Déclaration de sécurité de Rods&Cones

Rods&Cones maintient un programme de sécurité de l'information axé sur la sécurité et l'intégrité des données des clients. Le programme de sécurité de l'information comprend des contrôles administratifs, techniques et opérationnels appropriés à la taille de son entreprise et aux types d'informations qu'elle traite.

Surveillance
Rods&Cones surveille ses systèmes en enregistrant les événements liés à la sécurité, en signalant les activités suspectes et en procédant à une analyse plus approfondie de ces activités.

Contrôle d'accès logique
L'accès aux données des clients est limité sur la base du principe du moindre privilège ; l'accès est accordé via un processus documenté d'autorisation d'accès.

Examen de l'accès des utilisateurs
Nous évaluons périodiquement l'accès des utilisateurs tout au long du cycle de vie d'un compte d'utilisateur, de la création à la résiliation d'un compte d'utilisateur, afin de garantir le caractère approprié des comptes d'utilisateur. Chaque mois, l'application Rods&Cones génère un rapport avec le droit d'accès (rôle), la dernière heure d'accès, la fréquence d'accès pour chaque utilisateur. Ce rapport est disponible pour chaque compte. Le gestionnaire des opérations de la plate-forme Rods&Cones peut modifier le rôle ou révoquer l'accès des gestionnaires de compte et des utilisateurs super admin dont l'accès a changé ou n'est plus nécessaire. Les gestionnaires de compte peuvent faire de même pour les utilisateurs de leurs comptes.

Sécurité du personnel
Rods&Cones s'assure d'embaucher des professionnels qualifiés qui suivent la formation Rods&Cones sur la sécurité et la confidentialité des données et signent un accord de confidentialité, un accord d'utilisation acceptable des systèmes d'information et un code de conduite. Les transferts de personnel entraînent des modifications de la gestion des accès sur la base du moindre privilège et du rôle.

Gestion des incidents
Rods&Cones maintient un programme de gestion des incidents de sécurité de l'information qui fournit une réponse rapide et une notification appropriée aux incidents de sécurité afin de protéger les informations des clients en fonction de la taille de son entreprise.

Politique de continuité des activités
Toutes les informations appartenant à Rods&Cones sont stockées dans des systèmes SAAS en nuage où les informations sont dupliquées sur plusieurs sites par des processeurs de données. Pour la restauration des données, l'équipe de Rods&Cones assure une politique de sauvegarde et de récupération saine.

Sécurité des logiciels

Processus de lancement de logiciels
Grâce à l'architecture SaaS, il n'existe qu'une seule version de l'infrastructure en nuage de Rods&Cones.
Le processus de développement agile est structuré selon un cycle bihebdomadaire pour les versions mineures et un cycle trimestriel pour les versions majeures. Le processus implique toutes les parties prenantes de l'entreprise, soutenues par les outils les plus récents.

Sécurité du mot de passe
Les mots de passe des utilisateurs sont protégés par un cryptage SHA512 conforme aux normes industrielles. Nous appliquons la vérification en deux étapes. Le personnel de Rods&Cones n'a pas accès aux mots de passe des utilisateurs. Les identifiants de connexion sont toujours transmis de manière sécurisée via HTTPS.

Sécurité physique
Les données et les applications sont hébergées sur Microsoft Azure, le tout aux Pays-Bas. Ces plateformes sont conformes aux normes de sécurité les plus strictes.

OWASP Top 10
Nous avons vérifié notre application avec le Top 10 de l'OWASP.

Cryptage
Les données sont stockées en utilisant un cryptage AES 256 bits et un décryptage côté serveur.

Sécurité des réseaux
Rods&Cones a mis en place des contrôles de sécurité de type pare-feu, détection d'intrusion et antivirus pour protéger les données des clients contre la perte ou la divulgation non autorisée.

Sauvegardes et reprise après sinistre
Nous mettons en place des sauvegardes quotidiennes des systèmes de fichiers qui peuvent être redéployés en cas de catastrophe.

Communications
Toutes les connexions web aux instances clientes sont protégées par un cryptage SSL 128 bits à la pointe de la technologie. La connexion utilise TLS 1.2. La connexion est cryptée et authentifiée à l'aide du chiffrement AES_128_GCM.

Mesures de sécurité spécifiques à la vie privée
La plateforme Rods&Cones et donc toutes les données personnelles stockées sont hébergées et stockées sur Microsoft Azure, certifié ISO 27018. Les données sont physiquement hébergées aux Pays-Bas.

L'authentification et l'autorisation du contrôle d'accès sont basées sur les références du mot de passe de connexion, combinées à d'autres restrictions basées sur l'adresse IP d'origine et le nom de domaine cible. L'autorisation est basée sur des listes de contrôle d'accès attachées aux administrateurs ou aux utilisateurs.

Afin de respecter les contraintes décrites à l'article 32 du GDPR, Rods&Cones :

• s'appuie sur Microsoft Ireland Operations Limited pour refuser aux personnes non autorisées l'accès aux équipements informatiques utilisés pour le traitement des données personnelles (contrôle d'accès aux équipements) ;
• s'appuie sur les processus d'authentification et d'autorisation décrits précédemment pour empêcher la lecture, la copie, la modification ou la suppression non autorisées des supports de données (contrôle des supports de données) ;
• s'appuie sur Microsoft Ireland Operations Limited et sur les processus d'authentification et d'autorisation appropriés décrits précédemment pour empêcher la saisie non autorisée de données et l'inspection, la modification ou la suppression non autorisée de données personnelles stockées (contrôle du stockage) ;
• s'appuie sur les processus d'authentification et d'autorisation décrits précédemment pour empêcher l'utilisation des systèmes de traitement automatisé des données par des personnes non autorisées utilisant des équipements de communication de données (contrôle des utilisateurs) ;
• s'appuie sur les processus d'authentification et d'autorisation décrits précédemment pour garantir que les personnes autorisées à utiliser un système de traitement automatisé de données n'ont accès qu'aux données couvertes par leur autorisation d'accès (contrôle d'accès aux données) ;
• s'appuie sur les processus d'authentification et d'autorisation décrits précédemment, combinés aux journaux administratifs et au cryptage des communications, pour garantir qu'il est possible de vérifier et d'établir à quelles instances les données personnelles ont été ou peuvent être transmises ou mises à disposition à l'aide d'équipements de communication de données (contrôle des communications) ;
• s'appuie sur les processus d'authentification et d'autorisation décrits précédemment, combinés aux données collectées tout au long de la chaîne de collecte (comme décrit précédemment), afin de garantir qu'il soit possible de vérifier et d'établir par la suite quelles données personnelles ont été introduites dans les systèmes de traitement automatisé des données, ainsi que le moment et l'auteur de l'introduction des données (contrôle de l'introduction) ;
• s'appuie sur un transport crypté (HTTPS) et/ou des fichiers zip cryptés pour empêcher la lecture, la copie, la modification ou la suppression non autorisées de données personnelles pendant les transferts de données personnelles ou pendant le transport de supports de données (contrôle du transport) ;
• s'appuie sur des processus de sauvegarde pour garantir que les systèmes installés peuvent, en cas d'interruption, être restaurés (récupération) ;
• s'appuie sur des tests de régression réguliers pour garantir que les fonctions du système fonctionnent, que l'apparition de défauts dans les fonctions est signalée (fiabilité) et que les données personnelles stockées ne peuvent être corrompues par un dysfonctionnement du système (intégrité).