Sécurité, Gestion des données, Confidentialité

Préambule

Nous mettons tout en oeuvre pour protéger les données et la vie privée de nos utilisateurs. Nous avons une politique de protection et de confidentialité des données stricte que nous améliorons constamment en fonction des nouvelles normes et bonnes pratiques.

Sécurité de nos infrastructures

Nos applications sont hébergées par Google Cloud Platform. Nous utilisons l'infrastructure de Google pour distribuer nos services.

Google Cloud Platform respecte des règles strictes en matière de sécurité et de confidentialité des données.

Google Cloud Platform se soumet à des vérifications indépendantes de leurs dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité afin de nous aider à atteindre nos objectifs réglementaires et stratégiques. Il est possible de consulter les détails de leur service en matière de conformité, par exemple les certifications ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, et FedRAMP, ainsi que l'alignement avec les lois et règlements HIPAA, GDPR, et CCPA, entre autres, dans notre centre de ressources pour la conformité.

Nous réalisons une revue des comptes et des droits (au moins 1 fois par mois) sur nos infrastructures réseau.

Sécurité réseau

Notre infrastructure réseau est composé de plusieurs couches de sécurité.

  • Un cloud privé virtuel, avec un contrôle d'accès Cloud Identity and Access Management (IAM)
  • Des filtrages par adresses IP et ports
  • Un système de mitigation pour se protéger des attaques malveillantes

Sécurité des données

Emplacement des données

Les données sont hébergés chez Google Cloud Platform en Belgique (pour les clients européens).

Données critiques

Toutes les données critiques (mots de passe et jetons d'accès) sont chiffrées avec des algorithmes de chiffrement éprouvés.

Transport des données

Nous utilisons TLS pour faire transiter les données de façon sécurisée.

Gestion du domaine raccourci délégué par le client

Nous prenons en charge la génération, le renouvellement et la mise en place du certificat SSL sur nos répartiteurs de charges. Nos certificats SSL utilisent les algorithmes de chiffrements recommandés. Nous effectuons régulièrement des tests sur nos domaines pour évaluer la qualité de notre chiffrement SSL.

Fonctionnement du tag analytics Nonli

Le tag analytics Nonli fonctionne sur un sous-domaine du domaine principal du client. Ce qui nous permet d'utiliser un cookie first party sécurisé, strict qui ne nécessite pas de demande de consentement. Ce cookie comporte la clé "nli" et en valeur un uuid qui correspond à un id unique anonyme de l'utilisateur.

Toutes les données collectées grâce à ce tag sont anonymisées et ne sont pas consolidées avec d'autres domaines. Aucune donnée personnelle n'est collectée grâce à ce tag.

Un lien dédié est disponible (exemple : https://nonli.com/cookie/consent) afin de permettre à l'internaute de désactiver le tracking le cas échéant.

Nous nous engageons à ne pas utiliser la donnée de nos clients pour notre propre compte.

Disponibilité du service

Nous faisons nos meilleurs efforts pour respecter un taux de disponibilité de 99.99%

La disponibilité du service est disponible sur notre statuspage

Disaster recovery et continuité de service

Nous répliquons et sauvegardons toutes nos données plusieurs fois par jour. Nous jouons des scénarios de disaster recovery régulièrement afin de rétablir le service le plus rapidement possible.

Sécurité des applications de Nonli

Toutes nos applications sont développés en interne par nos employés en CDI, nous ne faisons appel à aucun prestataire externe ou à aucune sous-traitance.

Méthode de développement

Nos développeurs pratiquent régulièrement le pair programming. Tous les développements sont testés unitairement et fonctionnellement.

Nous avons des environnements de QA dédiés, si un test ne passe pas le code ne pourra pas être déployé en production.

Nos développeurs suivent régulièrement des formations pour être au fait des bonnes pratiques pour lutter contre les failles de sécurité.

Nous suivons les recommendations de l'OWASP.

Avant le déploiement en production, nous avons un processus de validation strict du code :

  1. Chaque développement doit être déployé dans un environnement "bac à sable" isolé et sécurisé
  2. Les Pull Request doivent être examinées et approuvées par les autres développeur
  3. Les tests unitaires doivent passer en vert
  4. Les tests fonctionnels doivent être validés
  5. Les tests de non-régressions doivent être validés
  6. La note de qualité du code ne doit pas baisser
  7. Aucune faille de sécurité ne doit être révélée par nos outils externes d'audit de code et de sécurité

Si le développement ne passe pas une de ces étapes de validations, le code doit être amélioré jusqu'à valider toutes les étapes.

