La sécurité des données chez Dext France
Dext met à disposition des experts-comptables et dirigeants français tous les outils nécessaires pour automatiser la tenue comptable, dans un environnement cloud 100 % sécurisé. Gardez l’esprit tranquille : notre équipe assure chaque jour la protection et la fiabilité de vos données.
Contenu traduit automatiquement
Nous souhaitions que nos clients français puissent comprendre plus facilement les informations présentées ici, dont les éléments proviennent de cette page, rédigée en anglais. Dext a donc utilisé ChatGPT, afin d'automatiser la traduction de la page. Cet outil n'est pas parfait et la traduction automatique peut ne pas tenir compte du contexte, le sens complet peut être perdu ou des mots peuvent être traduits de manière inexacte. Par conséquent, Dext ne peut garantir l'exactitude du texte converti et celui-ci doit être utilisé pour vous donner des indications générales sur le contenu de cette page. Toute personne se fiant aux informations obtenues à partir de la traduction de cette page par ChatGPT le fait à ses propres risques. Dext décline entièrement et n'acceptera aucune responsabilité pour les dommages ou les pertes de toute nature causés par l'utilisation de la page traduite de ChatGPT. En cas de divergences ou différences entre la traduction de ChatGPT et la page originale en anglais, c'est la version originale, rédigée en anglais, qui prévaut légalement. Aucune garantie d'aucune sorte, explicite ou implicite, n'est donnée quant à l'exactitude, la fiabilité ou la justesse des traductions effectuées de l'anglais vers une autre langue.
Dernière mise à jour : Mars 2023
Chez Dext, nous nous engageons à protéger la confidentialité, l'intégrité et la disponibilité des données de nos systèmes d'information et des données de nos clients. Nous améliorons constamment nos contrôles de sécurité et analysons leur efficacité pour vous donner confiance dans notre solution.
Ici, nous fournissons un aperçu de certains des contrôles de sécurité en place pour protéger vos données.
Vous pouvez contacter notre équipe de sécurité à security@dext.com
Sécurité Cloud
Sécurité physique des centres de données
Installations
Dext utilise Amazon AWS pour l'hébergement des centres de données. Les centres de données AWS sont certifiés ISO 27001, fournisseur de services PCI DSS niveau 1, et/ou conformes SOC 1 et 2. En savoir plus sur la conformité chez AWS.
AWS emploie des contrôles robustes pour assurer la disponibilité et la sécurité de leurs systèmes. Cela comprend des mesures telles que l'alimentation de secours, l'équipement de détection et de suppression d'incendie, la destruction sécurisée des dispositifs, entre autres. En savoir plus sur les contrôles des centres de données chez AWS.
Sécurité sur site
AWS met en œuvre des contrôles de sécurité physique multicouches pour assurer la sécurité sur site, y compris des gardes de sécurité vérifiés, des clôtures, une surveillance vidéo, une technologie de détection d'intrusion et plus encore. En savoir plus sur la sécurité physique chez AWS.
Sécurité réseau
Équipe de sécurité interne
Dext dispose d'une équipe dédiée et passionnée de sécurité et d'opérations pour répondre aux alertes et événements de sécurité.
Tests de pénétration par des tiers
Des tests de pénétration par des tiers sont effectués contre l'application et l'infrastructure de support au moins annuellement. Toute découverte résultant des tests est suivie jusqu'à la remédiation. Les rapports sont disponibles sur demande avec un NDA approprié en place.
Détection des menaces
Dext utilise des services de détection des menaces au sein d'AWS pour surveiller en continu les activités malveillantes et non autorisées.
Analyse des vulnérabilités
Nous effectuons régulièrement des analyses internes pour la détection des vulnérabilités de l'infrastructure et des applications. Lorsque des problèmes sont identifiés, ils sont suivis jusqu'à la remédiation.
Atténuation des DoS
Dext utilise plusieurs stratégies et outils de protection contre les DDoS pour atténuer les menaces DDoS. Nous utilisons le CDN sophistiqué de Cloudflare avec protection DDoS intégrée ainsi que les outils natifs d'AWS et des techniques d'atténuation spécifiques aux applications.
Contrôle d'accès
L'accès est limité en suivant le modèle du moindre privilège nécessaire pour que notre personnel puisse effectuer son travail. Ceci est sujet à des audits internes fréquents et à une application et surveillance techniques pour assurer la conformité. Le 2FA est requis pour tous les systèmes de production.
Cryptage
En transit
La communication avec Dext est cryptée avec TLS 1.2 ou supérieur sur les réseaux publics. Nous suivons les tests et recherches communautaires dans ce domaine et continuons d'adopter les meilleures pratiques en termes d'adoption de chiffrement et de configuration TLS.
Au repos
Les données de Dext sont cryptées au repos avec le cryptage AES-256 standard de l'industrie. Par défaut, nous cryptons au niveau de l'actif ou de l'objet.
Disponibilité & Continuité
Disponibilité
Dext est déployé sur une infrastructure cloud publique. Les services sont déployés dans plusieurs zones de disponibilité pour la disponibilité et sont configurés pour évoluer dynamiquement en réponse à la charge mesurée et attendue. Des tests de charge simulés et des tests de temps de réponse de l'API sont intégrés dans notre cycle de sortie et de test.
Dext maintient une page de statut publiquement disponible qui comprend des détails sur la disponibilité du système classés par zones de produit, des fenêtres de maintenance programmées, l'historique des incidents de service et les détails des incidents.
Récupération après sinistre
En cas de panne majeure de région, Dext a la capacité de déployer notre application dans une nouvelle région d'hébergement. Notre plan de récupération après sinistre assure la disponibilité des services et la facilité de récupération en cas de tel désastre. Ce plan est régulièrement testé et révisé pour des améliorations ou automatisations.
