FOIRE AUX QUESTIONS sur la sécurité

Nous stockons uniquement vos données et sauvegardes dans nos centres de données canadiens hautement sécurisés, et nous respectons toutes les réglementations de confidentialité nécessaires ainsi que les exigences de sécurité strictes. Maintenant, vous n'avez plus à vous soucier de Safe Harbor, Privacy Shield ou d'autres lois sur la vie privée.

L'accès à vos données est limité à un petit nombre d'employés afin de vous fournir une assistance technique. Cet accès est revu périodiquement et les actions effectuées sur les données sont journalisées.

Chez Dexero, nous prenons des mesures pour assurer la sécurité de vos données client en chiffrant les données en transit et au repos. Les données stockées sur nos serveurs sont protégées par le chiffrement de niveau industriel AES-256, tandis que toutes les données en transit sur les réseaux publics sont chiffrées à l'aide de Transport Layer Security (TLS) 1.2/1.3 avec Perfect Forward Secrecy (PFS) pour garantir qu'elles ne soient pas divulguées ou modifiées sans autorisation. Si vous souhaitez en savoir plus sur notre approche du chiffrement, n'hésitez pas à nous contacter.

Nous gérons les clés de chiffrement en utilisant notre propre service interne de gestion des clés (KMS). À l'heure actuelle, nous ne permettons pas aux clients de télécharger leurs propres clés.

Les mots de passe que vous utilisez pour accéder aux services de Dexero sont stockés de manière sécurisée à l'aide d'un schéma de chiffrement irréversible. Nous utilisons l'algorithme de hachage bcrypt avec salage unique par utilisateur, ce qui rend très difficile pour les personnes malveillantes de décrypter les mots de passe, même si notre base de données de connexions était compromise.

Notre système distribue et maintient l'espace cloud pour nos clients. Les données de plusieurs clients sont logiquement séparées les unes des autres et notre cadre garantit qu'aucune donnée de service client ne devient accessible à un autre client.

Nous utilisons un IDS, ou Système de Détection d'Intrusion, pour protéger notre système informatique contre les attaques malveillantes. Un IDS surveille en temps réel le trafic réseau et les activités des utilisateurs pour détecter les comportements suspects ou les tentatives d'intrusion.
Lorsqu'un comportement anormal est détecté, l'IDS envoie une alerte aux administrateurs du système pour qu'ils puissent prendre des mesures immédiates pour contrer l'attaque. L'IDS peut également être configurée pour bloquer automatiquement les activités suspectes ou les adresses IP qui sont identifiées comme étant dangereuses.

En utilisant un IDS, nous pouvons assurer que notre système est protégé contre les attaques de pirates informatiques et autres menaces. Nous pouvons également identifier les faiblesses dans notre système et les corriger avant qu'elles ne soient exploitées par des personnes malveillantes.
L'utilisation d'un IDS est une pratique de sécurité essentielle pour tout système informatique moderne. En surveillant de manière proactive notre réseau et nos systèmes, nous pouvons garantir que notre entreprise est mieux protégée contre les attaques potentielles et les violations de données.

Nous utilisons des technologies de fournisseurs de services bien établis et dignes de confiance, qui offrent de multiples capacités d'atténuation DDoS pour éviter les perturbations causées par de telles attaques.

Oui, nous effectuons régulièrement des tests d'intrusion automatisés et manuels. Nous utilisons une combinaison d'outils de gestion des risques liés à la sécurité et la conformité tierces certifiés et d'outils internes pour la vérification du code et des dépendances. Nous engageons des agences externes réputées pour effectuer cette vérification exhaustive des applications.

Si vous découvrez une vulnérabilité dans l'un de nos produits, vous pouvez nous en informer afin que nous puissions y remédier dans les plus brefs délais. Nous avons également une politique de divulgation responsable . Veuillez trouver plus de détails sur https://dexero.com/bug-reporting/

Nous avons une équipe de réponse aux incidents dédiée qui est responsable des activités de détection, d'évaluation, de criminalistique, de confinement et de récupération des incidents. Dans les cas où nous sommes responsables du traitement des données et qu'un incident entraîne une violation de données, les clients concernés seront informés dans les 72 heures après en avoir pris connaissance.

En cas d'incident de confidentialité, nous tenons un registre tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées. (Loi 25 du Gouvernement du Québec)

Dans les cas où nous sommes des sous-traitants de données et qu'un incident entraîne une violation de données, les contrôleurs respectifs en seront informés sans retard injustifié.

Pour les incidents généraux, nous informerons les utilisateurs via nos blogues, forums et réseaux sociaux. Pour les incidents spécifiques à un utilisateur individuel ou à une organisation, nous informerons la partie concernée par courriel (en utilisant son adresse courriel principale). Le rapport complet sera fourni aux clients sur demande dans un délai de 5 à 7 jours ouvrables.

Nous notifions les incidents qui vous concernent, ainsi que les actions appropriées que vous devrez peut-être prendre. Nous suivons et clôturons les incidents avec des actions correctives appropriées. Le cas échéant, nous vous fournissons les preuves nécessaires concernant les incidents qui vous concernent. Une analyse des causes profondes sera fournie sur demande.

