Sécurité informatique maximale – #NotMe a été conçu selon les principes de Privacy by Design. #NotMe est en cours d’obtention de la certification ISO27001.

Protéger vos données

Confidentialité et sécurité dès la conception

La vie privée de l’employé et de l’employeur est importante pour nous. Notre politique de confidentialité et nos conditions d’utilisation expliquent comment et dans quel but nous utilisons les informations collectées. Notre processus de développement de solutions a été créé pour se concentrer sur la sécurité et la confidentialité à tout moment. Notre équipe prend toujours les mesures nécessaires pour atténuer les risques, trouver de nouvelles façons d’améliorer le système et tenir compte des meilleures pratiques tout au long du développement de #NotMe. Nous cherchons toujours à découvrir, suivre et résoudre tout bogue ou exploit dans nos produits.

Sécurité Réseaux

Étant donné que #NotMe est une solution mobile et basée sur le cloud, la sécurité du cloud chez #NotMe est un problème critique. Nous nous assurons de diviser nos serveurs en réseaux, emplacements et continents distincts. Tous nos réseaux privés sont durcis, évitant tout accès inutile. Par exemple, les ports non utilisés sont fermés ou restreints, les mots de passe sont régulièrement changés et ne sont jamais laissés par défaut, etc…

Notre réseau de serveurs de production est restreint, permettant uniquement aux ports nécessaires d’être ouverts au public.

La protection contre les attaques par déni de service (DDoS) a été déployée sur nos serveurs de production.

L’accès aux réseaux de développement et de test est restreint et n’est pas accessible au public.

#NotMe s’assure de fournir les derniers protocoles de sécurité sécurisés fournis par les plateformes cloud, y compris pour la gestion du réseau.

Chiffrement

Le cryptage des données est essentiel pour assurer la sécurité des informations des employés et des employeurs. Nous avons créé notre plateforme en utilisant les dernières normes de l’industrie en matière de sécurité.

En transit

Toutes les informations transitant entre les services et les clients de #NotMe sont cryptées en transit à l’aide des derniers protocoles de cryptage sécurisés recommandés, notamment les protocoles SSL/TLS et le cryptage AES.

Au repos

Les données stockées dans les services de production de #NotMe sont toujours cryptées à l’aide de l’algorithme de cryptage standard AES-256. Cela s’applique à tous les types de données, y compris les fichiers, les sauvegardes, les bases de données, etc. Les clés de chiffrement ne sont fournies qu’à un groupe limité de personnes et stockées dans un emplacement sécurisé. La création, l’accès et la suppression de ces clés sont correctement sécurisés.

Authentification et accès

Privilèges

Chaque employé #NotMe a son propre ensemble de privilèges pour l’accès aux données. Cet accès est fourni sur la base du moindre privilège, ce qui signifie qu’un employé n’aura que certains privilèges autorisés au lieu de révoquer la plupart d’entre eux. En ce qui concerne l’accès des abonnés, nos niveaux de privilèges actuels sont administrateur RH, gestionnaire, employé.

Authentification

Chaque employé peut créer son propre compte via notre application. Les employeurs ont accès au tableau de bord #NotMe. Un lien sécurisé est fourni par email pour définir un mot de passe. Les mots de passe ne sont jamais stockés en texte clair et toujours hachés et salés, renforçant la sécurité en cas de violation de données. Nous appliquons une authentification multifacteur pour accéder à tous les systèmes contenant des informations sensibles, y compris nos systèmes de production. Pour des opérations compatibles, notre société utilise une paire de clés publique-privée en plus de l’authentification par mot de passe par exemple. Cela permet de fournir à l’utilisateur un moyen plus sécurisé d’accéder à un service et de réduire le risque d’accès non autorisé à des données sensibles.

Évaluation de la vulnérabilité

L’évaluation de la vulnérabilité est un sujet que nous prenons très au sérieux chez #NotMe. C’est un sujet de plus en plus important, en particulier pour les fournisseurs de SaaS (Software-as-a-Service) comme nous. Conformément à la norme ISO 29147 – pour répondre aux signalements de tels problèmes et pour gérer la divulgation publique des informations les concernant, et pour éviter des risques inutiles aux fournisseurs, clients et utilisateurs de notre service, nous avons mis en place un processus pour traiter les instances dans lesquelles des problèmes de sécurité sont détectés par des parties externes. Les vulnérabilités potentielles peuvent être signalées à notre équipe de sécurité via le programme #NotMe HackerOne.

