Sécurité
Nous prenons la sécurité de vos données très au sérieux. Toutes les mesures nécessaires sont mises en place pour aller au-delà des attentes et des exigences en la matière.
Hébergement des données
Les données sont hébergées chez Amazon Web Service (AWS) dans la région de Montréal. Pour plus d'informations sur les processus de sécurité de notre fournisseur, veuillez consulter Conformité AWS.
Chiffrement au repos
Toutes les données sont chiffrées au repos. Les algorithmes de chiffrement comme AES-256, Eksblowfish sont utilisés.
Chiffrement en transit
Toutes les données sont chiffrées en transit par TLS/SSL.
Détection des vulnérabilités
Nous avons plusieurs processus de détection des vulnérabilités. Du processus de contrôle de qualité jusqu'à la livraison finale. Des outils de détection des vulnérabilités comme AWS Security Hub, AWS Detective, AWS GuardDuty sont en place pour surveiller les infrastructures.
Réponse aux incidents
Les délais de réponse et de résolution sont relatifs au niveau de criticité de la vulnérabilité trouvée. Ceci comprend des procédures d'escalade, une atténuation et une communication rapide.
Tests d’intrusion
Des tests d’intrusion automatiques sont effectués régulièrement ainsi que des analyses sur les certificats SSL, configurations serveurs et technologies désuètes afin de se protéger contre le top 10 des vulnérabilités établie par OWASP.
Protection contre les intrusions
Nos applications web sont protégées par le service AWS Web Application Firewall. Ce service nous permet de nous protéger contre les exploits courants et les robots qui peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives.
Mise à jour technologique
Afin d’éliminer les failles de sécurité, d’améliorer les fonctionnalités de la plateforme ainsi que d’améliorer le support des nouveaux appareils, les nouveaux systèmes d’exploitation et navigateurs web les plus récents seront supportés.
Journalisation et surveillance
Nous surveillons activement divers services cloud utilisés par la plateforme.
Standard de sécurité
Nous travaillons activement afin de respecter les meilleures pratiques en matière de sécurité, comme celui de l’ASVS V4.0 d’OWASP.
Continuité des données et reprise en cas de désastre
Nous utilisons les services de sauvegarde de notre hébergeur de données pour réduire tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l'équipe en cas de défaillance affectant les utilisateurs.
Confidentialité
Tous les membres de l'équipe sont tenus de signer et de respecter un accord de confidentialité standard de l'industrie avant leur premier jour de travail.
La vérification des antécédents
Nous effectuons des vérifications des antécédents de tous les membres de l'équipe, conformément aux lois locales.
Sécurité des accès
Autorisations et authentification
L'accès à l'infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle. Le cas échéant, nous avons une authentification unique (SSO), une authentification à 2 facteurs (2FA) et des politiques de mots de passe solides pour garantir la protection de l'accès aux services cloud.
Contrôle d'accès au moindre privilège
Nous suivons le principe du moindre privilège en ce qui concerne la gestion des identités et des accès.
Gestionnaires de mots de passe
Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour les membres de l'équipe afin de gérer les mots de passe et de maintenir la complexité des mots de passe.
Assurance Cyber-Risques
Optania est protégée par une assurance contre les cyber-risques.
Fournisseurs de services tiers
Pour obtenir du soutien avec la prestation, le maintien, la protection et l’amélioration de nos services, Optania communique des renseignements à un petit groupe de partenaires, de fournisseurs et d’organisations de confiance afin qu’ils les traitent en notre nom et conformément à nos instructions, à nos politiques de confidentialité et à toute exigence en matière de protection de la vie privée, de sécurité ou autre. Ces entreprises n’ont accès qu’aux renseignements requis pour fournir les services prévus à Optania.
Le premier tableau ci-dessous présente les fournisseurs tiers de services auxquels Optania fait appel pour son produit, la manière dont Optania utilise leurs applications et les renseignements qui sont communiqués à ces fournisseurs ou recueillis par ceux-ci. Le deuxième tableau contient les mêmes renseignements, mais pour les fournisseurs auxquels nous faisons appel pour nos activités d’exploitation.
Cette liste pourrait changer au fil du temps, auquel cas nous nous efforcerons de la garder à jour. Si vous avez des questions, veuillez communiquer avec nous à l’adresse support@optania.com.
