Aller au contenu principal
📖 Se former sur AssoConnect

La sécurité des données sur AssoConnect

  • Mise à jour

Hébergeant de nombreuses données pour le compte des associations, AssoConnect met tout en œuvre pour fournir un excellent niveau de sécurité et de service.

Voici, en quelques lignes, les détails techniques appliqués. 

Définition du modèle SaaS

Le service proposé fonctionne en "SaaS" pour "Software as a Service". Cela signifie que le client n'achète pas un logiciel à installer sur ses propres serveurs, mais bénéficie de la mise à disposition sur nos serveurs de nos moyens, services et expertises. Les principaux avantages sont les suivants :

  • Déploiement et mise en production rapide de la solution
  • Aucune connaissance technique nécessaire chez le client pour profiter du service
  • Aucune maintenance à prévoir pour le client
  • Vous bénéficiez d'améliorations en continu

En savoir plus : https://fr.wikipedia.org/wiki/Logiciel_en_tant_que_service

L'abonnement inclut toutes les mises à jour nécessaires pour assurer le fonctionnement de l'existant ainsi que les améliorations futures de l'outil.

Hébergement

Nous sommes clients chez Microsoft France, dont les serveurs sont situés en France et en Europe.

PaaS (Plateform as a Service)

Nos sites sont hébergés sur des instances PHP de Microsoft France.

De la même manière que nos clients externalisent la gestion du logiciel, nous leur confions la gestion technique et maintenance de nos serveurs pour nous concentrer sur notre cœur de métier, à savoir l’édition logicielle. Nous sommes convaincus que chacun de nous (clients, Microsoft et nous-mêmes) doit faire ce qu’il sait faire de mieux et ne pas se disperser.

En cas de forte montée en charge, l’infrastructure de Microsoft allume davantage de serveurs pour assurer la disponibilité de notre service. Les ressources allouées à nos instances sont dédiées : nous ne sommes pas impactés si un autre client Microsoft subit un pic de visites.

Données Personnelles 

AssoConnect est conforme au Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 mai 2018.

Vos données vous appartiennent. AssoConnect n’est donc pas “Responsable de traitement”, mais bien “Sous-traitant” (au sens du RGPD).

À ce titre, AssoConnect assure la sécurité des données personnelles dès la conception du produit, un rôle de conseil et d’alerte en cas de constat de fuite.

Les données personnelles des plateformes sans abonnement sont effacées ou anonymisées sur demande de l'association. 

Nous nous engageons à ne jamais communiquer vos données à un tiers à des fins commerciales. Nous vous invitons à découvrir à ce titre notre politique de confidentialité.

Images et documents

Les images et documents téléchargés sur notre plateforme sont stockés chez Amazon dans leur offre S3 avec le plus haut niveau de redondance.

Le versioning est actif sur chaque bucket utilisé assurant une protection en cas de suppression accidentelle des ressources.

Les objets chez Amazon ne sont pas publics : une clef éphémère doit être fournie pour accéder à une ressource.

Données bancaires

Chaque client dispose de son propre compte en ligne chez Adyen, notre prestataire de paiement.

Les flux financiers ne transitent à aucun moment par nos propres comptes, les fonds sont stockés chez le partenaire de paiement, ainsi que les différentes pièces justificatives nécessaires à la tenue des comptes.

Adyen met à notre disposition un relevé de l'ensemble des opérations effectuées sur les différents comptes.

Ici aussi, nous nous appuyons sur l'expertise d'un professionnel du monde bancaire.

L'accès à leur système est restreint à une liste blanche d'adresses IP.

A propos d'Adyen

Le prestataire de paiement est entièrement conforme à la norme PCI DSS 3.2 comme prestataire de niveau 1. Ceci est la principale norme de sécurité régissant le secteur des paiements.

En tant qu'institution de paiement, le prestataire de paiement est supervisée par la banque centrale des Pays-Bas et se conforme aux exigences de la directive européenne sur les services de paiement (Directive UE 2015/2366).

