Sécurité

Sécurité de l'information

Chez gtechna, la sécurité est une priorité absolue. Non seulement nous respectons les normes de l'industrie pour les entreprises, mais nous cherchons à les améliorer et à les surpasser autant que possible avec chaque produit, afin d'offrir à nos clients – et à leurs utilisateurs – le confort de travailler avec un partenaire qui prend la sécurité au sérieux.

À ce titre, nous veillons à ce que chaque employé comprenne et respecte les normes de sécurité auxquelles le secteur et les entreprises sont tenus, et nous utilisons certains des meilleurs outils disponibles pour garantir et faire respecter la conformité à l’interne.

Bien que nous soyons convaincus que le maintien de la sécurité est la responsabilité de tous, notre programme est dirigé par notre Directeur de la sécurité informatique.

Conformité

En tant qu'entreprise fortement axée sur la sécurité, nous respectons et dépassons souvent de nombreuses normes industrielles, y compris la conformité - c'est pourquoi nous sommes certifiés SOC2 Type I et SOC2 Type II. Pour accéder à notre rapport de conformité SOC2, cliquez ici.

Conformité à la norme PCI

Nos processeurs de paiement sont conformes à 100 % à la norme PCI, ce qui garantit que les données des cartes des utilisateurs sont traitées avec le plus grand soin et en toute sécurité. Les caractéristiques de notre passerelle de paiement :

  • Un cryptage point à point
  • La tokenisation (pour éviter de stocker les données des titulaires de cartes).
  • Plusieurs niveaux de sécurité, notamment :
    • Une chambre forte pour les cartes de crédit
    • Les pare-feux
    • Le protocole SSL
    • Des analyses de sécurité et de vulnérabilité
    • et plus encore!

Notre processeur de paiement, Card Connect, est un fournisseur de services certifié de niveau 1. gtechna n'a jamais accès aux données brutes de paiement. gtechna est certifié pour la norme PCI DSS. Afin d’accéder à notre rapport de certification, cliquez ici. ici.

Sécurité à l’interne

Vérification d'identité, authentification et gestion d’accès

Dans le but d’assurer une sécurité maximale pour l'utilisateur, voici les mesures que nous déployons :

Identification et authentification des utilisateurs

  • Utilisation de l'authentification multifactorielle pour réduire le risque de compromission des identifiants
  • Application des politiques de mots de passe forts
  • Longueur minimale obligatoire du mot de passe
  • Inclusion minimale de caractères spéciaux
  • Historique des mots de passe : définition de la fréquence à laquelle un ancien mot de passe peut être réutilisé
  • Durée de mots de passe de 30 à 60 jours

Attribution des droits d'accès aux utilisateurs

  • Fournir un contrôle d'accès basé sur les rôles

Création et application des politiques d'accès aux ressources

  • Association des politiques de ressources uniques à chaque ressource du système

Sécurité du matériel informatique

Tous les ordinateurs de nos employés sont entièrement gérés et possèdent des disques durs cryptés qui sont surveillés à l'aide d'un logiciel de détection et de réponse aux points d'extrémité afin de garantir la sécurité.

Sécurité physique

Notre bureau est sécurisé par des portes accessibles à l’aide de porte-clés afin de restreindre de manière appropriée l'accès aux locaux. Toutes les entrées et les sorties extérieures sont activement surveillées et filmées par un système de caméras en circuit fermé (CCTV), et le bureau est en outre surveillé et protégé par un système d'alarme complet.

Ellipse turquoise
Ellipse solide turquoise

Protocoles de sécurité réseau multicouche

Pare-feux à différents niveaux pour sécuriser l'accès aux réseaux et aux ressources privés, notamment entre :

  • Internet et le serveur d'applications
  • Le serveur d'applications et le serveur de base de données
  • Le serveur d'applications et le serveur de fichiers
  • Le serveur de fichiers et d'autres pare-feux auxiliaires (c'est-à-dire les serveurs de sauvegarde, etc.)

Fonctions de sécurité du pare-feu :

  • Atténuation des attaques DDoS
  • Liste blanche d'IP pour limiter l'accès au réseau par IP

En outre, l’accès aux ports entrants et sortants est maintenu au strict minimum pour réduire les risques.

