Politique de sécurité

des systèmes d’information

1. Sécurité des données

STORYFOX aura à traiter pour le compte de ses clients des données à caractère personnel se rapportant directement ou indirectement à une personne physique.

 

Chiffrement. Le protocole SSL/TSL est utilisé pour le chiffrement des données transmises par HTTPS, ce qui permet d’assurer l’interception de ces dernières par des personnes frauduleuses. Un chiffrement est également appliqué sur les mots de passes.

 

Traitement des données à caractère personnel du Client. Les données à caractère personnel, incluant également les media (photo et vidéo) sont stockés uniquement en production. Elles ne sont pas répliquées pour les environnements de test.

 

Droit à l’oubli. Dans le cadre de la RGPD, le compte d’un utilisateur peut être anonymisé puis archivé.

 

Portabilité. Un export des données personnels dans un format exploitable pourra être fourni sur demande

 

Registre. Les présentes mesures techniques et organisationnelles, matérielles et logiques sont centralisées dans un document.

 

2. Sécurité générale

2.1 Mesures de sécurité physiques

 

Contrôle d’accès. Les équipes STORYFOX sont sensibilisées à la sûreté des accès aux OS, notamment avec le verrouillage automatique de la session. Ceci répond à la problématique d’une intrusion physique en empruntant le compte d’un utilisateur admin.

En ce qui concerne l’accès direct aux données de production via le serveur n’est possible que par l‘équipe technique du Prestataire disposant d’une clé privée.

 

Procédure d’exploitation. L’ensemble du matériel nécessaire à l’exploitation peut être communiqué sur demande.

Sauvegardes. Les sauvegardes sont transférées sur un espace de stockage dédié au backup et accessible en dehors de la production

 

2.2 Mesures de sécurité logiques

 

Identification et authentification. L’accès à la solution se fait soit via un navigateur Web soit via l’application mobile ; l’identification passe par une clé de cryptage.

 

Contrôle d’accès. En dehors de certaines pages publiques comme l’accès au CGU et la politique de confidentialité, la solution nécessite obligatoirement une authentification au préalable pour y accéder. L’inscription par l’utilisateur lui-même directement sur la plate-forme ne peut être validée que par une adresse mail professionnelle appartenant au Client (contrôle sur le domaine du mail). Un mail d’activation lui est envoyé pour être sûr de la validité du mail.

 

Hébergement. Les Informations du Client sont hébergées sur un Cloud sécurisé accessible uniquement par l’équipe technique STORYFOX   

 

Sauvegardes. La base de données est sauvegardée toutes les 24 heures. Les archives sont stockées sur un espace dédié.

 

Codes malveillants.  La solution utilise un Framework prévenant de toutes attaques d’injection SQL, XSS et CSRF. Les identifiants sont cryptés dans les urls. Les appels XHR utilisent également un jeton pour contrer les attaques CSRF, et en dehors des appels utilisés sur le processus d’inscription, ils nécessitent la clé d’authentification de l’utilisateur.

 

Enfin, chaque document est contrôlé par une politique d’ACL configurable en fonction du rôle utilisateur ; ce qui prévient d’éventuel intrusion logicielle.

 

Réseaux.  Les échanges réseaux sont sécurisés avec la méthode de chiffrement TLS 1.2. Le protocole SSL 3 est désactivé.

 

Traçabilité.  Les logs d’accès et d’évènements sont historisés et gardés pendant 1 an. Ils peuvent être communiqués au Client sur demande. Les logs d’accès système sont disponibles sous format fichier avec une rotation par jour qui concerne la totalité de la plate-forme, tandis que les logs applicatifs sont stockés en base de données et peuvent être filtrées sur l’espace réservé au Client.

 

3. Restitution/réversibilité

Dans le cas d’une procédure de restitution, les données du Client seront exportées dans un format exploitable. Ces dernières seraient, après signature du procès-verbal, supprimées du système d’information.

 

4. Gestion des incidents de sécurité

Le serveur est protégé des attaques de type DDOS par l’hébergeur.

Les activités inhabituelles peuvent être détectées avec des alertes en temps réel avec un monitoring sur lequel des seuils d’alertes sont définis.

 

5. Continuité d’activité

La sauvegarde quotidienne complète de la base de données garantit une récupération des données au-delà des 24 heures.

Un cas d’incident logiciel ou serveur, des alertes sont mises en place permettant au Prestataire d’être notifié en temps réel. Le service sera alors rétabli dans les meilleurs délais.

 

6. Conformité

STORYFOX s’engage à mettre en place des procédures internes de vérification de la conformité des procédures mises en œuvre conformément aux attendus du PAS.

 

7. Audit de sécurité

L’audit de sécurisé est autorisé si la demande est faite. Ce dernier peut porter sur les composants réseau, la plate-forme et les services. En revanche, le code source ne sera pas communiqué.

Si une défaillance est révélée, STORYFOX s’engage à mettre en œuvre un correctif dont le délai dépendra du seuil de criticité.