Politique de sécurité et compatibilité RGPD de Gestion Entreprise
Les recommendations du RGPD mis en oeuvre par Gestion Entreprise :
Informations collectées et usage:
- Vos informations client (email, mot de passe de votre compte client, et éventuellement raison sociale, nom et prénom de contact, adresse, code postal, pays et numéro de TVA) sont stockées suite à la saisie de votre inscription. Ces informations nous permettent de réaliser la facturation au service.
- Nous stockons aussi les informations de mandat SEPA si vous avez opté pour le paiement SEPA, les 4 derniers chiffres de votre carte bancaire si vous avez opté pour le paiement par carte. Les informations complètes de votre carte bancaire (requises pour le paiement par carte) ne sont pas stockés par nos soins, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n'en avons pas connaissance, chaque prélèvement passe par une demande que nous adressons à ce prestataire. Lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe et ne font donc l'objet d'aucun stockage sur nos serveurs.
- Vous bénéficiez de la possibilité de demander la suppression de votre compte et des informations précédemment citées à tout moment.
Stockage des données et sauvegardes :
- Le stockage des données collectées est réalisé dans une base de données. Le mot de passe n'y est pas stocké, mais pour permettre la validation de votre connexion à votre espace client, nous stockons l'emprunte cryptée de ce mot de passe, générée par un algorithme de cryptage non réversible.
- L'hébergement de Gestion Entreprise est assuré dans un datacenter par OVH en France.
- Dès lors que vous avez souscrit à l'offre payante, une sauvegarde est réalisée de manière journalière et stockée sur disques de stockages hébergés sur un autre datacenter de OVH. Seuls les 15 derniers jours sont conservés. Les jeux de sauvegardes sont dans un format fichier et SQL standard garantissant la possibilité de les restaurer chez n'importe quelle autre hébergeur, quelque soit le système de base de donnée.
Sous-traitants :
Gestion Entreprise s'appuie sur les sous-traitants et services suivant :
- L'hébergeur des serveurs informatiques, qui est OVH (production et 1er niveau de sauvegardes). Ces serveurs sont hébergées en Europe (France). Aucune information client Gestion Entreprise n'est communiquée à ces sous-traitant qui ne fournissent que la couche matérielle et réseau, l'installation et l'exploitation étant réalisée par Gestion Entreprise directement.
- Le service de paiement en ligne Stripe. Celui-ci est utilisé, dans le but d'assurer le paiement régulier de l'abonnement. Ce n'est pas Gestion Entreprise qui communique vos informations cartes bancaires car nous ne les possédons pas. En effet, lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe (via un interface hébergées par Stripe) lors de la saisie du numéro pour réaliser le paiement (nous récupérons toutefois de Stripe les 4 derniers chiffres, ce qui nous permet de pouvoir identifier/analyser des problèmes de paiement, nous récupérons aussi un jeton propre à votre compte qui nous permet de demander à Stripe de réaliser le paiement à chaque nouvelle échéance).
- Le service de validation IPQualityScore. Celui-ci est utilisé afin de valider que votre adresse IP utilisée pour l'inscription n'est pas recensée comme une adresses IP utilisée pour des actions douteuses comme du SPAM ou des tentatives de piratages. Seul le couple adresse IP / User agent utilisé lors de l'inscription est transmise à ce service.
Protection des logiciels :
- Gestion Entreprise tourne sur des systèmes et logiciels de type Linux Debian. Ils bénéficient des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation les publient.
- L'espace client ainsi que les instances clients sont accessibles obligatoirement en mode HTTPS (HTTP crypté) via l'algorithme SHA256.
- L'espace client ainsi que les instances clients sont protégés par différents dispositifs représentant en terme de sécurité informatique : Parefeu, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection et anti-XSS. Des tests de qualité et non régressions, aussi bien sur le code des composants logiciels qui gèrent votre espace client que sur le code du logiciel qui est fourni par le service Gestion Entreprise, sont réalisés via des outils spécialisés.
Vols de données :
- En cas de suspiscion d'un vol des données que nous avons collectés, les clients Gestion Entreprise seront informés par email correspondant à leur compte client.
J'utilise une solution sur Gestion Entreprise, suis-je en règle avec le RGPD ?
En utilisant un logiciel de gestion, vous stockez des informations et vous devenez "collecteur de données". A ce titre, si vous êtes en Europe, ou si vous stockez des informations sur des entités européennes, vous devez respecter les règles du RGPD.
Ce n'est pas le logiciel qui fait que vous respectez ou non le RGPD mais l'utilisation que vous en fait et la documentation de vos processus d'entreprise que vous exécutez. Quelque soit les logiciels utilisés, vous vous devez de :
- Décrire les informations que vous stocker avec le logiciel, leur moyen de collecte, et ce que vous en faites.
- Permettre aux personnes concernés par le stockage de données personnelles de demander la suppression de leur données si vous n'en avez plus besoin.
- Si vous communiquez les données que vous collectez / stockez à des sous-traitant, vous devez informer sur la nature de ces données et à qui elles sont communiquées.
- Définir et publier un contact référent RGPD.
- Communiquer dans le cas de connaissance d'un vol de données ou d'intrusion non désirée dans votre logiciel.
- Pour vous aider à remplir votre Registre RGPD, voici quelques informations sur le logiciel que vous utilisez :
- Le système d'exploitation qui héberge l'instance de votre logiciel est de type Linux Debian. Il bénéficie des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation les publient.
- Les données sont stockées dans une base de données de type MariaDb, le logiciel proposé sur Gestion Entreprise ne stocke pas les informations de type "Mot de passe" (empêchant donc tout vol direct) mais uniquement une emprunte réalisée par un algorithme de cryptage non réversible.
- L'instance de votre logiciel est accessible obligatoirement en mode HTTPS (HTTP crypté) via l'algorithme SHA256.
- L'instance de votre logiciel est protégée par différents dispositifs représentant en terme de sécurité informatique : Parefeu, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection, anti-XSS. Des tests sur le code du logiciel mis à disposition sont réalisés via des outils spécialisés.
- Dès lors que vous avez souscrit à l'offre payante, une sauvegarde est réalisée de manière journalière et stockée sur disques de stockages hébergés sur un autre datacenter de OVH. Seuls les 15 derniers jours sont conservés. Les jeux de sauvegardes sont dans un format fichier et SQL standard garantissant la possibilité de les restaurer chez n'importe quelle autre hébergeur, quelque soit le système de base de donnée.