Nos pratiques de sécurité

Nos pratiques de sécurité

Dans un objectif de transparence et pour répondre au mieux aux exigences de sécurité de nos clients, nous partageons à travers cette politique, les pratiques de sécurité mises en œuvre chez AB Tasty. Vous trouverez également nos réponses aux questions les plus fréquemment posées à propos de la sécurité.

Confidentialité

Accès aux données

Gestion des accès

Nous appliquons le principe du moindre privilège, c’est-à-dire que seul un nombre restreint de personnes peuvent accéder aux données de nos clients. Ces personnes sont identifiées nominativement et une trace de leurs accès est systématiquement conservée.

L’accès aux données clients est autorisé uniquement lorsque la maintenance de nos services le nécessite ou à des fins de support client.

De plus, les droits d’accès accordés sont mis à jour et régulièrement revus et tout notre personnel est soumis à une clause de confidentialité.

Conservation

Les données sont purgées automatiquement 25 mois après leur collecte. Aujourd’hui, il n’est pas possible de personnaliser la durée de conservation directement dans la solution.

Suppression

Au terme des contrats, nous supprimons automatiquement les comptes utilisateurs de notre plateforme et nous mettons les campagnes en pause.

Vous avez la possibilité de faire une demande de suppression des données à dpo@abtasty.com.

Restitution

La solution d’AB Tasty vous offre la possibilité de récupérer vous-même, à tout moment, les données de vos campagnes de test via sa fonctionnalité d’export de données au format .csv.

Authentification

Nos utilisateurs ont plusieurs possibilités pour s’authentifier sur notre plateforme :

L’authentification simple

L’utilisateur s’authentifie grâce à un couple login / mot de passe.

Le mot de passe doit respecter les conditions de complexité suivantes :

  • Être composé d’au moins 12 caractères
  • Contenir au moins 1 majuscule, 1 minuscule, 1 chiffre ou caractère spécial
  • Être changé à la première connexion

Le mot de passe est stocké dans notre base de données sous un format hashé et salé, c’est-à-dire que nous ne stockons jamais le mot de passe en clair.

L’authentification multifacteur

En plus du couple login / mot de passe, l’utilisateur renseigne un code envoyé par SMS pour se connecter à la plateforme.

La fédération d’identité

Notre plateforme est compatible SAML v2, vous avez donc la possibilité d’utiliser votre propre solution de fédération d’identité pour vous authentifier.

Gestion des permissions

Les permissions au sein de la solution sont accordées selon le modèle d’habilitation RBAC (Role Based Access Control).

Il existe plusieurs rôles utilisateurs.

Chiffrement

Les données collectées sont chiffrées en transit (HTTPS/TLS 1.2+).

Nous effectuons une veille permanente pour suivre les évolutions du marché et appliquer les derniers standards en matière de cryptographie afin d’assurer la meilleure protection à nos utilisateurs.

Séparation des environnements clients

Les données collectées sur les sites de nos clients sont stockées dans une base de données qui leur est dédiée pour prévenir tout accès non autorisé.

Intégrité

Gestion des changements

AB Tasty souhaite offrir le meilleur produit possible à ses clients. C’est pourquoi notre plateforme est en constante évolution et nous déployons régulièrement de nouvelles versions.

Pour ne pas introduire de bugs ou des vulnérabilités lors de ces évolutions, tous les changements apportés à notre plateforme sont strictement encadrés.

Nous avons adopté une approche automatisée d’intégration et de mise en production continue. Chaque fois qu’un développeur modifie le code source de la plateforme, celui-ci est revu par un pair. Une série de tests unitaires et fonctionnels sont systématiquement effectués en environnement de staging et de pré-production avant une mise en production.

Checksum

Nos solutions permettent de modifier et personnaliser facilement l’interface graphique de vos sites.
Pour ABTasty, ces modifications sont enregistrées dans un fichier nommé Tag.js puis il est stocké dans un espace sécurisé.

Pour renforcer davantage la sécurité du Tag.js, vous avez la possibilité de vérifier son intégrité en comparant son empreinte (checksum) à celle que nous avons calculée au moment de son dépôt dans notre espace de stockage grâce à notre API public.