Inspection et scan de la sécurité des applications

Nous scannons l'application avec des outils externes qui inspectent les failles de sécurité, les bugs potentiels, la qualité du code et effectue des rapports hebdomadaires.

Sécurité et droits d'accès dans Nonli

Gestion d'accès aux ressources

Les administrateurs ont la possibilité de créer des rôles spécifiques pour chaque service de l'entreprise avec une granularité très fine.

Il est possible de créer des rôles transverses à plusieurs marques en lecture et/ou écriture et ajouter des droits spécifiques par ressource.

Authentification

Toutes nos connexions nécessitent une authentification double facteur (2FA) avec numéro de téléphone et validation par SMS. Les sessions doivent être unique par type de device. Il est autorisé d'avoir 2 sessions simultanés sur desktop et mobile. Si 2 sessions sont initiées sur 2 desktop simultanément la première session sera invalidée. Il en sera de même pour les sessions simultanées sur mobile.

Chaque modification de mot de passe devra être validée par e-mail.

Chaque modification d'e-mail devra être validée par SMS.

Chaque modification de téléphone devra être validée par e-mail.

Sécurité de l'entreprise

Sécurité du personnel et du matériel

Tous les employés sont formés à la sécurité et le personnel fait des workshops régulier sur les recommendations OWASP ainsi que sur la littérature que nous découvrons toutes les semaines en faisant de la veille. Nous consacrons 1 à 2h par semaine par employé sur la sensibilisation à la sécurité informatique.

Nous effectuons régulièrement des tests de pénétration en interne afin d'allier la théorie à la pratique.

Nous considérons les réseaux comme non-fiables, c'est pour cela que nous avons mis en place des procédures de protections et d'installations. Les machines de développement sont toutes installées suivant un protocole unifié afin de garantir la mise à jour et la mise en conformité de tout le parc informatique (cryptage, pare-feu, restriction d'accès par empreinte digitale...).

Les sessions de nos postes de travail sont automatiquement verrouillés au bout de 5 minutes.

Le personnel est sensibilisé à la confidentialité, l'intégrité et la sensibilisation des données de tous nos clients.

Audit de sécurité

Nous effectuons régulièrement des tests de sécurité avec Cloud Web Security Scanner, ainsi que Scrutinizer. Nos clients ont la possibilité d'effectuer des audits de sécurité et tests de pénétrations externes.

Signaler un incident de sécurité

Les vulnérabilités peuvent nous être communiquées à support@nonli.com

Conformité et certifications

Les employés de l'entreprise font leurs meilleurs efforts pour appliquer les normes ISO 27001 et ISO 27002.

Nonli est conforme à la réglementation RGPD.

Les données soumises au RGPD sont les données nécessaires au bon fonctionnement et à la sécurité de la plateforme. Quand une entreprise devient inactive dans Nonli, celle-ci est supprimée ainsi que les utilisateurs rattachés au sein de l'entreprise, aucune donnée personnelle n'est conservée.

Conformité sur les transactions

Nonli est conforme à la norme PCI-DSS. Les transactions par carte bancaire sont gérées par la société ADYEN.

Adyen est entièrement conforme à la norme PCI DSS 3.2 comme prestataire de niveau 1. Ceci est la principale norme de sécurité régissant le secteur des paiements.

En tant qu'institution de paiement, Adyen est entièrement supervisée par la banque centrale des Pays-Bas et nous sommes conformes aux exigences de la directive européenne sur les services de paiement (Directive UE 2015/2366), ainsi qu'à toute autre exigence applicable aux services financiers fournis par Adyen.

Adyen est conforme à la norme ISAE3402/SOC 1 (Service Organizational Control 1), qui évalue et teste les contrôles internes sur les rapports financiers au sein d'une organisation de services. Cela reflète la conformité de l'organisation de services avec les politiques et procédures et passe par la surveillance, la formation et la vérification des politiques et procédures.

Partenariat et Statut

Nonli est un partenaire officiel de Facebook, Instagram, Twitter et LinkedIn. Nonli a intégré le programme Google Startup Pack et ensuite devenu Google Partner.

Nonli a obtenu le statut de Jeune Entreprise Innovante délivré par le ministère de la recherche.