Sécurité
Sécurité
Nous avons conçu EasyAnnounce pour être sécurisé, en utilisant les pratiques et technologies les plus récentes.
La version anglaise de cette page est la version de référence de nos pratiques de sécurité. Toute version traduite est fournie à titre informatif uniquement.
Introduction
Les informations de cette page décrivent notre posture de sécurité et visent à montrer que nous prenons la sécurité au sérieux.
Attentes
Nous visons à répondre à vos attentes en matière de sécurité. Si vos besoins sont plus élevés, contactez-nous pour discuter d’échéances possibles ou d’aménagements.
Divulgations responsables des vulnérabilités
Nous accueillons volontiers les signalements de vulnérabilités de la plateforme par des professionnels et les apprécions, mais il n’existe pas de programme de bug bounty. Nous nous efforcerons de résoudre les problèmes identifiés et, s’ils sont publiés, nous vous créditerons.
Toutes les requêtes entre votre navigateur ou votre application, notre site web, notre passerelle API, nos serveurs de traitement et des fournisseurs tiers de confiance sont chiffrées en transit via HTTPS à l’aide de chiffrements robustes (AES-256) et de signatures de certificats (RSA ou ECDSA) avec SHA-256 ou supérieur. Nous prenons en charge uniquement les connexions TLS 1.2+.
Nos CDN privés et nos bases de données sont tous chiffrés en transit et au repos, et sont conformes SOC 2 Type 2 et HIPAA. Nous ne conservons aucune donnée de vos clients ni aucun détail inclus dans ces demandes d’annonce au-delà du cycle de vie de cette annonce ou de cette recherche de nom.
La base de données que nous utilisons pour notre application web s’appuie sur la sécurité au niveau des lignes (RLS) afin de répondre aux exigences Enterprise que vous pourriez avoir en matière de séparation des données. Les identifiants d’organisation sont toujours hachés avant toute utilisation en dehors de cette base de données (par exemple pour l’application des quotas et la gestion de la passerelle API).
Nos services front-end et back-end sont tous deux protégés par des pare-feu applicatifs dédiés, avec uniquement les accès essentiels provisionnés et des règles pour limiter les perturbations causées par les bots et les attaques DDoS.
Nous utilisons Stripe pour traiter vos paiements et gérer vos abonnements. Nous ne stockons ni ne traitons aucune donnée de carte de paiement. Nous sommes un marchand de la catégorie PCI DSS SAQ A.
Pour respecter nos obligations marchandes PCI-DSS (SAQ-A) attendues, nous effectuons des analyses trimestrielles de notre site front-end. Nous visons à résoudre tout problème identifié sous 48 heures.
Nous vérifions régulièrement les mises à jour logicielles critiques pour nos serveurs API back-end et notre site web, et les appliquons ; les correctifs non critiques sont intégrés dans le cadre du développement et des mises à jour de performance habituels.
Nous surveillons les CVE susceptibles d’affecter le code de notre logiciel sur notre plateforme API et notre front-end, et visons à traiter les correctifs critiques (CVE >9.0) dans les 48 heures suivant leur prise de connaissance.
Tous nos systèmes de contrôle exigent le MFA et un compte unique par membre de l’équipe pour y accéder.
Nous avons sélectionné nos fournisseurs tiers en fonction de leur localisation et de leur conformité. Nos prestataires (base de données, centres de données et fournisseurs de génération de synthèse vocale) sont tous conformes SOC 2 Type 2, GDPR et HIPAA.
Nos bases de données sont actuellement situées au Canada et dans l’UE afin de contribuer à répondre aux exigences RGPD que vous pourriez avoir. Nos serveurs d’infrastructure et nos fournisseurs de serveurs web figurent tous deux sur la liste active du Data Privacy Framework UE-États-Unis.
Nous sommes une jeune startup et nous espérons que vous voyez que nous construisons notre service pour qu’il soit aussi robuste et sécurisé que possible. Ainsi, nous pouvons évoluer facilement et devrions être en mesure de répondre aux attentes des clients et de conformité. Nous visons un audit SOC 2 Type 1 prochainement — nous accueillons volontiers les questionnaires de sécurité afin de répondre à vos questions plus en détail. Contactez-nous via la page de contact.
Coordonnées
Pour plus d’informations ou pour toute demande liée à la conformité, veuillez nous contacter via notre page de contact.