Sécurité de l’information

Mesures et procédures visant à protéger la confidentialité, l’intégrité et la disponibilité de l’information chez Atogu.

Détails de sécurité d’Atogu

Chez Atogu, nous nous consacrons à la collecte, au traitement et à la vente de données provenant de bases de données d’entreprises. Nous sommes pleinement conscients de l’importance d’appliquer des mesures de sécurité de haut niveau afin de protéger les informations que nous gérons. Bien que notre équipe soit réduite, nous travaillons avec des standards comparables à ceux d’organisations bien plus grandes.

Ce document décrit nos pratiques et politiques de sécurité. Si vous souhaitez connaître en détail les données que nous collectons, la manière dont nous les utilisons et leur traitement, veuillez consulter notre Politique de confidentialité.

Pratiques générales

  • L’accès à nos serveurs, à notre code source et aux outils tiers est protégé par une authentification à deux facteurs.
  • Nous utilisons des mots de passe robustes, générés aléatoirement et jamais réutilisés.
  • Le personnel et les collaborateurs disposent du niveau d’accès minimal nécessaire à l’exécution de leurs tâches, ce qui inclut rarement un accès direct aux systèmes de production ou à des jeux de données complets.
  • Nous utilisons des outils automatisés de détection de vulnérabilités afin d’identifier les risques potentiels dans nos dépendances, et nous appliquons les correctifs de sécurité dans les plus brefs délais.
  • Nous ne copions pas les données de production sur des appareils externes (tels que des ordinateurs portables personnels).

Contrôle d’accès et sécurité organisationnelle

Personnel Tous les employés et prestataires signent un accord de confidentialité (NDA) avant d’accéder à des informations sensibles.

Tests d’intrusion Nous réalisons chaque année des audits de sécurité et des tests d’intrusion par des tiers spécialisés. Les rapports concluent si nos mesures respectent les meilleures pratiques du secteur. Des copies complètes des résultats peuvent être demandées par écrit.

Authentification et gestion des accès

  • Chaque client dispose d’identifiants personnels et non transférables pour accéder à nos systèmes.
  • Les mots de passe sont stockés de manière chiffrée à l’aide d’algorithmes robustes (bcrypt ou équivalents).
  • Toute interaction avec nos API et panneaux d’administration nécessite un jeton d’authentification, avec expiration automatique après de longues périodes d’inactivité.

Chiffrement et transmission sécurisée des données

  • Tout échange de données avec nos systèmes s’effectue via des connexions chiffrées en TLS 1.2 ou supérieur.
  • Les données stockées dans des dépôts internes ou des bases de données sont chiffrées au repos via AES-256.
  • Les clés de chiffrement sont générées aléatoirement, ne sont pas réutilisées et sont gérées conformément aux standards de l’industrie.

Conservation et suppression des données

  • Les journaux d’accès et d’activité sont conservés pendant 30 jours au maximum, sauf si la loi exige une durée plus longue.
  • Les clients peuvent demander la suppression de leurs données conformément au RGPD et aux autres réglementations applicables.
  • Nous ne stockons pas de données sur des appareils personnels ni sur des supports non autorisés.

Pratiques de développement logiciel

  • Toute modification du code est revue par au moins un autre membre de l’équipe avant son déploiement.
  • Le code est testé dans des environnements de staging selon un protocole de contrôle qualité avant passage en production.
  • Des analyses périodiques de vulnérabilités sont réalisées à la fois sur le logiciel interne et sur les plateformes externes que nous utilisons.

Hébergement et conformité réglementaire

  • Nos serveurs sont hébergés auprès de fournisseurs conformes à des certifications internationales telles que ISO 27001, SOC 1, SOC 2 et PCI DSS Niveau 1.
  • Le stockage principal des données est réalisé dans l’Union européenne, garantissant la conformité au RGPD.

Questions fréquentes

Commercialisez-vous des données personnelles ? Nous ne vendons pas de données personnelles de personnes physiques sans base légale. Notre activité se concentre sur les données d’entreprises et les contacts professionnels dans le cadre autorisé par la réglementation en vigueur.

Comment signaler une vulnérabilité ? Vous pouvez nous envoyer un email à f.diazlaclaustra@datary.io, qui sera traité en priorité.

Effectuez-vous des vérifications du personnel ? Oui. Tous les employés et prestataires font l’objet de vérifications préalables et signent des accords de confidentialité.

Quelles assurances avez-vous ? Nous disposons de polices de cyber-responsabilité, de responsabilité civile professionnelle et de responsabilité commerciale couvrant les incidents potentiels liés à notre activité.

📌 Remarque : Ce document est mis à jour périodiquement afin de refléter les évolutions de nos pratiques et des exigences légales.