UDITIS (ou ci-après « nous ») avons à coeur d’être un partenaire de confiance pour nos clients. La sécurité est donc un thème fondamental pour nous.
Nous prenons en charge les aspects de sécurisation des données et de disponibilité qui sont relatifs à l’usage des services online offerts par notre société en mode IaaS et PaaS ainsi que ceux relatifs aux applications développées et hébergées en mode SaaS.
1. Conformité légale
En notre qualité de fournisseur de services et d’applications pour nos clients, nous endossons un rôle de sous-traitant au sens de la Loi sur la Protection des Données (LPD). Nous nous engageons à respecter les exigences qui nous incombent en vertu de cette loi et, dans une démarche de transparence, expliquons dans ce document les mesures de sécurité organisationnelles et techniques mises en place.
2. Développement, hébergement et sous-traitance
Nous développons des applications avec nos propres développeurs ou des sous-traitants en Suisse. Sauf si le client le souhaite et le spécifie explicitement, les services en ligne et les solutions, ainsi que les données personnelles qu’elles contiennent, sont hébergés dans des datacenters de prestataires certifiés ISO 27001, tous basés en Suisse ou en Europe.
3. Sécurité des données
Nous chiffrons les données en transit au moyen du protocole TLS ou de tunnels VPN. Les identifiants des utilisateurs sont chiffrés au moyen de technologies adaptées et constamment tenues à jour ainsi que les données sensibles dans la mesure des possibilités techniques et des besoins fonctionnels.
4. Confidentialité
Les données sont, sauf rare exception pour certaines solutions mutualisées, compartimentées strictement dans des bases de données par client et dans des dossiers séparés afin d’assurer un traitement confidentiel des informations de chaque client.
L’architecture de nos applications garantit l’étanchéité des données au moyen de bases de données dédiées et de périmètres spécifiques. Aucune transmission ou divulgation d’information n’est faite envers des tiers sans l’accord explicite du client. Nos employés sont contractuellement soumis au secret professionnel.
5. Disponibilité
Tous les éléments de notre infrastructure sont résilients aux pannes grâce à la redondance de nos équipements et la virtualisation. Les services sont monitorés 24h/24h, 365 jours/an par notre équipe de support. Les remontées d’alertes sont traitées et les problèmes résolus selon des SLA spécifiées dans les contrats spécifiques.
Nos procédures de reprise en cas d’incident permettent une restauration rapide des services en cas d’incident majeur.
6. Contrôle des accès
Les accès des clients aux applications sont protégés par la combinaison du nom de l’utilisateur et de son mot de passe. Un second facteur d’authentification (2FA) est une fonctionnalité progressivement en cours de déploiement sur nos services et nos différentes applications.
Les applications développées par nos équipes permettent de définir précisément les données accessibles ou non pour chaque utilisateur. Il est de la responsabilité du client de définir sa politique de gestion des mots de passe, de sa bonne application ainsi que de la configuration adéquate des autorisations de ses propres utilisateurs.
En ce qui concerne les accès des collaborateurs à nos différents systèmes, ils sont systématiquement protégés par une identification à double facteur et par des mots de passe respectant une complexité minimum. Les principes de privilège minimum sont également appliqués afin de limiter les accès.
7. Sauvegardes
Afin de pallier tout risque de perte de données, les bases de données de nos applications sont intégralement sauvegardées chaque jour et la procédure de restauration est régulièrement testée.
Les sauvegardes sont entreposées sur des sites distincts et sont conservées conformément à notre politique de rétention.
8. Mise à jour des systèmes
Nos systèmes sont mis à jour régulièrement selon les bonnes pratiques et recommandations des vendeurs. De manière générale, la redondance de nos systèmes ainsi que nos procédures permettent d’effectuer les opérations de maintenance sans interruption de service. Des notifications préalables sont adressées par email à nos clients pour les cas où un arrêt des systèmes ne peut être évité.
9. Organisation interne
Nous avons défini des politiques et procédures de sécurité, lesquelles sont communiquées à l’ensemble du personnel. Les collaborateurs sont régulièrement sensibilisés en matière de cybersécurité et de protection des données personnelles.
La fonction de Responsable de la sécurité informatique est directement rattachée à la Direction.
10. Responsabilités
Conformément aux exigences légales en matière de protection des données, nous maintenons un registre des activités de traitement ainsi qu’un registre des incidents de sécurité.
Les principes de la protection des données dès la conception et par défaut sont appliqués pour tous les nouveaux développements. Des analyses d’impact sur la vie privée sont également menées lorsque la situation l’exige.