Sécurité & Conformité
Une question de confiance et de fiabilité
Depuis le tout début, nous avons construit Pingflow en ayant pour priorité absolue la protection des données et la sécurité. La sécurité de l’information est un effort continu et c’est pourquoi nous améliorons continuellement notre programme de sécurité de l’information et que nous nous assurons d’intégrer les meilleures pratiques autant dans notre organisation que sur nos plateformes.
Pingflow suit les principes de Secure by Design en étant construit à l’aide de technologies modernes offrant agilité, performance, fiabilité, disponibilité et un niveau de sécurité de l’information et de respect de la vie privée nous permettant de répondre aux exigences les plus strictes de nos clients.
CGV/CGU
Sécurité des Applications
Comment est intégrée la sécurité dans le cycle de développement des solutions ?
Chez Pingflow, nous utilisons les modèles DevOps et de livraisons en continu (Continuous Delivery). Dans ce contexte où les déploiements logiciels et d’infrastructure sont hautement automatisés, et où les livraisons logicielles sont fréquentes, l’intégration de la sécurité dans le cycle de développement logiciel est essentielle.
Ce cycle de développement a été conçu pour s’assurer que la sécurité et la confidentialité fassent partie intégrante du processus de développement et de livraison.
Comment les solutions Pingflow sont-elles disponibles?
Pingflow offre différentes solutions logicielles disponibles sous forme de service (SaaS), vous fournissant constamment un accès à l’application la plus à jour et la plus avancée, et ne demandant aucune maintenance et mise à niveau de votre part.
Comment mes données sont-elles protégées?
Vos données sont cryptées en transit à l’aide du protocole Transport Layer Security (TLS) 1.2;
Vos données sont cryptées au repos en utilisant le protocole 256-bit AES, l’un des plus puissants chiffrements par bloc disponible;
Nous protégeons vos données contre tout accès non autorisé à l’aide de multiples contrôles de gestion des accès.
Nous effectuons la gestion de versions, et nous ne supprimerons jamais vos données;
Vos données sont sauvegardées tous les jours et sont copiées hors site.
Les données extérieures accédées par le produit Pingview ne sont pas stockées et uniquement gardées en cache temporaire qui est supprimé naturellement au bout d’un cycle (1h pour les sources données et 7j pour les webhooks)
Quels sont les modèles d’identité de l’utilisateur et les options d’authentification prises en charge?
Vous pouvez choisir parmi deux modèles d’identité avec Pingflow:
- Authentification unique (SSO) : une norme ouverte utilisée par les fournisseurs d’identité et les services d’authentification unique (SSO) pour gérer les comptes d’utilisateurs parmi les fournisseurs SaaS, y compris Pingflow .
- basée sur SAML (uniquement pour Table powered by Baserow avec instance dédiée)
Vous pouvez intégrer la base de données “Table” à vos répertoires d’informations d’identification d’entreprise à l’aide de Security Assertion Markup Language (SAML v2.0) pour conserver le contrôle total du processus d’authentification. Vous pouvez également provisionner et déprovisionner automatiquement vos utilisateurs dans Table avec System for Cross-domain Identity Management (SCIM)
Comptes Pingflow
Vous pouvez également gérer les comptes d’utilisateurs directement dans Pingflow.
Politique de mot de passe minimum à respecter (12 caractères, 1 caractère spéciale, etc…)
Tous les comptes sont surveillés par nos systèmes de sécurité et automatiquement bloqués en cas d’attaque par force brute (10 essais infructueux sur 24H)
Les informations d’identification ne sont jamais stockées dans un format lisible par l’utilisateur, nous utilisons un algorithme de hachage sécurisé unidirectionnel avec un salage
Comment puis-je limiter l’accès à mon instance de Pingflow?
L’accès à votre instance Pingflow est régi par les rôles et les droits d’accès configurés par vos administrateurs Pingflow
Le Client peut choisir de restreindre l’accès à une ou plusieurs plages d’IPs spécifiques afin que son instance ne soit accessible que dans les lieux physiques désignés et à travers leur VPN.
Pingflow supporte également les restrictions d’accès par cookie unique charger dans le navigateur web accédant au service, le mot de passe, ainsi que la connexion par SSO sur les points d’affichages temporaires.
Comment gérez-vous les vulnérabilités?
L’équipe de sécurité de Pingflow utilise une combinaison d’analyse de vulnérabilités automatisées et manuelles afin de détecter, ou de confirmer, la présence de vulnérabilités dans notre infrastructure et application SaaS. Notre équipe de sécurité est responsable de l’évaluation, de la définition des priorités et de la correction des vulnérabilités confirmées.
Sécurité des Opérations
Comment sauvegardez-vous nos données?
Les données du client sont stockées de manière redondante à plusieurs endroits dans les centres de données de l’hébergeur de Pingflow afin d’en assurer la disponibilité. Les données du client sont sauvegardées tous les jours et répliquées en temps quasi réel dans la région secondaire désignée de Microsoft Azure.
Les sauvegardes sont effectuées sans impact sur la disponibilité des données du client. Les opérations et l’infrastructure informatique de Pingflow peuvent donc être facilement récupérées et restaurées lorsque cela est nécessaire.
Pingflow teste régulièrement ses mesures de reprise après sinistre afin de garantir une résolution adéquate d’un sinistre majeur.
Comment pouvez-vous assurer la disponibilité de Pingflow?
Notre équipe a conçu une architecture, conceptualisé et codé les solutions de Pingflow conformément aux principes du cloud computing. Pingflow tire pleinement avantage des services d’infrastructure de Microsoft Azure afin d’offrir un niveau élevé de disponibilité de manière transparente réparti sur plusieurs centres de données (Microsoft Azure Availability Zones).