Le déploiement DR est géré par les mêmes processus de gestion de configuration et de sortie que notre environnement de production, garantissant que toutes les configurations et contrôles de sécurité sont appliqués de manière appropriée.
Sécurité des applications
Assurance qualité
L'équipe d'Assurance Qualité de Dext examine et teste la base de code. L'équipe de sécurité dispose de ressources pour enquêter et recommander la remédiation des vulnérabilités de sécurité dans le code. Des synchronisations régulières, des formations et des ressources de sécurité sont fournies à l'équipe QA.
Ségrégation de l'environnement
Les environnements de test, de préproduction et de production sont séparés les uns des autres. Aucune donnée client n'est utilisée dans un environnement non productif.
Champions de la sécurité
Dext gère un programme Champions de la Sécurité avec la participation et les contributions de chacune des équipes de développement.
Sécurité personnelle
Sensibilisation à la sécurité
Dext dispose d'un programme robuste de formation à la sensibilisation à la sécurité qui est délivré dans les 30 jours suivant les nouvelles embauches et annuellement pour tous les employés. De plus, nous déployons une formation trimestrielle ciblée pour les départements clés, y compris le Codage Sécurisé, la Législation sur les Données et les obligations de Conformité.
Programme de sécurité de l'information
Dext dispose d'un ensemble complet de politiques de sécurité de l'information couvrant une gamme de sujets. Celles-ci sont diffusées à tous les employés et entrepreneurs et l'accusé de réception est suivi sur les politiques clés telles que l'Utilisation Acceptable et la Politique de Sécurité de l'Information.
Contrôles d'accès
L'accès aux systèmes et aux dispositifs réseau est basé sur un processus de demande documenté et approuvé. L'accès logique aux serveurs de la plateforme et aux systèmes de gestion nécessite une authentification à deux facteurs. Une vérification périodique est effectuée pour déterminer que le propriétaire d'un identifiant utilisateur est toujours employé et assigné au rôle approprié. L'accès est en outre restreint par les permissions système utilisant une méthodologie du moindre privilège et toutes les permissions nécessitent un besoin commercial documenté. Les exceptions identifiées lors du processus de vérification sont remédiées. Une revalidation du besoin commercial est effectuée sur une base trimestrielle pour déterminer que l'accès est conforme à la fonction du travail de l'utilisateur. Les exceptions identifiées lors du processus de revalidation sont remédiées. L'accès utilisateur est révoqué lors de la cessation d'emploi ou du changement de rôle professionnel.
Confidentialité des données
Politique de confidentialité
La politique de confidentialité de Dext, qui décrit comment nous traitons les données saisies dans Dext, peut être trouvée ici. Pour des questions ou préoccupations concernant la confidentialité, veuillez contacter notre Délégué à la Protection des Données (DPO) à dpo@dext.com
Sécurité des tiers
Gestion des fournisseurs
Dext comprend les risques associés à une mauvaise gestion des fournisseurs. Nous évaluons et soumettons à un processus d'intégration des fournisseurs et des étapes sur tous nos fournisseurs avant l'engagement pour garantir que leur sécurité est à un niveau approprié. S'ils ne répondent pas à nos exigences, nous ne poursuivons pas avec eux. Les fournisseurs sélectionnés sont ensuite surveillés et réévalués de manière continue, en tenant compte des changements pertinents.
De plus, nous avons préparé une FAQ sur la manière dont nous traitons et utilisons les données, qui peut être trouvée ici.
Divulgation responsable
Chez Dext, nous considérons la sécurité de nos systèmes comme une priorité absolue et Dext croit que travailler avec une communauté de recherche en sécurité compétente aide à améliorer notre posture de sécurité.
Politique de divulgation :
- Veuillez noter que nous n'avons actuellement aucune pratique de paiement de primes pour aucun bug de sécurité. Nous pensons qu'une divulgation responsable bénéficiera à toutes les parties impliquées.
- Si vous pensez avoir découvert une vulnérabilité potentielle, veuillez nous informer en voyant un e-mail à security@dext.com.
- Cryptez votre e-mail en utilisant notre clé PGP (comment faire) pour éviter que ces informations critiques ne tombent entre de mauvaises mains. Nous accusons réception de votre e-mail dans les 5 jours.
- Veuillez ne pas tirer partie de la vulnérabilité ou du problème que vous avez découvert, par exemple en montrant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant/modifiant les données d'autres personnes. Pour les tests, utilisez uniquement les comptes que vous possédez vous-même, ou pour lesquels vous avez l'autorisation explicite du titulaire du compte.
- Donnez-nous un délai raisonnable pour résoudre le problème avant de le divulguer au public ou à un tiers et inclure suffisamment d'informations pour reproduire la vulnérabilité.
- Nous vous recommandons d'inclure les informations suivantes lorsque vous signalez une vulnérabilité de sécurité potentielle : Résumé, Sévérité, URL, Étapes et preuves de concept telles que des captures d'écran ou des vidéos.
Exclusions :
Lors de vos recherches, nous vous demandons de vous abstenir de :
- Denial of Service (DOS) et Distributed Denial of Service (DDOS)
- Spamming
- Ingénierie sociale ou phishing des employés ou entrepreneurs
- Toute attaque contre la propriété physique ou les centres de données de Dext Scanner
- l'infrastructure ou les produits de Dext en utilisant des scanners de vulnérabilité automatisés.
- Suivez notre politique d'utilisation du site Web et les conditions générales.
Merci d'aider à garder Dext et nos utilisateurs en sécurité ! Bonne chasse aux bugs.