Mesures techniques et organisationnelles visant à la sécurité et la protection des données

Introduction

Edusign se veut le plus transparent possible lorsqu’il s’agit de la gestion de vos données. Pour obtenir plus d’informations, vous pouvez également consulter notre politique de confidentialité et notre page RGPD.

Nous avons mis en place des mesures techniques et organisationnelles afin de protéger vos données personnelles. Ces mesures sont mises à jours régulièrement pour proposer le meilleur niveau de protection possible.

Transferts de données et chiffrement

L’ensemble de la chaîne de traitement des données est sécurisée par chiffrement. 

Edusign utilise des technologies de chiffrement modernes et conformes aux standards édictés par l’ANSSI.

  • Sécurisation des transactions via chiffrement TLS vers et depuis nos services.
  • Chiffrement au repos des documents avant et après signature via le chiffrement AES-256 bits.  
  • Utilisation de clés supérieurs à 2048 bits et de protocoles sécurisés tel que le RSA.

Certifications

Edusign dispose de certificats en matière de signature électronique, de cachet électronique et d’horodatage. Les précisions sur ces certificats sont disponibles sur demande à support@edusign.fr

Afin de s’assurer du maintien de notre conformité, nous réalisons des audits de façon régulière.

Sécurité des développements

Des processus internes de développement sont mis en place pour nos équipes afin de garantir un développement sécurisée de notre solution.   

  • Suivi des bonnes pratiques dictées par l’Open Web Application Security Project (OWASP).
  • Approche “security by design”.   Autrement dit, le développement n’est pas réalisé avant une analyse des conséquences en matière de sécurité.
  • Tests automatiques et manuels.
  • Revues et modifications du code.
  • Évaluation par les pairs.

Gestion du personnel

Tous les collaborateurs de Edusign sont familiers avec les outils informatiques. Ils sont formés aux bonnes pratiques en matière de sécurité informatique préconisées par l’ANSSI. Par ailleurs, les collaborateurs sont maintenus informés des dernières pratiques et des évolutions technologiques en matière de sécurité informatique. 

Les collaborateurs de Edusign agissent en connaissance de cause et font leur maximum pour protéger vos données personnelles. 

Les mesures suivantes sont en place : 

  • Formation à la sécurité de l’information et à la protection des données à caractère personnel des nouveaux collaborateurs.
  • Communications régulières à l’ensemble des équipes pour les sensibiliser  
  • Politique de gestion des accès et des rôles
  • Politique de gestion des mots de passe
  • Engagement de confidentialité

Nous avons mis en place une politique de gestion des rôles et, à ce titre, nous limitons les accès au rôle de chaque collaborateur dans le respect du principe du moindre privilège. Une revue de la gestion des droits est réalisée de façon trimestrielle.

Accès aux infrastructures

Edusign s’appuie sur des partenaires d’hébergement pour assurer une sécurité optimale de ses infrastructures, ayant notamment mis en place une politique de sécurité des systèmes d’information répondant aux exigences de plusieurs normes et certifications (certification PCI-DSS, certification ISO/IEC 27001, attestations SOC 1 TYPE II et SOC 2 TYPE II, etc.). 

Gestion des accès physiques :

  • Vérification d’identité.
  • Gestion centralisée des portes d’accès par un système de badge.
  • Sas unipersonnel.
  • Équipements de surveillance.

Contrôle d’accès logique aux données :   

  • Politique de gestion des mots de passe.
  • Pare-feu & antivirus mis à jour régulièrement.
  • Journalisation & politique de contrôle d’accès documenté.

Détection des vulnérabilités

Edusign effectue régulièrement des analyses afin de détecter les potentielles vulnérabilités. Edusign fait également appel à des tiers afin d’affiner ces analyses. Des mesures sont alors mises en place pour éliminer ou limiter ces vulnérabilités. Liste, non-exhaustive, des protocoles de mis en place :

  • Programme de “Bug bounty”
  • Scan régulier des vulnérabilités
  • Alerte et veille des vulnérabilites
  • Revues de code

Gestion des incidents

En cas de faille du programme de détection des vulnérabilités qui mènerait à une attaque informatique, Edusign s’engage à notifier aux clients et autorités compétentes les informations nécessaires pour gérer au mieux les vulnérabilités.

Edusign répondra dans les meilleurs délais aux demandes des autorités et des clients concernant cette faille. 

A ce jour, Edusign ne fait état d’aucune faille de son système informatique ayant mené à un accès à des données personnelles. Nous faisons notre maximum pour que cela dure.

Disponibilité des services et sauvegarde des données

Edusign met tout en oeuvre pour garantir une haute disponibilité et une continuité des services. Vos données sont conservées sur des serveurs sécurisés avec sauvegarde journalière sur un autre serveur. Liste non-exhaustive des protocoles mis en place :

  • Monitoring des serveurs et base de données en temps réel avec alerte
  • Protocoles de notifcation en cas de défaillance d’un partenaire
  • Serveurs scalable avec sauvegarde redondante
  • Tests de vulnérabilité et d’intrusion
  • Plan de continuité de l’activité
  • Plan de reprise d’activité

En cas d’indisponibilité de nos services, Edusign informera, par tout moyen, ses utilisateurs.

En cas de question concernant les mesures techniques et organisationnelles visant à la sécurité et la protection des données, veuillez contacter support@edusign.fr

Hey, pas si vite !

Avant de partir, téléchargez le livre blanc sur la dématérialisation en formation.