Comment gérez-vous les incidents de sécurité?
Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, la divulgation ou la modification de données. Pingflow dispose d’une procédure de gestion des incidents qui couvre l’ensemble du cycle de vie d’un incident potentiel.
Pingflow informera rapidement le client sans délai en cas de doutes raisonnables d’un incident de sécurité suspecté ou confirmé affectant un client.
Politique de sécurité
Confidentialité, Propriété et Contrôle des Données
Qui possède les données que nous stockons dans votre service?
Vous conservez la propriété et le contrôle total de vos données.
Qu’advient-il de nos données lorsque nous annulons notre abonnement à Pingflow?
Pingflow rendra vos données accessibles pour la récupération pendant une période de 60 jours suivants la fin de votre abonnement pour vous donner le temps de récupérer vos données. Après cette période de 60 jours, Pingflow désactivera le compte et toutes les copies de vos données seront supprimées en toute sécurité.
Comment récupérer nos données?
Vous pouvez exporter vos wallboards au format .pingview
Vous pourrez récupérer vos données de la base de donnée no-code Table powered by Baserow en format JSON en utilisant l’API Pingflow RESTful ou .csv.
Comment vous assurez-vous que toutes nos données ont été supprimées?
Nous avons une procédure pour la suppression sécurisée des données client en cas de désabonnement. La tâche sera assignée à un administrateur de système de Pingflow qui supprimera toutes les données client: base de données, stockage des fichiers, sauvegardes de données, clés de chiffrement, ainsi que votre instance de Pingflow.
Infrastructure d’Hébergement
Où mes données seront-elles hébergées?
Nous hébergeons Pingflow en France ou en Europe dans les centres de données de Microsoft Azure qui est le principal fournisseur de services d’infrastructure en tant que service (IaaS)
Pour plus d’informations sur leur programme de certification et de conformité, veuillez visiter les sites suivants :
SLA
Confidentialité
Pingflow s’engage à protéger vos données, y compris les informations personnelles de vos employés. Conséquemment, nous aidons votre organisation à démontrer sa conformité aux lois et réglementations relatives à la protection de la vie privée, telles que le RGPD.
Pour plus d’informations, consultez notre politique de confidentialité
Règlement général sur la protection des données (RGPD)
Le règlement général sur la protection des données (RGPD) cherche à revoir les règles et les directives existantes sur la manière dont les organisations peuvent traiter les données à caractère personnel des citoyens de l’UE. Son objectif est également de normaliser les lois sur la protection des données dans l’ensemble de l’Europe.
DPA
Quelles informations personnelles collectons-nous et traitons-nous?
En utilisant nos services, Pingflow peut collecter et traiter deux catégories de données: données client et autres informations.
Données client: Cette catégorie comprend toutes les informations personnelles ou non personnelles que le client peut avoir soumises lors de ses interactions avec nos services (Pingflow). Cette catégorie comprend également certains types d’informations ou de données indirectement créées par l’utilisation par le client de nos services (Pingflow), tels que, sans s’y limiter, les journaux d’application à Pingflow, les conversations de support, etc. C’est la responsabilité du client de vérifier la base juridique pour la collecte et le traitement des informations personnelles par le biais des services de Pingflow (Pingflow), et de la gestion des demandes de toute personne concernée.
Autres informations: Pingflow doit, dans son intérêt légitime, collecter et traiter des informations personnelles pour fonctionner en tant qu’entreprise. Pingflow peut collecter et traiter des informations personnelles sur ses utilisateurs pour mener à bien ses activités de facturation, de comptabilité et d’audit. Pingflow peut également envoyer des enquêtes de satisfaction à certains utilisateurs, et collecter leurs réponses dans le but d’améliorer ses services et offres aux clients actuels et futurs. Ces informations ne sont utilisées que pour des activités internes.
Qui est le responsable du traitement et le sous-traitant?
Comme mentionné précédemment, Pingflow collecte et traite deux catégories de données: les données client et les autres informations.
Le client est le responsable du traitement des données clients, et Pingflow en est le sous-traitant. Pour les autres informations, Pingflow est le responsable du traitement.
Combien de temps conservons-nous les informations personnelles?
Données du client: Pingflow conservera toutes les données du client conformément aux instructions du client. Habituellement, Pingflow conservera toutes les données du client jusqu’à la fin des services de traitement de données entre le client et Pingflow. Le client peut être en mesure de modifier ou de supprimer toute information directement dans le service Pingflow, et peut demander de l’aide à Pingflow lorsque nécessaire.
Autres informations: Pingflow conservera toute autre information aussi longtemps que nécessaire pour satisfaire à ses intérêts commerciaux légitimes, comme indiqué ci-dessus dans la section
Comment traitez-vous les demandes des personnes concernées?
Avec les nouvelles dispositions du RGPD, vous avez le droit de demander ce qui suit: Droit à l’oubli, Droit d’opposition, Droit de rectification, Droit à la portabilité des données, Droit d’accès.
Pingflow gère les demandes des personnes concernées différemment selon le type d’informations:
Données du client: dans le cas où Pingflow reçoit une demande d’une personne concernée en lien avec les données du client, Pingflow transmettra la demande au client qui agit en tant que responsable du traitement. Pingflow n’agit jamais sans les ordres du client. Il incombe au client de gérer ces demandes. Dans la mesure du possible, Pingflow peut aider le client si celui-ci ne peut satisfaire entièrement à la demande de la personne concernée.
Autres informations: Pingflow gérera les demandes des personnes concernées en lien avec les autres informations.
Est-il possible de signer un DPA avec Pingflow pour assurer la conformité au RGPD?
Oui, Pingflow met à la disposition de ses clients un Data Processing Addendum (DPA).