Essayer gratuitement

La sécurité des données chez Dext France

Dext met à disposition des experts-comptables et dirigeants français tous les outils nécessaires pour automatiser la tenue comptable, dans un environnement cloud 100 % sécurisé. Gardez l’esprit tranquille : notre équipe assure chaque jour la protection et la fiabilité de vos données.

Illustration d’un DPO assurant la sécurité des données traitées par Dext

Contenu traduit automatiquement

Nous souhaitions que nos clients français puissent comprendre plus facilement les informations présentées ici, dont les éléments proviennent de cette page, rédigée en anglais. Dext a donc utilisé ChatGPT, afin d'automatiser la traduction de la page. Cet outil n'est pas parfait et la traduction automatique peut ne pas tenir compte du contexte, le sens complet peut être perdu ou des mots peuvent être traduits de manière inexacte. Par conséquent, Dext ne peut garantir l'exactitude du texte converti et celui-ci doit être utilisé pour vous donner des indications générales sur le contenu de cette page. Toute personne se fiant aux informations obtenues à partir de la traduction de cette page par ChatGPT le fait à ses propres risques. Dext décline entièrement et n'acceptera aucune responsabilité pour les dommages ou les pertes de toute nature causés par l'utilisation de la page traduite de ChatGPT. En cas de divergences ou différences entre la traduction de ChatGPT et la page originale en anglais, c'est la version originale, rédigée en anglais, qui prévaut légalement. Aucune garantie d'aucune sorte, explicite ou implicite, n'est donnée quant à l'exactitude, la fiabilité ou la justesse des traductions effectuées de l'anglais vers une autre langue.

Dernière mise à jour : Mars 2023

Chez Dext, nous nous engageons à protéger la confidentialité, l'intégrité et la disponibilité des données de nos systèmes d'information et des données de nos clients. Nous améliorons constamment nos contrôles de sécurité et analysons leur efficacité pour vous donner confiance dans notre solution.

Ici, nous fournissons un aperçu de certains des contrôles de sécurité en place pour protéger vos données.

Vous pouvez contacter notre équipe de sécurité à security@dext.com


Sécurité Cloud

Sécurité physique des centres de données

Installations

Dext utilise Amazon AWS pour l'hébergement des centres de données. Les centres de données AWS sont certifiés ISO 27001, fournisseur de services PCI DSS niveau 1, et/ou conformes SOC 1 et 2. En savoir plus sur la conformité chez AWS.

AWS emploie des contrôles robustes pour assurer la disponibilité et la sécurité de leurs systèmes. Cela comprend des mesures telles que l'alimentation de secours, l'équipement de détection et de suppression d'incendie, la destruction sécurisée des dispositifs, entre autres. En savoir plus sur les contrôles des centres de données chez AWS.

Sécurité sur site

AWS met en œuvre des contrôles de sécurité physique multicouches pour assurer la sécurité sur site, y compris des gardes de sécurité vérifiés, des clôtures, une surveillance vidéo, une technologie de détection d'intrusion et plus encore. En savoir plus sur la sécurité physique chez AWS.


Sécurité réseau

Équipe de sécurité interne

Dext dispose d'une équipe dédiée et passionnée de sécurité et d'opérations pour répondre aux alertes et événements de sécurité.

Tests de pénétration par des tiers

Des tests de pénétration par des tiers sont effectués contre l'application et l'infrastructure de support au moins annuellement. Toute découverte résultant des tests est suivie jusqu'à la remédiation. Les rapports sont disponibles sur demande avec un NDA approprié en place.

Détection des menaces

Dext utilise des services de détection des menaces au sein d'AWS pour surveiller en continu les activités malveillantes et non autorisées.

Analyse des vulnérabilités

Nous effectuons régulièrement des analyses internes pour la détection des vulnérabilités de l'infrastructure et des applications. Lorsque des problèmes sont identifiés, ils sont suivis jusqu'à la remédiation.

Atténuation des DoS

Dext utilise plusieurs stratégies et outils de protection contre les DDoS pour atténuer les menaces DDoS. Nous utilisons le CDN sophistiqué de Cloudflare avec protection DDoS intégrée ainsi que les outils natifs d'AWS et des techniques d'atténuation spécifiques aux applications.

Contrôle d'accès

L'accès est limité en suivant le modèle du moindre privilège nécessaire pour que notre personnel puisse effectuer son travail. Ceci est sujet à des audits internes fréquents et à une application et surveillance techniques pour assurer la conformité. Le 2FA est requis pour tous les systèmes de production.


Cryptage

En transit

La communication avec Dext est cryptée avec TLS 1.2 ou supérieur sur les réseaux publics. Nous suivons les tests et recherches communautaires dans ce domaine et continuons d'adopter les meilleures pratiques en termes d'adoption de chiffrement et de configuration TLS.

Au repos

Les données de Dext sont cryptées au repos avec le cryptage AES-256 standard de l'industrie. Par défaut, nous cryptons au niveau de l'actif ou de l'objet.

Disponibilité & Continuité

Disponibilité

Dext est déployé sur une infrastructure cloud publique. Les services sont déployés dans plusieurs zones de disponibilité pour la disponibilité et sont configurés pour évoluer dynamiquement en réponse à la charge mesurée et attendue. Des tests de charge simulés et des tests de temps de réponse de l'API sont intégrés dans notre cycle de sortie et de test.

Dext maintient une page de statut publiquement disponible qui comprend des détails sur la disponibilité du système classés par zones de produit, des fenêtres de maintenance programmées, l'historique des incidents de service et les détails des incidents.

Récupération après sinistre

En cas de panne majeure de région, Dext a la capacité de déployer notre application dans une nouvelle région d'hébergement. Notre plan de récupération après sinistre assure la disponibilité des services et la facilité de récupération en cas de tel désastre. Ce plan est régulièrement testé et révisé pour des améliorations ou automatisations.

