Politique de sécurité

Ce document décrit notre politique de sécurité. Nous ne pouvons pas garantir qu'aucune fuite ne se produira jamais, mais nous faisons de notre mieux pour protéger vos données.

Annexes publiées

• audit de sécurité (15/12/2022)

Vos données

Veuillez consulter notre Politique de confidentialité concernant la manière dont nous gérons vos données.

Comment développons-nous un logiciel sécurisé

• Nous utilisons des revues de code pour détecter les vulnérabilités avant de les fusionner et de les livrer aux clients,
• Nous nous assurons de vérifier les autorisations pour toutes les ressources que nous avons, et nous examinons régulièrement ces autorisations,
• Nous utilisons Git pour gérer les modifications afin que tout code qui va en production soit facilement auditable.

Comment maintenons-nous nos communications sécurisées

Nous faisons de notre mieux pour utiliser des techniques de pointe pour protéger les données :

• Nous utilisons des clés SSH pour accéder à nos serveurs,
• Nous utilisons HTTPS et des certificats SSL pour communiquer entre nous et vous.
• Nous ne transférons pas de données en clair sur le réseau.

Comment gardons-nous les données sécurisées

Encore une fois, nous faisons de notre mieux pour utiliser des techniques de pointe pour protéger les données :

• Nous hébergeons nos applications Cloud sur Amazon AWS,
• Les données sont cryptées au repos et en transit dans nos installations Amazon AWS,
• Les disques durs de nos ordinateurs personnels sont chiffrés (par exemple avec FileVault 2 d'Apple),

Où hébergeons-nous vos données

Veuillez consulter la Politique de confidentialité pour savoir où nous stockons les données.

Comment traitons-nous une vulnérabilité

Important: If you notice a vulnerability, please submit a report to support@pacemkr.ca

• Nous enquêterons dès que possible et rédigerons un rapport interne,
• Si nous confirmons la vulnérabilité, nous en informerons nos clients,
• Si une violation a permis l'accès ou la modification des données des clients, nous informerons également nos autorités de la GDPR dans les 72 heures (notamment la CNIL, pour la France),
• Si une violation a permis à une personne externe d'accéder ou de modifier les données des clients, nous informerons également directement ces clients.
• Si une violation n'a permis qu'aux utilisateurs du même client de consulter/modifier des données auxquelles ils n'étaient pas autorisés (violation de permission), nous choisissons si nous informons uniquement les clients par le biais des notes de version lors de la livraison de la nouvelle version, ou si nous contactons directement les clients.

Nous détectons les vulnérabilités à l'aide de :

• Les vulnérabilités signalées par Atlassian eux-mêmes et d'autres tiers qui constituent notre logiciel, et bien sûr, nous tiendrons également compte des vulnérabilités signalées par des personnes externes,
• Tests de pénétration réguliers (Une fois par an - Veuillez consulter notre dernier test de pénétration),
• Outil automatique de NPM (audit npm)

Remarques :

• Les outils automatiques détectent fréquemment des suspects dans les bibliothèques les plus courantes de l'industrie, que nous soyons affectés ou non. Par conséquent, nous ne publions pas de rapport pour chacun d'entre eux, nous mettons simplement à niveau la bibliothèque ou nous nous assurons de ne pas utiliser la fonctionnalité de la bibliothèque qui présente la vulnérabilité.
• Notre processus de publication bloque de toute façon la publication du logiciel jusqu'à ce que le suspect soit résolu. Si une vulnérabilité nous semble grave (capacité d'accéder ou de modifier les données des clients), nous examinons si elle aurait permis l'accès ou la modification des données des clients, et nous appliquons le processus ci-dessus.

Please send notifications to support@pacemkr.ca

Comment effectuons-nous des audits

Chaque année, nous réalisons un audit de sécurité avec un tiers externe. Nous avons publié le résultat du dernier audit sur cette page :  audit de sécurité (15/12/2022).