Politique de sécurité¶
Dernière révision : 07 mars 2024
Date d'effet : 15 mars 2024
Version : 1.0
Introduction¶
Votre sécurité est très importante pour nous. Nous résumons dans ce document ce que nous faisons chaque jour pour garantir que vos données sont hors de danger avec Minlessika et que nous appliquons les meilleures pratiques en matière de sécurité sur notre version hébergée en ligne.
Notre plateforme¶
Sauvegardes¶
Nous faisons sept (7) sauvegardes pleines de tout notre système par semaine, à raison d’une sauvegarde par jour.
Sécurité de la base de données¶
Les données de chaque client sont stockées dans une base de données unique après être marquées de l’identifiant unique dudit client. Chaque accès aux données de la base se fait via une transaction qui est validée une fois que tout se passe bien.
Sécurité des mots de passe¶
Les mots de passe des clients sont protégés via le chiffrement HEX-XOR-SHA512. L’équipe de Minlessika n’a pas accès à votre mot de passe et ne peut pas le retrouver pour vous. La seule option qui s’offre à vous si vous le perdez est de le réinitialiser. Les accès de connexion sont toujours transmis de manière sécurisée via HTTPS.
Accès du personnel¶
L’équipe support peut se connecter à votre compte pour accéder aux paramètres liés au problème que vous auriez reporté. Pour ce faire, ils utilisent des droits spéciaux et non votre mot de passe (ils ne peuvent pas le connaître). Ces droits spéciaux sont utilisés par l’équipe support de manière efficace et sécurisée. Ils peuvent immédiatement reproduire le problème que vous avez vu. Vous n’avez nul besoin de partager votre mot de passe.
Notre équipe support s’évertue à respecter votre vie privée autant que possible et accède uniquement aux fichiers et paramètres dont elle a besoin pour résoudre votre problème.
Sécurité du système¶
Notre serveur exécute une distribution Linux renforcée avec des correctifs de sécurité à jour. Nous n’autorisons la gestion à distance de notre serveur qu’à un nombre restreint d’ingénieurs et les accès se font uniquement en utilisant une clé SSH cryptée.
Sécurité physique¶
Notre serveur est hébergé dans un centre de données de confiance (OVH Cloud). OVH Cloud, selon sa politique de sécurité, remplit nos critères de sécurité physique :
| Mesure | Description |
|---|---|
| Périmètre restreint | Accès physique autorisé seulement aux employés du centre de données. |
| Contrôle d’accès | Accès physiques contrôlés par des badges ou par la biométrie. |
| Vidéosurveillance | Caméras de sécurité permettant la surveillance du local 24/7. |
| Surveillance humaine | Personnel de sécurité sur site 24/7. |
Sécurisation des moyens de paiement¶
Nous ne stockons pas les informations de vos moyens de paiement sur nos systèmes. Vos informations sont toujours transmises de manière sécurisée directement à notre agrégateur de moyens de paiement qui est conforme à la norme de sécurité PCI DSS.
Chiffrement des données¶
Toutes les données échangées entre le client et notre infrastructure sont protégées avec un chiffrement SSL 256 bits de pointe (HTTPS). Toutes les communications internes entre nos infrastructures sont aussi protégées par un chiffrement de pointe (SSH). Notre infrastructure est soumise à une stricte surveillance de sécurité et est toujours corrigée contre les dernières vulnérabilités SSL.
Défense du réseau¶
Le fournisseur d’infrastructure dispose de très grandes capacités réseau et a conçu son infrastructure pour résister aux plus grandes attaques de déni de service distribué (DDoS). Son système d’atténuation automatique et manuel peut détecter et détourner le trafic d’attaque à la périphérie de ses réseaux multicontinentaux, avant qu’il n’ait la possibilité de perturber la disponibilité des services. Les pare-feux et les systèmes de prévention des intrusions sur notre infrastructure aident à détecter et à bloquer les menaces telles que les attaques de mot de passe par force brute.
Notre logiciel¶
Sécurité logicielle¶
La conception de nos produits logiciels passe par un processus logiciel rigoureux qui met en jeu des tests unitaires et d’intégration automatisés, des revues de code de notre équipe R&D qui incluent des aspects de sécurité.
Sécurité liée à la conception¶
Minlessika est conçue de manière à empêcher l’introduction des vulnérabilités de sécurité les plus courantes :
- Les injections SQL sont évitées grâce à l’utilisation d’une API de niveau supérieur qui ne nécessite pas de requêtes SQL manuelles.
- Les attaques XSS sont évitées grâce à l’utilisation d’un système de modèles de haut niveau qui échappe automatiquement aux données injectées.
- Le framework empêche l’accès RPC aux méthodes privées, ce qui rend plus difficile l’introduction de vulnérabilités exploitables.