Fournisseurs tiers de services pour le produit Optania
| Nom | Lien vers la politique de confidentialité | Comment le service du fournisseur est-il utilisé? | Données recueillies par ces partenaires ou communiquées entre eux et Optania |
|---|---|---|---|
| Amazon Web Services | //aws.amazon.com/fr/agreement/ | AWS fournit des serveurs et des services d’/hébergement de documents à Optania. | Tout le contenu téléversé par les utilisateurs (fichiers, images) est hébergé par AWS. Le code de l’application est hébergé sur les serveurs d’AWS. L’ensemble des données d’utilisateur et des événements relatifs au produit sont stockés ici. Toutes les données personnelles enregistrées sont chiffrées à l’arrêt, et le transfert est aussi chiffré. |
| Bugsnag | //docs.bugsnag.com/legal/privacy-policy/ | Busgnag nous permet de faire le suivi des erreurs et des anomalies sur nos serveurs. | Production au niveau utilisateur de journaux de serveur et de journaux d’événements relatifs aux produits |
| Google Analytics | //policies.google.com/privacy | Google Analytics nous permet de gérer et de surveiller les interactions des utilisateurs. | Optania enregistre les données d’événements relatifs aux utilisateurs dans Google Analytics afin de mieux comprendre leur comportement. |
| Sendgrid | //www.twilio.com/legal/privacy | SendGrid nous permet d’envoyer des mises à jour par courriel. | Les adresses courriel et les autres données associées de niveau utilisateur (p. ex., le nom). |
| Sentry | //sentry.io/privacy/ | Sentry nous permet de surveiller et de visualiser la performance de nos serveurs. | Production au niveau utilisateur de journaux de serveur et de journaux d’événements relatifs aux produits |
| Stripe | //stripe.com/en-ca/privacy | Nous faisons appel à Stripe pour le traitement des paiements en ligne. | Données de facturation, nom et adresse du client qui achète le produit, type de vente, montant de la vente, mode de paiement et renseignements de paiement (données de carte de crédit). |
| Zoho Desk | //www.zoho.com/privacy.html | Zoho nous permet d’organiser les demandes de soutien et d’y répondre. Il nous permet aussi de gérer la base de connaissances. | Dans le cadre du processus de réponse aux demandes de soutien, Optania communique à Zoho Desk l’adresse courriel des enseignants qui font des demandes ainsi que le contenu de celles-ci (p. ex. rapports de bogue). Les utilisateurs peuvent aussi fournir des renseignements directement à Zoho Desk pendant qu’ils obtiennent une réponse à leur demande de soutien et qu’ils communiquent avec un préposé du service à la clientèle. |
Fournisseurs tiers de services dans le cadre de notre exploitation
| Nom | Lien vers la politique de confidentialité | Comment le service du fournisseur est-il utilisé? | Données recueillies par ces partenaires ou communiquées entre eux et Optania |
|---|---|---|---|
| GSuite for Work | //policies.google.com/privacy?hl=fr-CA | L’application est utilisée par Optania pour les courriels, les documents, les diaporamas, les feuilles de calcul, etc. destinés à usage interne. | Optania utilise les services Google pour stocker ses propres courriels et fichiers. Dans le cadre de son utilisation de ces services, Optania peut communiquer à Google des renseignements personnels, par exemple si un utilisateur envoie un courriel à un employé pour obtenir du soutien. |
| Slack | //slack.com/intl/fr-ca/trust/privacy/privacy-policy | Il s’agit d’une plateforme de messagerie pour les communications et notifications internes de Optania. | Dans le cadre de l’enquête suivant le signalement d’un bogue ou toute autre demande de soutien, et de la résolution du bogue le cas échéant, les membres de l’équipe Optania collaborent avec la messagerie Slack, et peuvent, ce faisant, partager entre eux l’adresse courriel des personnes qui présentent les demandes et le contenu de celles-ci (p. ex., rapports de bogue, autre demande pour le centre de soutien). |
| Trello | //www.trello.com/privacy/ | Il s’agit d’une plateforme interne de gestion de projets utilisée pour organiser le travail du personnel. | Trello est une plateforme de gestion du travail qui nous permet d’organiser les projets et les tâches entre nos différentes équipes. Nous l’utilisons pour gérer le développement du produit. |
| Zoho CRM | //www.zoho.com/privacy.html | Zoho est utilisé pour gérer et suivre les conversations avec les clients potentiels et actuels. | Zoho conserve des copies des échanges courriel et des renseignements sur les clients, dont le nom, l’adresse courriel, l’adresse physique/postale et le nom de l’organisation. |