La sécurité et la gestion des données personnelles sur AssoConnect – Centre d'Aide

Hébergeant de nombreuses données pour le compte des associations, AssoConnect met tout en œuvre pour fournir un excellent niveau de sécurité et de service.

Voici, en quelques lignes, les détails concernant la sécurité autour de la gestion des données sur les plateformes AssoConnect :

Sécurisation des données
Données personnelles & RGPD
Connexion de l'utilisateur
Connexion entre ordinateur et serveur
Envoi d'emails

Sécurisation des données

L’accès aux données de nos clients est entièrement sécurisé :

Accès restreint selon le rôle ;
Protégé par une authentification par mot de passe fort ;
Liste blanche d’adresses IP pouvant accéder aux données ;
Protocole de communication chiffré + Chiffrement au repos des données.

Le chiffrement au repos signifie que les sauvegardes de notre base de données sont faites sur un serveur chiffré et avec accès protégé. Elles sont donc illisibles sans avoir un véritable accès ainsi que les clés de chiffrement pour pouvoir les lire.

De même, aucune donnée de nos clients n’est stockée en clair, et l’accès à toutes nos données est fortement sécurisé (chiffrement, connexion multi facteurs, accès restreint par IP…)

Par ailleurs, nous avons un programme privé chez Bounty Factory où nous invitons des développeurs informatiques à rechercher des failles de sécurité au sein du logiciel, afin de nous en prémunir.

Enfin, nous menons chaque année des audits de sécurité dans le cadre de nos partenariats : nos normes de sécurité sont donc régulièrement évaluées par différentes entités.

Pour en savoir plus sur l'hébergement de nos données, cliquez ici.

Données personnelles & RGPD

AssoConnect est conforme au Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 mai 2018.

Vos données vous appartiennent. AssoConnect n’est donc pas “Responsable de traitement”, mais bien “Sous-traitant” (au sens du RGPD).

À ce titre, AssoConnect assure la sécurité des données personnelles dès la conception du produit, un rôle de conseil et d’alerte en cas de constat de fuite.

Les données personnelles des plateformes sans abonnement sont effacées ou anonymisées sur demande de l'association.

Nous nous engageons à ne jamais communiquer vos données à un tiers à des fins commerciales. Nous vous invitons à découvrir à ce titre notre politique de confidentialité.

Connexion de l'utilisateur

Chaque utilisateur peut, s'il le souhaite, activer un mécanisme d'authentification en 2 étapes. Ce mécanisme est obligatoire pour tous nos employés.

Pour en savoir plus sur l'authentification forte, cliquez ici.

Les mots de passe des utilisateurs ne sont pas stockés en clair, mais hachés et salés.

On dirait une recette de cuisine ? C'est presque ça ! Le principe du hachage est de stocker une empreinte du mot de passe, cette empreinte étant calculée à partir d'une fonction dont on ne connaît pas l'inverse : on ne sait pas retrouver le mot de passe à partir de son empreinte. Pour connecter l'utilisateur, on calcule l'empreinte du mot de passe saisi et on la compare à l'empreinte stockée. Ainsi, en cas de piratage de notre base de données, les mots de passe ne sont pas accessibles à l'attaquant.

Pour en savoir plus sur ce mécanisme de hachage, cliquez ici.

Connexion entre ordinateur et serveur

Nous mettons à disposition de nos clients des certificats SSL pour permettre une connexion au site via le protocole sécurisé HTTPS. Ces certificats sont fournis par Comodo, une autorité reconnue. Ils utilisent des clefs de 128 bits échangées avec la méthode ECDHE_RSA et le protocole TLS 1.2. Nous n'utilisons plus l'algorithme SHA-1 pour le hachage, en faveur de SHA-256.

Envoi d'emails

L'envoi des emails passe par Mailgun.

Chaque email envoyé par la plateforme est signé avec la norme DKIM pour éviter tout risque d'usurpation.

Pour en savoir plus sur la norme DKIM, cliquez ici.

Nous avons également adopté la norme SPF afin de lutter contre le spam.

Pour en savoir plus sur la norme SPF, cliquez ici.

Pour aller plus loin :