> a propos > conditions et politiques > Mesures de sécurité

Mesures de sécurité

Mesures de sécurité
PDF (en anglais)

Aperçu des mesures de sécurité renforcées de ProcessMind

Date d’effet : 12 décembre 2023

Introduction

Bienvenue dans la vue d’ensemble des mesures de sécurité de ProcessMind. Engagés à respecter les normes les plus strictes en matière de protection des données, nous assurons la transparence et la diligence pour protéger vos informations. Ce document décrit nos mesures de sécurité intégrées, conçues pour prévenir les accès non autorisés, les violations de données et d’autres menaces. Notre cadre de sécurité combine des stratégies techniques sophistiquées avec des pratiques organisationnelles complètes pour garantir la sécurité maximale de vos données. Pour plus de détails sur nos efforts en matière de protection des données, veuillez consulter notre Avenant relatif au traitement des données  et notre Politique de confidentialité .

Chez ProcessMind, la sécurité de vos données est notre priorité absolue. Nous comprenons leur valeur et garantissons que vos données ne seront jamais vendues à des tiers. Notre infrastructure de sécurité est renforcée par des mesures techniques et organisationnelles avancées, soigneusement élaborées pour protéger vos données en tout temps.

Mesures techniques

Authentification : Nous appliquons les meilleures pratiques du secteur pour garantir un accès sécurisé, notamment l’authentification à deux facteurs (2FA) et le principe du moindre privilège. Le Single Sign-On (SSO) est assuré via Microsoft Entra ID et Google OAuth/OIDC, ce qui simplifie l’authentification sans avoir à stocker de mots de passe.

Pistes d’audit : Un système de journalisation centralisé enregistre toutes les activités système, permettant une surveillance en temps réel et une intervention rapide en cas d’anomalie. Cette pratique est indispensablele pour garantir la sécurité et la conformité aux normes réglementaires.

Plan de reprise d’activité (PRA) : Notre stratégie de reprise d’activité comprend des sauvegardes continues des données, une réplication de base de données multi-région et des exercices réguliers de simulation pour assurer la continuité de service en toutes circonstances.

Surveillance continue de la sécurité : Grâce à des outils automatisés, nous effectuons des scans de sécurité complets de notre infrastructure, en respectant les meilleures pratiques et les normes de conformité telles que les recommandations AWS, HIPAA, NIST 800-53 rev 5, PCI DSS 3.2.1 et l’OWASP Top 10.

Mises à jour logicielles régulières : Nous mettons activement à jour nos composants logiciels pour corriger les vulnérabilités et protéger nos systèmes contre les menaces de sécurité connues.

Chiffrement des données : Notre stratégie de sécurité inclut un chiffrement robuste des données en transit et au repos, empêchant tout accès non autorisé et garantissant la confidentialité de vos informations.

Gestion sécurisée des données : Des mécanismes de transfert sécurisés et l’utilisation du protocole HTTPS pour tous nos services garantissent l’intégrité et la confidentialité de vos données lors de leur transmission.

Isolation des données : Les données clients sont stockées dans des bases de données dédiées pour garantir leur sécurité et leur confidentialité, minimisant ainsi les risques liés aux environnements multi-tenant. Les ressources partagées sont gérées de manière sécurisée sur un serveur multi-tenant protégé.

Architecture Serverless : En adoptant une architecture Serverless (AWS Lambda), nous réduisons considérablement les risques de mauvaise configuration des serveurs, renforçant ainsi la protection de notre système contre les vulnérabilités courantes.

Conformité du stockage des données en UE : Les données clients sont stockées de manière sécurisée dans l’Union Européenne (Francfort, Allemagne), conformément aux lois strictes de l’UE sur la protection des données. Pour les abonnements payants, les données sont automatiquement supprimées quatre-vingt-dix (90) jours après la fin de l’abonnement. Pour les comptes d’essai, elles sont supprimées treize (13) mois après la création du compte. Les clients peuvent également supprimer leurs données à tout moment via l’application ou en contactant ProcessMind. Les données ne sont définitivement effacées des sauvegardes automatiques qu’à l’expiration de celles-ci, ce qui peut prendre jusqu’à quatre-vingt-dix (90) jours supplémentaires.

Séparation des comptes : Nous utilisons des comptes distincts pour les opérations courantes et pour l’accès aux environnements de production. Cette approche minimise le risque d’accès accidentel ou de compromission des Données Client, conformément aux bonnes pratiques de gestion sécurisée des données. Les environnements de production et de test sont strictement séparés pour éviter toute contamination croisée des données.

Vérification continue des fonctionnalités : Notre protocole exige une vérification constante de toutes les fonctionnalités pour garantir que les mises à jour ne compromettent pas l’intégrité de notre modèle de confiance. Ce processus de test rigoureux est impératif pour maintenir les plus hauts standards de fiabilité et de sécurité.

Mesures organisationnelles

Certification ISO27001 : Notre quête de la certification ISO27001 démontre notre engagement envers les normes internationales de sécurité, avec un engagement continu à obtenir d’autres certifications selon les besoins de nos clients.

Gestion des accès : Grâce à Active Directory, nous assurons un accès sécurisé aux applications pour les employés via SSO, avec MFA renforçant la sécurité.

Contrôle d’accès basé sur les rôles : Nous mettons en place des protocoles de contrôle d’accès basés sur les rôles (RBAC) stricts pour nos employés, garantissant que l’accès aux données client est strictement limité à ceux dont l’accès est nécessaire, conformément aux meilleures pratiques de l’industrie en matière de sécurité et de confidentialité des données.

Sensibilisation à la sécurité : Notre équipe est dédiée à la sécurité dans tous les processus de développement. Nous engageons régulièrement des discussions pour améliorer nos mesures de sécurité, créant un environnement où les améliorations de sécurité sont continuellement identifiées et mises en œuvre.

Protocole de gestion des changements : Notre protocole complet de gestion des changements inclut des considérations de sécurité, garantissant que chaque modification subit une évaluation approfondie de l’impact sur la sécurité. Ce processus vise à maintenir l’intégrité et la sécurité de nos systèmes, évitant toute implication négative en matière de sécurité lors de chaque changement.

Retour et engagement : Les commentaires des clients sur nos pratiques de sécurité sont très appréciés, jouant un rôle essentiel dans nos efforts d’amélioration continue pour renforcer la protection des données.

Chez ProcessMind, notre engagement envers la protection de vos données est total. Nous combinons des mesures techniques avancées avec des protocoles organisationnels stricts pour fournir un service sécurisé et fiable. Maintenir la protection et la confidentialité des données aux normes les plus élevées est notre engagement à gagner et maintenir votre confiance.