Groupe de sphères rectangulaires

Surveillance - Analyses de vulnérabilité

  • Notifications de base pour les registres de sécurité et les messages système
  • Tests de pénétration de routine sur l'infrastructure en nuage et les composants tiers
  • Analyses de vulnérabilité personnalisées avec notifications
  • Tests de sécurité de certification PCI par des tiers pour les transactions financières
  • Contrôle de routine par des agents de sécurité

Éducation à la sécurité

Afin de s'assurer que chaque membre de l'équipe comprenne et joue un rôle permanent en matière de sécurité, nous proposons une formation continue à la sécurité et à la cybersécurité tout au long de l'année. Chaque nouvel employé embauché est tenu de participer à une session d'introduction à la sécurité au cours du premier mois de son arrivée dans notre équipe, afin d'apprendre à identifier les menaces potentielles et à réagir en conséquence.

Données et confidentialité des clients

Tout comme notre approche de la sécurité, nous prenons au sérieux les données et la confidentialité de nos clients et les traitons avec le plus grand soin. C'est pourquoi nous adhérons à des Addendas de protection des données (APD) solides et complets avec nos partenaires de gestion des données afin de garantir que les données de nos clients soient correctement protégées. 

Cliquez ici pour accéder à l’ADP pour Microsoft Dynamics.

Cliquez ici pour accéder à l’ADP pour HubSpot.

gtechna est principalement hébergé sur AWS, donnant accès à leurs clients à des avantages importants, notamment la sécurité physique, la redondance, l’évolutivité et la gestion des clés.

En plus des avantages fournis par AWS, notre logiciel comporte des fonctionnalités de sécurité intégrées supplémentaires, notamment :

  • L’authentification à deux facteurs
  • Identification unique
  • Permissions basées sur les rôles
  • Certificat SSL
  • Sauvegardes et gestion des versions
  • Protection des données et de la confidentialité des clients
  • Le serveur contient le nombre minimal d'applications et de logiciels tiers
  • Le système d'exploitation et l'application sont continuellement mis à jour avec les derniers correctifs de sécurité et ensembles de modifications provisoires
  • Les applications Web sont conformes aux normes de sécurité qui respectent les pratiques de sécurité suggérées par l'OWASP concernant :
    • L'injection SQL
    • Les scripts intersites (XSS)
    • La falsification de requêtes intersites (CSRF)
Consultez notre profil de sécurité, nos politiques et nos procédures.

Sécurité des applications et des plateformes de gtechna

Cryptage des données

  • Cryptage des données AES-256 conforme aux normes industrielles appliquées au stockage sous-jacent pour les données opérationnelles, les sauvegardes automatisées et les répliques en lecture
  • Cryptage SSL/TLS utilisé pour les données en transit entre les applications et les instances de base de données
  • Tout accès aux applications est crypté et sécurisé avec HTTPS en utilisant TLS 1.2
  • HTTPS utilisé sur le port 443 qui s'ouvre à partir d’un équilibreur de charge pour être ensuite transmis en interne au serveur d'applications
Illustration du cryptage des données

Infrastructure / serveurs

  • Hautes performances grâce aux plus récents ensembles de modifications provisoires et correctifs de sécurité appliqués et contrôlés par des vérificateurs de système à jour
  • Configuration de l'hôte renforcée contre les vulnérabilités, par exemple en déployant des systèmes d'exploitation renforcés, en exécutant un ensemble de services minimaux basés sur des images de version sécurisées
  • Mots de passe pour chaque compte appliqués et régis par des politiques de sécurité et de mots de passe stricts avec les mesures de sécurité les plus élevées
Ellipse turquoise

Sauvegardes et archives

  • Serveurs et bases de données sauvegardés tous les jours
  • Sauvegardes déplacées vers un autre centre de données sécurisé pour garantir la sécurité
  • Sauvegardes cryptées à l'aide du cryptage AES standard de l'industrie
  • Sauvegardes disponibles sur demande
  • Services redondants avec une haute disponibilité
  • En cas de reprise après sinistre ou de tout autre cas où une sauvegarde est nécessaire, des mesures sont en place pour une restauration dans un délai minimal
Groupe de sphères rectangulaires

Accès aux données

L'accès aux données client est limité aux personnes dont le rôle nécessite l'accès aux données pour l'exécution de leurs tâches, comme les équipes d’assistance et de développement.

