmes droits quant à la façon dont ses informations sont traitées.
Xeal, la borne de recharge intelligente
La même technologie qui distingue les bornes de recharge Xeal avec notre garantie de disponibilité de 100 % est également responsable de notre contrôle de sécurité le plus efficace. De manière unique, les bornes de recharge Xeal ne disposent pas d'interface réseau Internet ou locale, ce qui signifie qu'elles ne peuvent pas être découvertes par des analyses de ports ou d'autres activités d'énumération fréquemment utilisées pour découvrir et exploiter des appareils connectés.
Aucun port ouvert — en fait, aucun port du tout
Aucune infrastructure TI ne doit être installée ou exposée dans les stationnements, aucun pare-feu ne doit être reconfiguré et aucune information d'identification de réseau sans fil n'est requise. Votre équipe TI et de sécurité est déjà assez occupée à protéger votre entreprise — nous sommes heureux de lui éviter un souci de plus !

De plus, le matériel des bornes de recharge Xeal ne comprend aucun port de débogage ou de service accessible de l'extérieur qui pourrait être exploité dans le cadre d'une attaque physique contre l'appareil. La communication avec la borne de recharge intelligente s'effectue à l'aide de technologies de proximité rapprochée, notamment BLE et NFC, et nécessite l'envoi d'un jeton utilisateur chiffré à durée limitée et valide, accompagné d'une demande pour effectuer toute fonction destinée à l'utilisateur sur la borne. Remarquablement, l'absence de connectivité permanente ne signifie pas que les bornes de recharge sont privées de mises à jour critiques du micrologiciel qui pourraient les exposer à l'avenir ; celles-ci sont livrées via le Xeal Protocol.
Xeal, l'application mobile
Au cœur de l'écosystème Xeal se trouve notre application mobile, disponible sur iOS et Android. L'application est bien sûr conçue pour offrir une expérience de recharge fluide aux conducteurs, mais elle est également un élément clé de la démarche de sécurité de Xeal.

Le Xeal Protocol
L'application mobile sert de canal pour le Xeal Protocol, la technologie brevetée de Xeal qui utilise la technologie de registre distribué pour transmettre de manière asynchrone des informations sur les sessions de recharge, les modifications de configuration et les mises à jour du micrologiciel entre le service en nuage Xeal et le matériel de la borne de recharge. La cryptographie à clé publique est utilisée pour s'assurer que les données transportées par le Xeal Protocol sont toujours chiffrées et inaccessibles à toute entité autre que Xeal. Pendant le développement de l'application mobile et du Xeal Protocol, l'équipe de sécurité Xeal est responsable d'effectuer des évaluations de sécurité régulières et des tests d'intrusion sur le logiciel.
Xeal, le tableau de bord en nuage
Xeal fournit une application de tableau de bord en nuage pour permettre aux organisations clientes de gérer leurs configurations de bornes de recharge, de suivre l'utilisation et de générer des rapports financiers. Les mêmes meilleures pratiques de développement qui sont intégrées à nos applications mobiles et au micrologiciel des bornes de recharge sont également présentes dans nos logiciels en nuage. La disponibilité du nuage n'a pas d'impact sur la disponibilité d'une borne de recharge.
Dans les nuages, mais sans manque de visibilité
Le service peut également être utilisé pour gérer les contrôles d'accès sur la borne de recharge, offrant aux clients le choix d'attribuer des résidents spécifiques à une borne de recharge donnée, d'exploiter un parc de bornes de recharge partagées ou de fournir une recharge aux membres du public.

Le service en nuage de Xeal est hébergé dans l'environnement d'infrastructure en tant que service (IaaS) de premier rang sur le marché, qui a été audité de manière indépendante par rapport aux normes de sécurité informatique telles que SOC 2 et ISO 27001.
Xeal utilise des systèmes de détection d'intrusion (IDS), un pare-feu d'application Web (WAF) et des outils centralisés de journalisation et de surveillance dans l'environnement en nuage. L'objectif ultime de ces outils est de s'assurer que si quelque chose se produit dans notre nuage, nous en sommes informés, et si cela ne devrait pas se produire, nous pouvons y mettre fin rapidement.
Traitement des paiements
Xeal fait appel à un fournisseur de services conforme au niveau 1 de la norme PCI-DSS pour le traitement des transactions financières, ce qui inclut les transactions par carte de crédit et les virements ACH pour les versements.
Informations supplémentaires
Xeal maintient un large ensemble de documents et d'autres matériaux pertinents à notre programme de sécurité, disponibles sur demande et, le cas échéant, dans le cadre d'un accord de non-divulgation (NDA). Si vous souhaitez examiner l'un des éléments suivants, veuillez contacter votre représentant Xeal :
- Politiques et procédures de sécurité de Xeal
- Diagrammes d'architecture de sécurité
- Règles d'engagement pour les tests d'intrusion clients
De plus, l'équipe de sécurité Xeal peut être contactée à l'adresse security@xealenergy.com et sera ravie de répondre à toutes vos questions sur des éléments spécifiques de la sécurité Xeal.