Prestations informatiques
Conseil Assistance Réalisations
La loi RGPD (Règlement Général sur la Protection des Données à caractère personnel) applicable à partir du 25 mai 2018 donne à chaque citoyen de l’union européenne le contrôle sur l’usage de ses données en toute transparence. Celui-ci dispose d’un droit à la rectification, l’oubli, la portabilité, l’opposition, et à l’accès à l’ensemble des vos données personnelles le concernant enregistrées dans les différents fichiers informatiques.
Nos clients doivent respecter ce règlement et le signifier à leurs propres clients.
L’article 28, al. 3, du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes qu’auparavant.
Concernant les logiciels Gaillard & Martini, toutes les informations contenues dans les bases de données ne sont en aucun cas vendues, transférées ou échangées à d’autres personnes ou entreprises.
Ces logiciels étant des outils de gestion, les données servent uniquement à une gestion comptable (Comptabilité, Paye, Facturation,…) à des listes statistiques et mailings internes ceci uniquement par le client propriétaire.
Il est possible dans chacun des logiciels de vérifier ou supprimer des données en cas de demande d’un client final. L’utilisateur du logiciel reste responsable de la bonne suite donnée à chacune de ces demandes et restons à sa disposition pour toute aide ou formation à fournir pour y parvenir.
De notre côté, nous garantissons la confidentialité des données avec un niveau de sécurité adapté aux risques auxquels sont confrontées les entreprises et nous engageons à supprimer ou à restituer les données en sa possession.
Concernant l’hébergement des données par la société Gaillard & Martini, en vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ». Pour héberger les données, la société Gaillard & Martini s’engage à utiliser uniquement les services de sociétés avec lesquelles un contrat encadrant le traitement de données personnelles a été mis en œuvre avec des conditions de service comportant une annexe relative au traitement de données personnelles en application du RGP. C’est le cas de la société OVH qui héberge la plupart de nos serveurs : https://www.ovh.com/fr/protection-donnees-personnelles/
Toujours en cas d’hébergement par nos soins, concernant la durée pendant laquelle les données seront stockées celle-ci peut être illimitée tant qu’un contrat d’hébergement reste valide et tant qu’aucune demande de suppression n’a été reçue par la société Gaillard & Martini. Un contrôle d'accès aux serveurs et bâtiments (Datacenter) suffisant est mis en œuvre pour empêcher toute personne non autorisée d'accéder aux données.
En complément, nous avons conscience que nos solutions logicielles et les services associés peuvent faire partie des contrôles et de traitements spécifiques que nos entreprises clientes vont devoir mettre en œuvre pour l’explication et pour le suivi de leurs propres obligations relativement au RGPD. Afin d’accompagner nos clients dans cette démarche, Gaillard & Martini les soutient afin qu’ils puissent les intégrer à leur propre plan de conformité.
Authentification des utilisateurs
Notre application fonctionne sur le mode SAAS. Une politique de sécurité sur plusieurs niveaux est définie sur chacun de nos serveurs.
Si nous n’imposons pas de changement périodique des mots de passe, ceux-ci sont robustes (calcul) et notre client (interlocuteur unique) peut à tout moment en faire la demande.
Le mot de passe est diffèrent par utilisateur de l’application et des droits d’accès à l’intérieur même de l’application en découlent (consultation, saisie, facturation, règlements…)
Par contre, le verrouillage après 3 TENTATIVES est automatique et ceci pour 72 heures sauf appel de notre interlocuteur.
Un second verrouillage avec les mêmes paramètres (3 tentatives et 72 heures) est affecté à l’adresse IP de celui qui échoue (plus le blocage automatique des IP de certains pays…).
Gérer les habilitations : périmètre de gestion
Lors de l’installation c’est notre interlocuteur unique chez notre client qui définit le nombre d’accès et les droits de chacun sur l’application. Il reste le seul habilité à nous faire une demande dans ce sens.
Tracer les accès : journalisation (identifiant, date et heure de connexion)
Nos serveurs sont tous des serveurs « Windows » et aucun n’est mutualisé (serveurs et machines entièrement dédiés).
Nous utilisons tous les journaux mis en œuvre par Microsoft pour tracer les accès (acceptés ou refusés) en cas de problème avec en plus plusieurs niveaux de sécurité avec des vpn et un par feu géré par KASPERSKY End Point Security.
Politique de sécurité interne : sauvegardes
Sauvegarde des serveurs dédiés :
- Sauvegardes quotidiennes (2 fois par jour) de l’ensemble des serveurs sur 3 sites distincts géographiquement.
- Protection anti Brut-Force, y compris sur les sauvegardes.
- 30 versions par mois et différents types de vpn et de compression (disques virtuels, fichiers compressés et cryptés etc…) afin de remonter s’il le faut sur des versions précédentes
- La durée effective totale n’est pas limitée et nous recevons automatiquement des alertes (mails et sms) lors de l’approche de la saturation d’un disque de sauvegarde
A noter : La sauvegarde ne sert pas qu’au moment d’un crash disque ou d’une attaque virale mais peut être utile en cas d’erreur d’un utilisateur (mauvaise manipulation, suppression de données malencontreuse,…). Ceci à la demande de l’interlocuteur unique.
Politique de sécurité des flux et de l’accès en ligne : Protocole TLS
L’application métier n’est pas concernée par ces questions (appli Saas sans utilisation de navigateur web).
Par contre nous proposons des portails web et ceux-ci sont bien sûr sécurisés (Protocole TLS SHA 256 bits TLS 1.0, Certificat SSL Organization, Flux https, Captcha sur mots de passes). C’est le client qui se charge alors de la diffusion des mots de passes.
Lieu de stockage : Hébergement
Nous faisons appel à la Société OVH pour héberger nos serveurs. Ils sont TOUS en France.