DERNIÈRE MISE À JOUR : 7 mars 2023
Comprendre la responsabilité partagée avec Dexero
Dexero prend la responsabilité de créer des produits sûrs, fiables et robustes. Pendant que nous maintenons l’infrastructure cloud, vous êtes responsable de la sécurisation de vos données et des paramètres que vous configurez dans les applications Dexero.
Lorsque vous utilisez Dexero, la sécurité et la confidentialité des données sont une responsabilité partagée entre vous et nous. Voici un modèle qui décrit l’architecture de haut niveau de notre environnement cloud, qui est un logiciel en tant que service (SaaS), et les responsabilités associées.
Responsabilité du client
- Responsabilité des données
- Mots de passe
- Sécurité des clients et des terminaux
Responsabilité partagée
- Gestion des identités et des accès
- Gestion de données
- Gestion des données à d’autres parties
- Chiffrement
- Sauvegardes
- La gestion des incidents
- Sensibilisation et formation
- Politique et conformité
Responsabilité de Dexero
- Sécurité des données
- Disponibilité
- Continuité de l’activité
- Contrôles de réseau
- Infrastructure hôte
- Sécurité physique
Nous avons mis au point ce guide pour vous aider à comprendre les mesures prises par Dexero pour assurer la sécurité de votre compte, ce que vous pouvez faire pour sécuriser vos données et comment nous pouvons travailler ensemble en vue de garantir la sécurité de l’environnement cloud.
Responsabilité du client
Examinons votre rôle dans la protection de vos données dans le cloud et la sécurité de vos appareils.
Responsabilité en matière de données
En tant qu’utilisateur, vous êtes responsable des éléments suivants :
- Les données que vous partagez et recevez via le cloud. Vous choisissez avec qui vous les partagez, comment elles sont partagées et pour combien de temps.
- Vous êtes responsable de la confidentialité des données que vous gérez à l’aide des services de Dexero. Vous devez vous assurer que vous ne mettez pas accidentellement ou intentionnellement à disposition du public des contenus privés.
- Vous devez garantir l’exactitude des données que vous traitez dans votre système.
- Pour garantir que les services de Dexero ne sont utilisés que conformément à leur objectif, vous devez vous assurer que votre compte de service de Dexero n’est pas utilisé illégalement ou à des fins de spamming, que ce soit par vous ou par une tierce personne agissant en votre nom.
Mots de passe
La responsabilité vous incombe de créer un mot de passe robuste et de le protéger lors de son utilisation pour vous connecter et accéder au cloud.
Sécurité des clients et des points d’accès
- Si l’un de vos points d’accès, tels que votre ordinateur portable, ordinateur de bureau ou smartphone, est compromis, tous les autres contrôles de sécurité seront inefficaces.
- En tant que responsable de la sécurité de vos points d’accès, vous devez vous assurer que les services de votre navigateur, votre système d’exploitation mobile et vos applications mobiles sont régulièrement mis à jour vers la dernière version. Vous devez également appliquer les correctifs nécessaires pour remédier aux vulnérabilités.
Responsabilité partagée
Responsabilité du contrôle qui s’appliquera à vous comme à Dexero
Gestion des identités et de l’accès
Nous mettons à disposition une infrastructure pour gérer les comptes utilisateurs grâce à notre service de gestion des identités et des accès (IAM). Nous offrons les fonctionnalités suivantes :
- Inscription des utilisateurs, options de désinscription et spécifications d’utilisation.
- Possibilité de gérer les droits d’accès des utilisateurs à votre cloud.
- Techniques d’authentification renforcées, telles que l’authentification multifacteur et la restriction d’adresses IP.
Vous êtes responsable des points suivants :
- Appliquer des contrôles renforcés pour la gestion des accès utilisateur.
- Configuration de mots de passe robustes conformément à la politique de sécurité de l’organisation et protection de ces mots de passe.
- Activation de l’authentification multifacteur pour les utilisateurs de votre organisation.
- Administration des comptes et des privilèges d’utilisateur : configuration de rôles utilisateurs conformément au principe du moindre privilège.