Disponibilité

Datacenter

Toute notre infrastructure informatique (applicatifs, réseau et stockage) repose sur des fournisseurs de services cloud (AWS et Google Cloud) répondant aux meilleurs standards du marché et aux certifications ISO 27001 et SOC 2.

Sauvegardes

Nous effectuons des sauvegardes de vos instances de base de données avec une période de rétention de 3 jours.

Les données collectées sont quant à elles répliquées en temps réel dans plusieurs zones, permettant d’assurer leur disponibilité à tout moment.

Plan de reprise d’activité

Les sauvegardes et la redondance de notre infrastructure informatique dans plusieurs centres de données de nos fournisseurs de services cloud nous permettent d’assurer la disponibilité de nos services en cas de sinistre.

Nous testons notre plan de reprise d’activité au moins une fois par an pour vérifier que les procédures de restauration et l’organisation définie fonctionnent correctement.

Niveau de service garanti (SLA)

Nous garantissons contractuellement la disponibilité de nos services. Les niveaux de service garanti sont consultables en annexe des conditions générales de service.

Vous pouvez consulter l’état de nos services en quasi temps réel sur une page web dédiée.

Traçabilité

Journalisation

Nous conservons une trace de tous les accès aux données. Les informations enregistrées à minima sont la date, l’heure, l’origine de l’action (l’utilisateur ou la ressource) et le type d’opération (insert, update, delete, etc).

L’accès aux journaux est limité au strict minimum afin de préserver leur intégrité et pour qu’ils puissent être utilisés comme éléments d’investigation en cas d’incident de sécurité ou bien comme preuves lors d’éventuelles procédures judiciaires.

Contrôles de sécurité

Ressources humaines

Avant de rejoindre AB Tasty, tous nos employés sont passés par un processus de recrutement rigoureux. Leurs antécédents ont été contrôlés et nous nous assurons qu’ils possèdent les compétences requises pour le poste qu’ils vont occuper.

L’ensemble de notre personnel est soumis à une clause de confidentialité qui perdure à l’issue de leur contrat de travail.

AB Tasty présente une charte de bonne utilisation des ressources informatiques à tous les nouveaux arrivants. Cette charte est annexée au règlement intérieur et est, par conséquent, opposable à l’ensemble de son personnel. Toute personne qui ne respecterait pas les règles de sécurité peut faire l’objet de mesures disciplinaires.

Sécurité physique

L’accès aux locaux d’AB Tasty, que ce soit pour son personnel ou ses visiteurs, est strictement encadré et contrôlé par des dispositifs de sécurité tels que la vidéosurveillance, une alarme anti-intrusion ou des badges d’accès électroniques.

Nous sommes très attachés au respect de la confidentialité des informations au sein même des locaux comme en extérieur. Nous ne laissons aucun document ou information confidentielle à la vue de tous.

Toute l’infrastructure informatique est hébergée chez nos fournisseurs de services cloud répondant à la certification ISO 27 001.

Surveillance, audits et correction des vulnérabilités

En plus des contrôles de sécurité effectués en interne par les équipes d’AB Tasty comme une revue périodique des habilitations, nous faisons régulièrement appel à des prestataires de sécurité indépendants pour auditer nos services.

Nous faisons réaliser annuellement un test d’intrusion pour mettre à jour d’éventuelles vulnérabilités et failles de sécurité. Lorsque de telles failles sont découvertes, nous apportons dans les plus brefs délais les correctifs de sécurité nécessaires.

Protection et dispositifs de sécurité

Tous nos systèmes sont protégés par des dispositifs de sécurité tels que des logiciels antivirus, anti-malware ou des pare-feu.

L’accès à nos serveurs et notre environnement de production est protégé par la mise en place d’une authentification forte et par un bastion d’administration dédié, accessible via VPN.

La configuration des serveurs est renforcée. Les services et les ports ouverts sont réduits au strict nécessaire pour réduire au maximum la surface d’attaque et limiter notre exposition aux cybermenaces.

Incident de sécurité

Nous informons nos clients de tout incident de sécurité qui pourrait les impacter directement ou indirectement. Nous avons défini une procédure de gestion des incidents de sécurité pour nous préparer au mieux à cette éventualité.

Vous pouvez nous signaler tout événement ou anomalie pouvant avoir une incidence sur la sécurité des données à l’adresse email suivante : bounty@abtasty.com