Sécurité, Gestion des données, Confidentialité, RGPD

Nonli respecte la vie privée de ses utilisateurs.

Nous avons une politique de protection et de confidentialité des données stricte.

Sécurité de nos infrastructures

Nos applications sont hébergées par Google Cloud Platform. Nous utilisons l'infrastructure de Google pour distribuer nos services.

Google Cloud Platform respecte des règles strictes en matière de sécurité et de confidentialité des données.

Google Cloud Platform se soumet à des vérifications indépendantes de leurs dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité afin de nous aider à atteindre nos objectifs réglementaires et stratégiques. Il est possible de consulter les détails de leur service en matière de conformité, par exemple les certifications ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, et FedRAMP, ainsi que l'alignement avec les lois et règlements HIPAA, GDPR, et CCPA, entre autres, dans notre centre de ressources pour la conformité.

Sécurité réseau

Notre infrastructure réseau est composé de plusieurs couches de sécurité.

  • Un cloud privé virtuel, avec un contrôle d'accès Cloud Identity and Access Management (IAM)
  • Des filtrages par adresses IP et ports
  • Un système de mitigation pour se protéger des attaques malveillantes

Sécurité des données

Emplacement des données

Les données sont hébergés chez Google Cloud Platform en Belgique (pour les clients européens).

Données critiques

Toutes les données critiques (mots de passe et jetons d'accès) sont chiffrées avec des algorithmes de chiffrement éprouvés.

Transport des données

Nous utilisons TLS pour faire transiter les données de façon sécurisée.

Gestion du domaine raccourci délégué par le client

Nous prenons en charge la génération, le renouvellement et la mise en place du certificat SSL sur nos répartiteurs de charges. Nos certificats SSL utilisent les algorithmes de chiffrements recommandés. Nous effectuons régulièrement des tests sur nos domaines pour évaluer la qualité de notre chiffrement SSL.

Fonctionnement du tag analytics nonli

Le tag analytics nonli fonctionne sur un sous-domaine du domaine principal du client. Ce qui nous permet d'utiliser un cookie first party sécurisé (strict, https-only) qui ne nécessite pas de demande de consentement.

Toutes les données collectées grâce à ce tag sont anonymisées et ne sont pas consolidées avec d'autres domaines. Aucune donnée personnelle n'est collectée grâce à ce tag.

Un lien dédié est disponible (exemple : https://nonli.com/cookie/consent) afin de permettre à l'internaute de désactiver ce cookie le cas échéant.

Disponibilité du service

Nous faisons nos meilleurs efforts pour respecter un taux de disponibilité de 99.99%

La disponibilité du service est disponible sur notre statuspage

Disaster recovery et continuité de service

Nous répliquons et sauvegardons toutes nos données plusieurs fois par jour. Nous jouons des scénarios de disaster recovery régulièrement afin de rétablir le service le plus rapidement possible.

Sécurité des applications

Toutes nos applications sont développés en interne par nos employés en CDI, nous ne faisons appel à aucun prestataire externe ou à aucune sous-traitance.

Méthode de développement

Nos développeurs pratiquent régulièrement le pair programming. Tous les développements sont testés unitairement et fonctionnellement.

Nous avons des environnements de QA dédiés, si un test ne passe pas le code ne pourra pas être déployé en production.

Nos développeurs suivent régulièrement des formations pour être au fait des bonnes pratiques pour lutter contre les failles de sécurité.

Nous suivons les recommendations de l'OWASP.

Avant le déploiement en production les Pull Request doivent être examinées et validées par les autres développeur, si le développement n'est pas approuvé il doit être amélioré jusqu'à obtenir l'approbation des autres développeurs.

Inspection et scan de la sécurité des applications

Nous scannons l'application avec des outils externes qui inspectent les failles de sécurité, les bugs potentiels, la qualité du code et effectue des rapports hebdomadaires.

Sécurité et droits d'accès dans les applications

Gestion d'accès aux ressources

Les administrateurs ont la possibilité de créer des rôles spécifiques pour chaque service de l'entreprise avec une granularité très fine.

Il est possible de créer des rôles transverses à plusieurs marques en lecture et/ou écriture et ajouter des droits spécifiques par ressource.

Authentification

Toutes nos connexions nécessitent une authentification double facteur (2FA) avec numéro de téléphone et validation par SMS. Les sessions doivent être unique par type de device. Il est autorisé d'avoir 2 sessions simultanés sur desktop et mobile. Si 2 sessions sont initiées sur 2 desktop simultanément la première session sera invalidée. Il en sera de même pour les sessions simultanées sur mobile.

Chaque modification de mot de passe devra être validée par e-mail.

Chaque modification d'e-mail devra être validée par SMS.

Chaque modification de téléphone devra être validée par e-mail.

Sécurité du personnel et du matériel

Tous les employés sont formés à la sécurité et le personnel fait des workshops régulier sur les recommendations OWASP.

Nous effectuons régulièrement des tests de pénétration en interne afin d'allier la théorie à la pratique.

Nous considérons les réseaux comme non-fiables, c'est pour cela que nous avons mis en place des procédures de protections et d'installations. Les machines de développement sont toutes installées suivant un protocole unifié afin de garantir la mise à jour et la mise en conformité de tout le parc informatique (cryptage, pare-feu, restriction d'accès par empreinte digitale...).

Audit de sécurité

Nous effectuons régulièrement des tests de sécurité avec Cloud Web Security Scanner, ainsi que Scrutinizer.

Signaler un incident de sécurité

Les vulnérabilités peuvent nous être communiquées à support@nonli.com

Conformité et certifications

Nonli est conforme à la réglementation RGPD.

Les données soumises au RGPD sont les données nécessaires au bon fonctionnement et à la sécurité de la plateforme. Quand une entreprise devient inactive dans nonli, celle-ci est supprimée ainsi que les utilisateurs rattachés au sein de l'entreprise, aucune donnée personnelle n'est conservée.

Conformité sur les transactions

Nonli est conforme à la norme PCI-DSS. Les transactions par carte bancaire sont gérées par la société ADYEN.

Adyen est entièrement conforme à la norme PCI DSS 3.2 comme prestataire de niveau 1. Ceci est la principale norme de sécurité régissant le secteur des paiements.

En tant qu'institution de paiement, Adyen est entièrement supervisée par la banque centrale des Pays-Bas et nous sommes conformes aux exigences de la directive européenne sur les services de paiement (Directive UE 2015/2366), ainsi qu'à toute autre exigence applicable aux services financiers fournis par Adyen.

Adyen est conforme à la norme ISAE3402/SOC 1 (Service Organizational Control 1), qui évalue et teste les contrôles internes sur les rapports financiers au sein d'une organisation de services. Cela reflète la conformité de l'organisation de services avec les politiques et procédures et passe par la surveillance, la formation et la vérification des politiques et procédures.

Partenariat et Statut

Nonli est un partenaire officiel de Facebook, Instagram, Twitter et LinkedIn. Nonli a intégré le programme Google Startup Pack et ensuite devenu Google Partner.

Nonli a obtenu le statut de Jeune Entreprise Innovante par le ministère de la recherche.