Le déploiement DR est géré par les mêmes processus de gestion de configuration et de sortie que notre environnement de production, garantissant que toutes les configurations et contrôles de sécurité sont appliqués de manière appropriée.

Sécurité des applications

Assurance qualité

L'équipe d'Assurance Qualité de Dext examine et teste la base de code. L'équipe de sécurité dispose de ressources pour enquêter et recommander la remédiation des vulnérabilités de sécurité dans le code. Des synchronisations régulières, des formations et des ressources de sécurité sont fournies à l'équipe QA.

Ségrégation de l'environnement

Les environnements de test, de préproduction et de production sont séparés les uns des autres. Aucune donnée client n'est utilisée dans un environnement non productif.

Champions de la sécurité

Dext gère un programme Champions de la Sécurité avec la participation et les contributions de chacune des équipes de développement.


Sécurité personnelle

Sensibilisation à la sécurité

Dext dispose d'un programme robuste de formation à la sensibilisation à la sécurité qui est délivré dans les 30 jours suivant les nouvelles embauches et annuellement pour tous les employés. De plus, nous déployons une formation trimestrielle ciblée pour les départements clés, y compris le Codage Sécurisé, la Législation sur les Données et les obligations de Conformité.

Programme de sécurité de l'information

Dext dispose d'un ensemble complet de politiques de sécurité de l'information couvrant une gamme de sujets. Celles-ci sont diffusées à tous les employés et entrepreneurs et l'accusé de réception est suivi sur les politiques clés telles que l'Utilisation Acceptable et la Politique de Sécurité de l'Information.

Contrôles d'accès

L'accès aux systèmes et aux dispositifs réseau est basé sur un processus de demande documenté et approuvé. L'accès logique aux serveurs de la plateforme et aux systèmes de gestion nécessite une authentification à deux facteurs. Une vérification périodique est effectuée pour déterminer que le propriétaire d'un identifiant utilisateur est toujours employé et assigné au rôle approprié. L'accès est en outre restreint par les permissions système utilisant une méthodologie du moindre privilège et toutes les permissions nécessitent un besoin commercial documenté. Les exceptions identifiées lors du processus de vérification sont remédiées. Une revalidation du besoin commercial est effectuée sur une base trimestrielle pour déterminer que l'accès est conforme à la fonction du travail de l'utilisateur. Les exceptions identifiées lors du processus de revalidation sont remédiées. L'accès utilisateur est révoqué lors de la cessation d'emploi ou du changement de rôle professionnel.


Confidentialité des données

Politique de confidentialité

La politique de confidentialité de Dext, qui décrit comment nous traitons les données saisies dans Dext, peut être trouvée ici. Pour des questions ou préoccupations concernant la confidentialité, veuillez contacter notre Délégué à la Protection des Données (DPO) à dpo@dext.com

Sécurité des tiers

Gestion des fournisseurs

Dext comprend les risques associés à une mauvaise gestion des fournisseurs. Nous évaluons et soumettons à un processus d'intégration des fournisseurs et des étapes sur tous nos fournisseurs avant l'engagement pour garantir que leur sécurité est à un niveau approprié. S'ils ne répondent pas à nos exigences, nous ne poursuivons pas avec eux. Les fournisseurs sélectionnés sont ensuite surveillés et réévalués de manière continue, en tenant compte des changements pertinents.

De plus, nous avons préparé une FAQ sur la manière dont nous traitons et utilisons les données, qui peut être trouvée ici.

Divulgation responsable

Chez Dext, nous considérons la sécurité de nos systèmes comme une priorité absolue et Dext croit que travailler avec une communauté de recherche en sécurité compétente aide à améliorer notre posture de sécurité.


Politique de divulgation :

  • Veuillez noter que nous n'avons actuellement aucune pratique de paiement de primes pour aucun bug de sécurité. Nous pensons qu'une divulgation responsable bénéficiera à toutes les parties impliquées.
  • Si vous pensez avoir découvert une vulnérabilité potentielle, veuillez nous informer en voyant un e-mail à security@dext.com.
  • Cryptez votre e-mail en utilisant notre clé PGP (comment faire) pour éviter que ces informations critiques ne tombent entre de mauvaises mains. Nous accusons réception de votre e-mail dans les 5 jours.
  • Veuillez ne pas tirer partie de la vulnérabilité ou du problème que vous avez découvert, par exemple en montrant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant/modifiant les données d'autres personnes. Pour les tests, utilisez uniquement les comptes que vous possédez vous-même, ou pour lesquels vous avez l'autorisation explicite du titulaire du compte.
  • Donnez-nous un délai raisonnable pour résoudre le problème avant de le divulguer au public ou à un tiers et inclure suffisamment d'informations pour reproduire la vulnérabilité.
  • Nous vous recommandons d'inclure les informations suivantes lorsque vous signalez une vulnérabilité de sécurité potentielle : Résumé, Sévérité, URL, Étapes et preuves de concept telles que des captures d'écran ou des vidéos.

Exclusions :

Lors de vos recherches, nous vous demandons de vous abstenir de :

  • Denial of Service (DOS) et Distributed Denial of Service (DDOS)
  • Spamming
  • Ingénierie sociale ou phishing des employés ou entrepreneurs
  • Toute attaque contre la propriété physique ou les centres de données de Dext Scanner
  • l'infrastructure ou les produits de Dext en utilisant des scanners de vulnérabilité automatisés.
  • Suivez notre politique d'utilisation du site Web et les conditions générales.


Merci d'aider à garder Dext et nos utilisateurs en sécurité ! Bonne chasse aux bugs.