Petite sphère en turquoise solide

Rétention et suppression des données

À tout moment pendant la durée du contrat de service d'un client, ce dernier peut accéder à ses données client, les extraire et les supprimer, les stocker sur nos serveurs comme bon lui semble. gtechna conservera par ailleurs les données client qui restent stockées sur ses serveurs pendant 90 jours après l'expiration ou la résiliation d'un contrat afin que les clients puissent encore extraire les données nécessaires. À la fin de la période de conservation de 90 jours, gtechna désactivera le compte du client et supprimera toutes les données client et les données personnelles stockées sur ses serveurs dans un délai supplémentaire de 90 jours, à moins d'avoir été dûment autorisée par un APD à conserver ces données. Lorsqu’un compte est supprimé, toutes les données qui lui sont associées sont retirées du système de façon irréversible.

En ce qui concerne les données personnelles liées aux services de gtechna, gtechna supprimera toutes les copies quand les objectifs commerciaux pour lesquels ces données ont été recueillies auront été atteints ou plus tôt à la demande du client, à moins d'avoir été dûment autorisée par un APD à conserver ces données.

Les services de gtechna peuvent ne pas prendre en charge la conservation ou l'extraction de logiciels fournis par le client. gtechna n'est pas responsable de la suppression des données client, des données sur les services ou des données personnelles mentionnées dans la présente section.

gtechna peut faire appel à des sous-traitants pour fournir un soutien applicatif et/ou des services limités ou auxiliaires en son nom. Lorsqu'il s'engage auprès de gtechna, l'utilisateur donne également son consentement aux sous-traitants, qui devront adhérer aux mêmes normes que gtechna en matière de confidentialité et de sécurité des données. À ce titre, gtechna est responsable de la conformité de ses sous-traitants aux obligations de gtechna en vertu du présent APD.

Lorsqu'elle engage un sous-traitant, gtechna doit obtenir un contrat écrit qui décrit en détail l'accès et l'utilisation des données client, des données sur les services professionnels ou des données personnelles conformément aux services de gtechna pour lesquels il a été retenu, et il lui est autrement interdit d'utiliser ces données à d'autres fins. gtechna accepte de superviser les sous-traitants pour s'assurer du respect de ces obligations contractuelles. Si un client a des préoccupations au sujet d'un sous-traitant potentiel ou actuel, il est encouragé à communiquer avec notre équipe afin de les exprimer et pour trouver une solution mutuellement acceptable.

Sous-traitants tiers

Test de pénétration

Afin d'assurer la sécurité de façon régulière, gtechna fait faire des tests de pénétration par des tiers au moins une fois par an, mais souvent plus, et utilise un accès basé sur les permissions pour consulter les rapports de tests de pénétration. En outre, nous utilisons également des outils d’analyse pour surveiller et détecter les vulnérabilités. Il est contraire aux conditions de service de gtechna de sonder, de scanner ou de tester la vulnérabilité des services fournis ou de tout système ou réseau connecté à ces services.

Évaluation des risques liés aux tiers

Chez gtechna, nous savons à quel point le processus d'évaluation des risques des fournisseurs tiers est important pour offrir des services de sécurité qui répondent à nos normes en matière de cybersécurité, de TI, de confidentialité, de sécurité des données et de résilience des entreprises. C'est pourquoi nos partenaires sont régulièrement soumis à des tests, à des questionnaires et à des processus de certification afin de s'assurer que ces normes soient respectées et unifiées pour que nos clients et leurs utilisateurs finaux obtiennent la confidentialité et la protection qu'ils méritent.

Divulgation responsable

Si vous croyez avoir découvert une vulnérabilité dans les applications de gtechna, que votre compte a été compromis ou si vous constatez une activité suspecte, veuillez nous soumettre un rapport par soumettre un rapport .  gtechna ne participe pas aux programmes de primes aux bogues et n'offre pas de récompenses pécuniaires pour ces découvertes.

Rencontrez votre autorité en matière de sécurité, Emilio Laloshi.

Grâce à son expérience approfondie de la prévention du piratage et de l'élaboration de mesures de sécurité, Emilio aidera votre organisation à se doter d'une sécurité actualisée.

Lire les questions et réponses avec Emilio

Accès aux documents de sécurité

En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser son utilisation et de contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.