Home > Security Center > Compliance
Conformité
Comment nous rendons la conformité transparente dans tout ce que nous construisons.
Respect de la vie privée dès la conception et par défaut
Ce principe est la clé de notre développement de produit qui gouverne tout ce que nous construisons. Voici quelques-unes des questions que nous nous posons à l’occasion de chaque décision de développement de produit :
- Informations sensibles : le code expose-t-il des informations sensibles ?
- Établir le contexte : l’objectif du code répond-il aux paramètres de risque acceptables ?
- Rendre une intrusion difficile : tous les aspects du code et du système sont-ils difficiles à compromettre ? Le nouveau code a-t-il un impact négatif sur le code préexistant ?
- Rendre une perturbation difficile : le système et le code sont-ils résistants et insensibles aux attaques par déni de service et aux pics d’utilisation ?
- Faciliter la détection des intrusions : le code et le système sont-ils conçus pour permettre de repérer facilement toute activité suspecte ? Par exemple, un enregistrement et une surveillance adéquats sont-ils en place ?
- Réduire l’impact d’une intrusion : le système est-il développé pour minimiser l’impact d’une intrusion ? La fonctionnalité est-elle structurée pour prévenir les connexions inutiles à d’autres parties du système ?
- Protection contre les vulnérabilités communes : les systèmes sont-ils développés en toute sécurité contre la plupart des vulnérabilités, par exemple contre le top 10 de l’OWASP ?
Certifications
Oneflow est certifié en sécurité de l’information (ISO 27001), qualité (ISO 9001) et environnement (ISO 14001) à partir de juillet 2024. Voici le lien pour télécharger le certificat.
Nos certifications ISO soulignent notre engagement à respecter les normes de sécurité les plus strictes, à contrôler la qualité et à respecter l’environnement.
La mise en œuvre de mesures de sécurité appropriées est vitale pour nous et une part importante de notre activité consiste à nous tenir au courant des normes et de la législation en matière de sécurité de l’information. Nous avons mis en place des mesures proactives telles que le cryptage, la sauvegarde et les évaluations d’impact.
Pour en savoir plus sur les certifications ISO, cliquez ici
Vos données sont notre responsabilité
Oneflow a mis en place une politique complète de continuité des opérations et de reprise après sinistre qui est revue une fois par an ou lorsque des modifications importantes ont été effectuées.
Oneflow est construit avec de la redondance à tous les niveaux de son infrastructure. La plateforme, les bases de données, le stockage et les services auxiliaires sont hébergés sur plusieurs zones de disponibilité en Irlande (UE) pour permettre des pannes sporadiques sans perte de disponibilité, de fonctionnalité ou de données clients. Les journaux système et les journaux d’authentification sont stockés pendant 90 jours (dont 30 jours de sauvegarde hors site). Des sauvegardes sont également effectuées à intervalles réguliers et stockées dans des centres de données en Suède.
Oneflow est une plateforme sécurisée qui offre des capacités de recherche, de suivi et de contrôle. Les données personnelles sont sécurisées à un seul endroit, plutôt que d’être réparties sur des e-mails, des serveurs et des disques durs. Les données clients (y compris les données personnelles) traitées et stockées dans Oneflow sont confidentielles et accessibles seulement par le client.
Chiffrement
Les données sont chiffrées en transit et au repos. TLS 1.2 est utilisé pour chiffrer les données en transit, de l’Internet public à nos points de présence CDN et jusqu’à notre réseau interne avant que celles-ci soient traitées. Les bases de données, les serveurs et le stockage de fichiers chiffrent également toutes les données avant de les stocker au repos, en utilisant un chiffrement de pointe avec l’algorithme AES 256.
Politiques
Oneflow est aligné sur la norme ISO 27001, le cadre NIST et dispose d’une gamme de politiques, procédures et directives internes. Ces dernières forment notre système de gestion de la sécurité des informations et régissent notre approche de la sécurité et de la confidentialité. Une sélection de nos politiques est présentée ci-dessous.
• Politique de sécurité des informations
• Politique de bon usage
• Politique de gestion du changement
• Politique de déclassement et de destruction
• Politique de gestion des risques liés à la sécurité des informations
• Procédure de gestion des incidents liés à la sécurité des informations
• Politique de continuité des opérations et de reprise après sinistre
• Politique de sécurité des fournisseurs
• Politique de développement sécurisé
• Politique sur le milieu de travail
Veuillez nous contacter si vous souhaitez consulter l’une de nos politiques en détail.
Modèle de responsabilité partagée
Afin que Oneflow puisse fournir une plateforme sécurisée, la sécurité et la conformité sont partagées entre Oneflow et le client. L’objectif du modèle de responsabilité partagée est de permettre à Oneflow de se concentrer sur la fourniture d’une plateforme sécurisée à ses clients tout en permettant aux clients de s’engager de manière proactive dans la protection de leurs actifs.
La responsabilité de Oneflow
Oneflow est responsable de la sécurité de la plateforme, de l’infrastructure et du réseau utilisés pour fournir le service. Afin de préserver la confidentialité, l’intégrité et la disponibilité des données stockées et traitées par Oneflow, les données sont chiffrées en transit et au repos. Des mises à jour régulières sont administrées sur l’application pour assurer en permanence le plus haut niveau de protection. En outre, la plateforme Oneflow est hébergée à plusieurs emplacements géographiques différents, ce qui se traduit par un service fiable et redondant.
Oneflow est également responsable d’offrir une large gamme de fonctionnalités de renforcement de la sécurité pour permettre une protection accrue des avoirs les plus importants des clients. Ces fonctionnalités peuvent être activées pour le paysage des risques, les exigences opérationnelles et les obligations de conformité appropriés.
Responsabilité des clients
Les clients sont responsables de la sécurité de l’application Oneflow en ce qui concerne les éléments sous leur contrôle. Par exemple, les clients sont tenus de s’assurer que les informations d’authentification telles que les mots de passe sont conservées en sécurité et ne sont pas exposées à des personnes non autorisées.
Oneflow fournit une large gamme de fonctionnalités de sécurité, mais il est de la responsabilité des clients d’utiliser ces fonctionnalités, par exemple l’authentification à deux étapes, la connexion unique et les politiques de rétention des données. L’accès aux contrats peut être contrôlé par le client par le biais d’autorisations avancées basées sur les rôles et, à ce titre, le client est tenu de s’assurer que les permissions sont accordées uniquement à ceux qui ont besoin d’un accès au sein de l’organisation. En outre, il est de la responsabilité des clients de s’assurer que le contrat est envoyé au bon destinataire.
Les contrats qui ont été téléchargés ou exportés en dehors de la plateforme Oneflow sont de la seule responsabilité du client. Les clients pourront toujours accéder au contrat dans Oneflow tant qu’il n’aura pas été supprimé par le client.