Notre équipe de sécurité enquêtera et enverra chaque rapport de vulnérabilité à l’équipe appropriée, pour une enquête plus approfondie. La vulnérabilité sera reconnue et l’équipe travaillera à évaluer sa gravité. Selon ce dernier, le problème sera résolu immédiatement ou dans une future version de nos produits.

Notre équipe met tout en œuvre pour donner du crédit à la divulgation responsable d’une vulnérabilité et pour encourager la poursuite d’un signalement responsable à l’avenir.

Test de pénétration

Le plus récent a été réalisé par GreyCastle Security en novembre 2021. Un nouveau test est prévu en juillet 2023.

Hébergement et services

Platformes Cloud et services tiers

Tous les services #NotMe sont hébergés dans des centres de données gérés par des plates-formes cloud leaders du secteur, offrant une protection physique de pointe pour les serveurs et l’infrastructure. Ces plateformes sont sécurisées, fiables et certifiées ISO 27001, SOC 1/SSAE 1, etc…

Avant de souscrire à un service ou d’utiliser une solution Open-Source, nous veillons à évaluer les risques liés à l’opération tant dans le présent que dans le futur. Les dépendances sont soit automatiquement analysées pour les vulnérabilités de sécurité, soit révisées tous les trimestres. Nous veillons également à maintenir nos serveurs à jour avec les derniers correctifs de sécurité disponibles.

Les serveurs #NotMe sont avec AWS et sont situés à la fois en Europe et aux États-Unis.

Surveillance, journalisation et suivi des bogues

#NotMe a mis en place différents processus pour surveiller et assurer une bonne journalisation de son infrastructure. Tout accès aux systèmes de production, l’utilisation de commandes privilégiées et plus encore sont horodatés et enregistrés. Les journaux sont analysés pour détecter toute violation ou problème potentiel. Cette analyse nous alertera des bogues ou des accès non autorisés à nos serveurs et n’est accessible qu’aux employés désignés.

Conservation, élimination et sauvegarde des données

#NotMe s’assure de supprimer définitivement sous 14 jours toutes les informations relatives à un employé si celui-ci le demande. La suppression des données peut être demandée via l’application #NotMe ou par e-mail à [email protected].

Les plates-formes d’hébergement cloud sont chargées d’effacer en toute sécurité les données des disques avant de les fournir à d’autres clients. #NotMe s’assure d’effacer toutes les données sensibles et de suivre les procédures de la plate-forme lors de la suppression d’un volume de disque de l’infrastructure.

Reprise après sinistre Problème d’infrastructure

NotMe a profité des services fournis par sa plateforme d’hébergement cloud pour s’assurer que les serveurs de production fonctionnent toujours en cas de problème avec l’un des serveurs. Les procédures de secours sont prêtes pour les problèmes avec n’importe quelle partie du réseau de production (serveur, base de données, travailleurs, etc.). Notre processus de déploiement facilite et accélère le remplacement de n’importe quelle partie de notre infrastructure.

Toutes les transactions de production sont répliquées entre tous les serveurs #NotMe dans le même emplacement géographique, ce qui nous permet de minimiser les temps d’arrêt et la perte de données en cas d’incident.

Tous les serveurs de production sont sauvegardés au moins une fois par jour dans un emplacement distant. Ces sauvegardes sont régulièrement testées pour s’assurer qu’elles peuvent être restaurées.

Réponse aux incidents de sécurité

#NotMe a créé des procédures de réponse spécifiques aux menaces et/ou incidents potentiels. Ceux-ci expliquent comment gérer les événements qui pourraient se produire et les étapes à suivre. En cas d’incident de données, nous veillons à informer les utilisateurs concernés par e-mail.

Si vous avez des questions ou des préoccupations concernant la sécurité et/ou la politique de confidentialité de #NotMe, veuillez nous contacter via notre formulaire de contact ou par e-mail à [email protected].

Demander une démo

Demander une démo