- Définition des administrateurs du compte de l’organisation et adoption d’un processus approprié pour les transferts de propriété. Nous prenons également des mesures pour nous assurer que votre organisation conserve le contrôle des comptes d’administrateur.
- Vérification périodique de la liste des utilisateurs ayant accès aux données et suppression de l’accès pour toute personne qui ne devrait pas y avoir accès.
- Examen régulier des appareils liés aux comptes d’utilisateur de l’organisation et suppression des appareils inutilisés ou non autorisés.
- Surveillance des comptes d’utilisateur de votre organisation pour détecter tout usage ou accès malveillant.
- Notification à Dexero en cas d’utilisation non autorisée des comptes de votre organisation.
- Sensibilisation de vos utilisateurs à la gestion efficace de leur mot de passe, aux risques de réutilisation des identifiants, aux connexions sociales et aux attaques de phishing.
Gestion des données
Nous vous proposons une plateforme pour gérer vos données grâce aux fonctions suivantes :
- Les fonctionnalités de partage de données sont disponibles pour les administrateurs et les utilisateurs, avec des fonctionnalités d’audit pour assurer la transparence des activités importantes et le suivi des changements concernant les données clients.
- Notre service offre également une interopérabilité des données, ce qui signifie que vous pouvez effectuer une sauvegarde complète des données et configurations pour les migrer vers un autre fournisseur SaaS.
- Nous conservons vos données dans votre compte aussi longtemps que vous utilisez les services de Dexero, et lorsque vous résiliez votre compte utilisateur, vos données sont supprimées de la base de données active lors du prochain nettoyage (effectué tous les six mois).
- Toutes les données supprimées de la base de données active sont également supprimées des sauvegardes au bout de trois mois.
- Pour garantir la confidentialité des données clients, notre service propose des fonctionnalités de limitation de l’accès pour empêcher les employés d’accéder aux données clients, sauf en cas de raison spécifique.
Vous êtes responsable des points suivants :
- Lors du traitement d’informations appartenant à des catégories spéciales, telles que les données personnelles/sensibles, il est important de faire preuve de diligence raisonnable en appliquant les contrôles appropriés pour se conformer aux exigences de la loi applicable.
- Il est également essentiel de configurer correctement les autorisations de partage et d’affichage et de procéder à un examen régulier des rapports d’audit pour identifier toute activité suspecte.
- Nous vous recommandons également de maintenir vos informations de contact à jour auprès de Dexero. Si vous décidez de ne plus utiliser nos services, il est important de retirer vos données du système. Dans le cas contraire, ces données seront supprimées de manière permanente sans aucune possibilité de récupération.
Gestion des données à d’autres parties
Nous nous efforcerons de mettre en place des intégrations et extensions sécurisées pour nos applications, en procédant comme suit :
- Modules d’extension : réalisation de tests fonctionnels, de sécurité et de confidentialité lorsqu’une application nous est soumise. Nous passons également en revue le contenu.
- Sous-processeurs : En ce qui concerne les sous-processeurs indirects auxquels nous faisons appel, la société Dexero évalue leurs pratiques de sécurité et de confidentialité pour s’assurer qu’elles sont conformes aux normes de Dexero en matière de confidentialité et de sécurité des informations.
Nous établissons ensuite des accords de protection des données appropriés avec ces sous-processeurs.
- Nous examinons également la politique de confidentialité et les conditions d’utilisation de service de nos fournisseurs pour nous assurer que leurs opérations respectent nos normes.
Voici ce que nous attendons de vous :
- Vous avez la possibilité d’activer ou de désactiver les intégrations tierces. Il est recommandé d’étudier la politique de confidentialité et les conditions d’utilisation de service des tiers pour comprendre comment ils collectent, utilisent ou divulguent les données.
- Il est important d’évaluer la pertinence des modules d’extension et de vérifier si les autorisations demandées avant l’installation sont raisonnables.
- En cas de comportement malveillant identifié dans les modules d’extension , nous vous recommandons d’informer Dexero.
Droits des titulaires des données
Nous sommes responsables des points suivants :
- Nous offrons à nos clients des fonctionnalités pour leur permettre de satisfaire et de protéger les droits de leurs propres clients.
