fr French
English French Deutsch Português Español Русский
S’inscrire
Inscription
fr French
English French Deutsch Português Español Русский
S’inscrire
Inscription

Mesures techniques et organisationnelles

Ce document décrit les mesures et les contrôles de sécurité techniques et organisationnels mis en œuvre par DEVAR pour protéger les données que les clients nous confient dans le cadre des services offerts par DEVAR.

  • Le «développeur» est une personne disposant d’un compte DEVAR et est considéré comme un contrôleur de données conformément au GDPR, sauf indication contraire.
  • «Données du développeur» : toute information fournie ou soumise par le développeur et traitée par DEVAR.
  • «Utilisateur final» : personne qui consulte une application ou une page web créée par le développeur, qui peut ou non être hébergée sur la plateforme DEVAR.
  • «Données de l’utilisateur final» : toute information fournie ou soumise par l’utilisateur final et traitée par DEVAR.
  • «Données personnelles» : toute information relative à une personne physique identifiée ou identifiable.
  • «Personnel» : les employés de DEVAR, les consultants et les sous-traitants autorisés.
  • «Cryptage fort» : utilisation de mesures de cryptage conformes aux normes de l’industrie.
  • «DEVAR» : DEVAR Inc. dont le siège social se trouve à Marlton, New Jersey, États-Unis.
ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION
  • DEVAR emploie des ingénieurs à plein temps chargés de la sécurité de l’information.
  • Tous les membres du personnel responsables de la sécurité de l’information rendent compte directement au directeur de l’ingénierie ou au président-directeur général.
  • Tous les membres du personnel ont signé des accords de confidentialité révisés par la loi.
  • Tous les membres du personnel reçoivent une formation sur la confidentialité des données et la sécurité de l’information au moment de leur embauche.

Accès physique

  • La plateforme DEVAR est exploitée par plusieurs fournisseurs principaux de services en nuage qui fonctionnent à l’intérieur de centres de données de production tiers certifiés, dotés d’un périmètre physique protégé, de contrôles physiques rigoureux, d’un contrôle d’accès électronique, d’un personnel de sécurité humain, d’une surveillance vidéo et de systèmes de détection d’intrusion électroniques.
  • Les câbles d’alimentation et de télécommunication transportant les données des développeurs et les données des utilisateurs finaux ou soutenant les services d’information dans les centres de données de production sont protégés contre l’interception, l’interférence et les dommages.
  • Les centres de production et leurs équipements sont protégés physiquement contre les catastrophes naturelles, les entrées non autorisées, les attaques malveillantes et les accidents.
  • L’équipement du centre de données de production est protégé contre les pannes de courant et autres perturbations causées par des défaillances des services d’utilité publique et est entretenu de manière appropriée.
  • L’accès physique au siège de DEVAR est contrôlé 24 heures sur 24 par des badges d’accès sécurisés, des systèmes électroniques de détection d’intrusion et la vidéosurveillance.
ACCÈS AUX SYSTÈMES
  • L’accès aux systèmes de DEVAR n’est accordé qu’au personnel et il est strictement limité à ce qui est nécessaire pour que ces personnes puissent remplir leur fonction.
  • DEVAR a adopté une politique en matière de mots de passe qui interdit le partage des mots de passe et exige que les mots de passe soient changés régulièrement. Tous les mots de passe doivent répondre à des exigences minimales de complexité et sont stockés sous forme cryptée.
  • L’accès aux systèmes contenant les données du développeur et les données de l’utilisateur final nécessite une authentification à deux facteurs et/ou une fédération de comptes via des normes ouvertes (OAuth2, SAML 2.0, ou similaires) à partir d’un service d’identité tiers certifié avec une authentification à deux facteurs.
  • Toutes les communications avec les systèmes contenant des données du développeur et des données de l’utilisateur final nécessitent l’utilisation d’un cryptage fort via des protocoles tels que HTTPS, SSL/TLS et similaires.
  • L’accès aux données du développeur et aux données de l’utilisateur final prend fin lorsque le personnel quitte l’entreprise.
  • L’accès du personnel aux services en nuage contenant les données du développeur et de l’utilisateur final est enregistré et surveillé.
ACCÈS AUX DONNÉES
  • DEVAR limite l’accès du personnel aux données du développeur et de l’utilisateur final selon le principe du « besoin de savoir ».
  • Chaque accès et les opérations qui en découlent sont enregistrés et contrôlés.
  • La formation du personnel couvre les droits d’accès et les directives générales sur la définition et l’utilisation des données du développeur et des données de l’utilisateur final.
CONTRÔLES DE DISPONIBILITÉ
  • Le code source et les données de configuration sont continuellement sauvegardés auprès d’un fournisseur de premier plan de contrôle des sources en nuage.
  • Les bases de données et le code compilé font l’objet de sauvegardes automatisées régulières.
CONTRÔLES DE LA SÉPARATION DES TÂCHES
  • Les environnements à plusieurs niveaux séparent les serveurs de développement, de mise à l’essai et de production en systèmes isolés.
  • Le développement actif s’effectue sur des bases de données de test dans l’environnement de développement, qui sont isolées des données réelles du développeur et des données de l’utilisateur final.
  • L’environnement d’essai permet au personnel DEVAR de tester et de détecter les erreurs dans les nouvelles versions du logiciel avant qu’elles ne soient diffusées dans l’environnement de production.
Imprimer cette page