Tous les produits Dexero (c'est-à-dire Dexero FD, Dexero eCommerce) sont conformes à la norme PCI DSS. Le service de paiement que les clients utilisent pour acheter des abonnements à Dexero est également conforme à la norme PCI.

Les autres services Dexero ne transmettent ni ne stockent jamais les détails de votre carte de crédit.

Fonctions de sécurité supplémentaires pouvant être utilisées par les clients :

* Authentification multifacteur
* Politique de mot de passe configurable
* Restrictions IP
* Contrôle d'accès basé sur les rôles
* Cryptage pour les champs personnalisés
* Audit de l'activité du compte

Nous conservons les données de votre compte tant que vous choisissez d'utiliser les services Dexero. Une fois que vous avez résilié votre compte utilisateur Dexero, vos données seront éventuellement supprimées de la base de données active lors du prochain nettoyage qui aura lieu une fois tous les 6 mois. Les données supprimées de la base de données active seront supprimées des sauvegardes après 3 mois.

Nous avons un plan de continuité des activités pour nos principales opérations telles que le support et la gestion de l'infrastructure. Pour la redondance, les données du centre de données principal (DC) sont répliquées dans le secondaire. En cas de panne du DC primaire, le DC secondaire prend le relais et les opérations se déroulent sans problème avec un minimum ou pas de perte de temps.

Nous effectuons des sauvegardes complètes une fois par semaine et des sauvegardes incrémentielles tous les jours. Les données de sauvegarde dans un DC sont stockées au même emplacement et cryptées au repos que les données d'origine. De plus, nous restaurons et validons les sauvegardes chaque semaine. Une durée de conservation de 3 mois est applicable pour toutes les données sauvegardées. En cas de demande d'un client spécifique, nous restaurerons ses données à partir de la sauvegarde et les mettrons à sa disposition.

Nous utilisons des contrôles d'accès techniques et des politiques internes pour interdire aux employés d'accéder arbitrairement aux données des utilisateurs. Nous adhérons aux principes du moindre privilège et des autorisations basées sur les rôles afin de minimiser le risque d'exposition des données. L'accès aux environnements de production est facilité par un réseau séparé avec des règles plus strictes et des dispositifs renforcés. Le contrôle d'accès est maintenu par un répertoire central et authentifié à l'aide d'une combinaison de mots de passe forts, d'une authentification à deux facteurs et de clés SSH protégées par une phrase de passe.

Notre engagement SLA de disponibilité est de 99,9 % de disponibilité mensuelle. Nous avons mis en place des redondances à différents niveaux en partant de l'infrastructure jusqu'au FAI pour y parvenir. Les données du centre de données principal sont répliquées dans le centre de données secondaire et une version en lecture seule des applications Dexero est toujours servie à partir du centre de données secondaire.

Nous avons une politique et une procédure d'évaluation des risques pour identifier, analyser et atténuer les risques en mettant en œuvre des contrôles appropriés. Nous effectuons une évaluation des risques pour chaque changement majeur qui se produit dans notre environnement. Les risques globaux sont revus et mis à jour une fois par an.

Chaque employé est soumis à un processus de vérification des antécédents. Nous engageons des agences externes réputées pour effectuer cette vérification en notre nom. Nous faisons cela pour vérifier leurs casiers judiciaires, leurs antécédents professionnels, le cas échéant, et leurs antécédents scolaires. Tant que ce contrôle n'est pas effectué, l'employé ne se voit pas attribuer de tâches pouvant présenter des risques pour les utilisateurs.

Nous accordons toujours la plus grande importance à la confidentialité des clients. Lorsque nous recevons des demandes des autorités chargées de l'application de la loi, nous examinons ces demandes pour voir si le processus légal applicable est suivi pour obtenir une ordonnance valide et contraignante. Nous nous opposons aux demandes excessives ou autrement inappropriées. Sauf si la loi l'interdit, nous informons les clients avant de divulguer les données des clients afin que les clients puissent demander une protection contre la divulgation.

Nous sommes fiers de dire que nous sommes en conformité avec la loi 25 du Québec. Cette loi, également connue sous le nom de "Loi sur la protection des renseignements personnels dans le secteur privé", a été adoptée pour protéger les droits des citoyens québécois en ce qui concerne la collecte, l'utilisation et la divulgation de leurs renseignements personnels.

En tant qu'entreprise, nous avons mis en place des politiques et des procédures rigoureuses pour assurer la protection des renseignements personnels de nos clients et de nos employés. Nous avons nommé un responsable de la protection des renseignements personnels et nous avons formé tout notre personnel à la confidentialité et à la sécurité de l'information.

Nous collectons uniquement les renseignements personnels nécessaires à la prestation de nos services et nous les utilisons uniquement aux fins pour lesquelles ils ont été recueillis. Nous avons également mis en place des mesures de sécurité appropriées pour protéger ces renseignements contre tout accès non autorisé, toute divulgation ou toute utilisation abusive.

Nous sommes heureux de dire que nous sommes en conformité avec la loi 25 du Québec et que nous prenons très au sérieux notre responsabilité de protéger les renseignements personnels de nos clients et de nos employés. Nous continuerons à surveiller notre conformité à la loi et à travailler pour maintenir les normes les plus élevées de protection des renseignements personnels.