- Nous vous informerons des demandes de vos clients lorsque ceux-ci nous contactent directement pour exercer leurs droits.
Il est de votre responsabilité de :
- Respecter et à traiter les demandes de nos clients concernant l’accès à leurs données, la rectification ou la suppression de ces dernières, ainsi que les restrictions relatives au traitement de leurs informations personnelles.
Chiffrement des données
Nous utilisons des mesures de sécurité pour protéger vos données, telles que le chiffrement en transit et au repos.
- Pour les données en transit, nous utilisons des protocoles de chiffrement puissants, tels que TLS 1.2/1.3 avec des chiffres forts, pour toutes les connexions, y compris l’accès Web, l’accès aux API, nos applications mobiles et l’accès IMAP/POP/SMTP.
- Quant aux données sensibles stockées, elles sont chiffrées au repos avec l’algorithme AES (Advanced Encryption Standard) de 256 bits. La sélection des données qui sont chiffrées dépend du service que vous avez choisi. Nous gérons les clés de chiffrement à l’aide de notre propre service de gestion des clés (KMS) interne.
De votre côté, il est recommandé :
- Lorsque des données sont téléchargées ou exportées de notre cloud vers votre environnement ou lorsqu’elles sont synchronisées avec des intégrations tierces telles que Dexero, vous devez vous assurer que les contrôles de chiffrement appropriés sont appliqués. Il est recommandé d’activer le chiffrement de disque sur vos appareils et d’utiliser des fonctionnalités telles que l’exportation avec protection par mot de passe pour renforcer la sécurité des données.
Gestion des incidents
De notre côté, nous veillons aux points suivants :
- Nous rapportons tout incident de violation que nous avons connaissance et qui vous concerne, en fournissant des détails sur l’impact et les mesures prises.
- Si l’incident est spécifique à un utilisateur ou à une organisation, nous leur notifierons par e-mail à l’adresse enregistrée dans nos services. Nous suivons ces incidents et travaillons à leur résolution.
- Nous appliquons également des contrôles pour empêcher la récurrence de situations similaires.
- Si vous en faites la demande, nous pouvons fournir des preuves supplémentaires relatives à l’incident auquel vous êtes impliqué
Voici ce que nous attendons de vous :
- Vous suivez les recommandations de Dexero en cas de violation et vous êtes en conformité avec les exigences de divulgation et de notification en cas de violation de données. Cela implique notamment de notifier les utilisateurs finaux et les autorités de protection des données lorsque cela est pertinent.
- Vous nous informez également des incidents de sécurité et de confidentialité que vous avez identifiés en envoyant un email à support@dexero.com.
Sensibilisation et formation
Nous sommes responsables des éléments suivants :
- Assurer la formation de nos employés pour leur faire prendre conscience des enjeux de sécurité et leur enseigner les pratiques de développement sécurisé. Nos employés reçoivent régulièrement des formations sur la sécurité via des e-mails d’information, des présentations et des ressources disponibles sur notre intranet. De plus, les nouveaux employés doivent suivre une formation obligatoire sur la sécurité et la confidentialité.
- Former nos employés sur la gestion appropriée des données clients stockées sur notre service cloud.
De votre côté, vous êtes chargé de la formation des utilisateurs du cloud sur les éléments suivants :
- Les normes et les procédures relatives à l’utilisation de nos services.
- La gestion des risques liés à nos services.
- Les risques pour le système global et l’environnement réseau.
- Les considérations juridiques et réglementaires applicables.
Politique et conformité
Nous suivons les directives ci-dessous :
- Nous avons mis en place un programme complet pour gérer les risques et nous appliquons efficacement les contrôles.
- Nous respectons les lois de toutes les juridictions où nous exerçons nos activités.
- Nous fournissons des preuves de conformité aux lois applicables et nous respectons nos engagements contractuels.
- Nous aidons nos clients à réaliser des évaluations d’impact sur la protection des données (DPIA) lorsque cela est autorisé par les lois applicables.