Le prestataire de paiement dispose de solutions anti-DDOS (tentatives malveillantes pour rendre un site indisponible) et utilise des méthodes de stockage sécurisées et cryptées. 

Retrouvez plus d'informations sur ce site.

Nom de domaine

Nous enregistrons les noms de domaine au nom de nos clients au sein de notre portefeuille de domaines de notre compte revendeur de Gandi, le 1er bureau d'enregistrement de noms de domaine en France. A tout instant, nous pouvons libérer le domaine pour en transférer la pleine gestion à un client qui le désire.
https://www.gandi.net/qui-est-gandi/

Sécurité

Bug Bounty

Nous avons un programme privé chez Bounty Factory où nous invitons des développeurs informatiques à rechercher des failles de sécurité au sein du logiciel.

Paiement en ligne

Nous activons le système 3D Secure sur l'ensemble de nos paiements sans seuil minimum. Ce système conçu par Visa et Mastercard a pour objectif de limiter la fraude en s'assurant à chaque paiement que la carte est utilisée par son véritable titulaire.
https://fr.wikipedia.org/wiki/3-D_Secure

Connexion de l'utilisateur

Chaque utilisateur peut, s'il le souhaite, activer un mécanisme d'authentification en 2 étapes. Ce mécanisme est obligatoire pour tous nos employés.
https://fr.wikipedia.org/wiki/Authentification_forte
Les mots de passe des utilisateurs ne sont pas stockés en clair, mais hashés et salés. Le principe du hashage est de stocker une empreinte du mot de passe, cette empreinte étant calculée à partir d'une fonction dont on ne connait pas l'inverse : on ne sait pas retrouver le mot de passe à partir de son empreinte. Pour connecter l'utilisateur, on calcule l'empreinte du mot de passe saisi et on la compare à l'empreinte stockée. Ainsi, en cas de piratage de notre base de données, les mots de passe ne sont pas accessibles à l'attaquant.
https://fr.wikipedia.org/wiki/Fonction_de_hachage#Contr.C3.B4le_d.27acc.C3.A8s

Connexion entre ordinateur et serveur

Nous mettons à disposition de nos clients des certificats SSL pour permettre une connexion au site via le protocole sécurisé HTTPS. Ces certificats sont fournis par Comodo, une autorité reconnue. Ils utilisent des clefs de 128 bits échangées avec la méthode ECDHE_RSA et le protocole TLS 1.2. Nous n'utilisons plus l'algorithme SHA-1 pour le hashage, en faveur de SHA-256.

Email

L'envoi des emails passe par Mailgun.

Chaque email envoyé par la plateforme est signé avec la norme DKIM pour éviter tout risque d'usurpation. Nous avons également adopté la norme SPF afin de lutter contre le spam.
https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail https://fr.wikipedia.org/wiki/Sender_Policy_Framework Qualité du code

Tests unitaires

Chaque fonctionnalité est découpée en petites briques qui sont chacune testée par un test dit unitaire. On s'assure que, pour une entrée donnée, la sortie de la fonction corresponde à ce qui est attendu. Nous n'effectuons de mise à jour en production qu'à condition que l'ensemble des tests soit au vert.
https://fr.wikipedia.org/wiki/Test_unitaire

Résolution des bugs

En cas de bug sur la plateforme, nos équipes techniques reçoivent un rapport détaillé pour être en mesure de corriger le bug même si l'utilisateur qui en a été victime ne le signale pas. Ces rapports sont relevés plusieurs fois par jour pour être le plus réactif possible.
Versioning du code
Nous utilisons GIT comme outil de versioning. En plus d'enregistrer toute modification faite dans le code, cet outil permet de revenir en arrière lors d'une mise à jour si jamais des bugs n'avaient pas été détectés lors de nos tests.

- - -

Liens utiles :

 

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 28 sur 37
Retour en haut

Articles associés

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.