De votre côté, nous attendons que vous :
- Évaluiez les réglementations et les lois applicables à votre entreprise et que vous vérifiiez si nous sommes conformes à ces réglementations et normes requises. Vous pouvez demander des informations supplémentaires pour avoir des preuves de notre conformité.
- Comprenez nos stratégies, nos méthodes d’évaluation des stratégies et notre traitement des données.
- Réalisez des évaluations DPIA conformément aux lois sur la protection des données applicables à votre entreprise avant ou pendant le traitement des données.
- Interrogiez la base juridique de tout traitement de données personnelles/sensibles et obteniez le consentement de vos clients si cette base juridique repose sur le consentement.
- Évaluiez l’adéquation de nos services cloud en fonction des informations que nous fournissons et vous assuriez que ces dernières sont suffisantes pour répondre à vos besoins en matière de conformité.
- Comprenez le profil de risque et le caractère sensible des données hébergées sur les services Dexero et appliquez les contrôles appropriés.
Responsabilité de Dexero
Nous sommes responsables de la protection du cloud et des contrôles associés qui exécutent tous les services de Dexero.
Sécurité des données
- Nous isolons logiquement les données de chaque client en utilisant un ensemble de protocoles sécurisés dans notre structure pour éviter toute intrusion extérieure.
- Nous veillons à la confidentialité de vos données en prenant en charge leur sécurité lors de leur stockage, leur transmission et leur traitement.
- Nous garantissons l’intégrité de vos données, y compris les données système telles que les journaux et les configurations.
- Nous assurons la traçabilité et le contrôle de vos données en fournissant des informations sur leur localisation physique et leur traitement à tout moment.
Disponibilité
- Conformément à notre accord de service, nous sommes tenus de garantir une disponibilité de nos services à hauteur de 99,9 %. Ainsi, nous prenons en charge la gestion des pannes matérielles et logicielles ainsi que les menaces potentielles, telles que les attaques par déni de service.
- En tant que client, vous pouvez accéder à status.dexero.com à tout moment pour consulter l’état actuel de nos services ou obtenir des informations sur les perturbations passées.
Continuité des activités
- Nous avons l’obligation de mettre en place un plan de continuité des activités pour nos opérations principales telles que la gestion de l’infrastructure et le support client.
- Nous nous assurerons que les données d’application stockées dans un espace de stockage résilient seront répliquées dans tous nos centres de données. Les données du centre de données principal seront répliquées presque en temps réel dans notre centre de données secondaire. Ainsi, en cas de sinistre, nous pourrons basculer rapidement sur notre centre de données secondaire pour assurer la continuité de nos services.
Contrôles de réseau
Nous avons la responsabilité de gérer un réseau de production sécurisé en utilisant des pare-feu pour prévenir l’accès non autorisé et les flux de trafic malveillants. Un accès strictement contrôlé est mis en place pour les réseaux de production.
Infrastructure hôte
Nous avons la responsabilité de protéger et de sécuriser l’infrastructure hôte, qui comprend tous les serveurs faisant partie du réseau de production. Nous appliquons des normes renforcées à tous ces serveurs pour assurer leur sécurité. De plus, nous utilisons des technologies de gestion des correctifs du système d’exploitation, de configuration de base et de détection d’intrusion au niveau de l’hôte pour maintenir la sécurité de l’infrastructure.
Sécurité physique
Il est de notre responsabilité de garantir la protection de notre infrastructure contre les accès physiques non autorisés, les intrusions et les sinistres.
Conclusion
Le modèle de responsabilité partagée en matière de sécurité dans le cloud énonce clairement les attentes en matière de sécurité pour les utilisateurs et les fournisseurs de services cloud. Cependant, pour assumer leurs responsabilités, les utilisateurs doivent prendre des mesures concrètes en développant des stratégies et des procédures pour la sécurité du cloud. Bien que Dexero s’engage à maintenir la sécurité de vos données et à offrir un environnement cloud sécurisé, il est important que les utilisateurs prennent des mesures pour remplir leur part de responsabilité. Pour toute question supplémentaire sur ce sujet, n’hésitez pas à nous contacter à l’adresse info@dexero.com.