Chez Riipen, nous prenons la protection des données des client.e.s très au sérieux. La présente politique de sécurité de Riipen décrit les mesures organisationnelles et techniques que Riipen met en œuvre à l'échelle de la plateforme pour empêcher l'accès, l'utilisation, la modification ou la divulgation non autorisés des données des client.e.s. Les services de Riipen fonctionnent sur Amazon Web Services ("AWS") ; cette politique décrit les activités de Riipen au sein de son instance sur AWS, sauf indication contraire. En continuant à en apprendre davantage sur Riipen, nous vous recommandons de consulter également nos conditions d'utilisation et notre politique de confidentialité.
Équipe de sécurité
Notre équipe chargée de l'infrastructure et de la sécurité comprend des personnes qui ont joué un rôle de premier plan dans la conception, la construction et l'exploitation de systèmes hautement sécurisés d'accès à Internet dans des entreprises allant des jeunes pousses aux grandes entreprises publiques.
Bonnes pratiques
Plan d'intervention en cas d'incident
- Nous avons mis en place une procédure formelle pour les événements liés à la sécurité et avons informé l'ensemble de notre personnel sur nos politiques.
- Lorsque des événements de sécurité sont détectés, ils sont transmis à notre pseudonyme d'urgence, des équipes sont bipées, notifiées et rassemblées pour faire face rapidement à l'événement.
- Une fois qu'un événement de sécurité est réglé, nous rédigeons une analyse post-mortem.
- L'analyse est examinée en personne, distribuée dans toute l'entreprise et comprend des points d'action qui faciliteront la détection et la prévention d'un événement similaire à l'avenir.
- Riipen vous informera rapidement par écrit dès qu'une violation de la sécurité des services Riipen affectant vos données aura été constatée. La notification décrira la violation et l'état d'avancement de l'enquête de Riipen.
Automatisation des processus de construction
- Nous disposons d'une automatisation fonctionnelle et fréquemment utilisée qui nous permet de déployer en toute sécurité et fiabilité les changements apportés à notre application et à notre plateforme d'exploitation en quelques minutes.
- Nous déployons généralement du code plusieurs fois par jour, ce qui nous permet d'être très confiant.e.s quant à la possibilité d'apporter rapidement un correctif de sécurité en cas de besoin.
Employé.e.s de Riipen
- Avant de rejoindre Riipen, notre équipe vérifie les études et les emplois antérieurs de la personne et procède à une vérification des antécédents judiciaires.
- Riipen emploie des équipes chargées de la sécurité et de la protection de la vie privée qui veillent à ce que Riipen soit à la fois à la tête et à la remorque du secteur de la sécurité des données.
- Tou.te.s les employé.e.s de Riipen suivent une formation annuelle à la sécurité qui porte sur la sécurité des données, l'ingénierie sociale et d'autres questions liées à la sécurité et à la protection de la vie privée.
Infrastructure
- Tous nos services fonctionnent dans le nuage. Riipen n'utilise pas ses propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques.
- Tous nos services et données sont hébergés dans des installations AWS au Canada et protégés par la sécurité AWS, comme décrit à l'adresse http://aws.amazon.com/security/sharing-the-security-responsibility. Les services Riipen ont été conçus dans l'optique d'une reprise après sinistre.
- Toute notre infrastructure est répartie sur deux centres de données AWS (zones de disponibilité) et continuera à fonctionner si l'un de ces centres de données venait à tomber en panne de manière inattendue. Amazon ne divulgue pas l'emplacement de ses centres de données. Ainsi, Riipen s'appuie sur la sécurité physique et les contrôles environnementaux fournis par AWS. Voir http://aws.amazon.com/security pour plus de détails sur l'infrastructure de sécurité de l'AWS.
- Tous nos serveurs se trouvent dans notre propre nuage privé virtuel (VPC) avec des listes de contrôle d'accès au réseau (ACL) qui empêchent les demandes non autorisées d'accéder à notre réseau interne.
- Riipen utilise une solution de sauvegarde pour les magasins de données qui contiennent les données des client.e.s.
- Riipen utilise l'outil de surveillance de l'infrastructure AWS "ThreatStack" pour assurer la conformité aux meilleures pratiques AWS et aux mesures de sécurité mondiales.
- L'infrastructure d'AWS a fait l'objet d'un audit et est conforme aux normes industrielles applicables suivantes : CSA STAR, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC1, SOC2, SOC3, PCI DSS 1, FERPA, FedRAMP, NIST 800-53, FIPS, FIPA et PIPPEDA.
Données
- Toutes les données relatives aux client.e.s sont stockées au Canada.
- Les données relatives aux client.e.s sont stockées dans des banques de données multi-locataires ; nous ne disposons pas de banques de données individuelles pour chaque client.e. Cependant, des contrôles stricts de confidentialité existent dans notre code d'application qui sont conçus pour assurer la confidentialité des données et pour empêcher un.e client.e d'accéder aux données d'un.e autre client.e (c'est-à-dire une séparation logique). Nous avons mis en place de nombreux tests unitaires et d'intégration pour nous assurer que ces contrôles de confidentialité fonctionnent comme prévu. Ces tests sont effectués chaque fois que notre base de code est mise à jour et même l'échec d'un seul test empêchera l'envoi d'un nouveau code en production.
- Chaque système Riipen utilisé pour traiter les données des client.e.s est configuré et patché de manière adéquate en utilisant des méthodes commercialement raisonnables selon des normes de durcissement des systèmes reconnues par l'industrie.
- Riipen fait appel à certain.e.s sous-traitant.e.s pour traiter les données des client.e.s. La liste de ces sous-traitant.e.s figure à l'adresse https://www.Riipen.com/security-third-parties et peut être mise à jour par Riipen de temps à autre.
Transfert de données
- Toutes les données envoyées vers ou depuis Riipen sont cryptées en transit à l'aide d'un cryptage de 256 bits.
- Nos API et applications sont uniquement TLS/SSL et obtiennent la note "A+" aux tests des laboratoires SSL. Cela signifie que nous n'utilisons que des suites de chiffrement fort et que des fonctionnalités telles que HSTS et Perfect Forward Secrecy sont entièrement activées.
- Nous chiffrons également les données au repos à l'aide d'un algorithme de chiffrement AES-256 standard.
Authentification
- Riipen est servi à 100% sur HTTPS. Riipen gère un réseau d'entreprise à confiance zéro.
- Il n'y a pas de ressources de l'entreprise ni de privilèges supplémentaires à être sur le réseau de Riipen.
- Nous avons mis en place des règles d'authentification à deux facteurs (2FA) et de mots de passe forts sur GitHub, Google et AWS pour garantir la protection de l'accès aux services en nuage.
Suivi des demandes
- Au niveau de l'application, nous produisons des journaux d'audit pour toutes les activités, et nous envoyons les journaux à nos fournisseur.euse.s de services pour analyse.
- Tous les accès aux applications Riipen sont enregistrés et contrôlés.
- Toutes les actions effectuées sur les consoles de production ou dans l'application Riipen sont enregistrées.
Certifications et audits
Riipen permet aux client.e.s de stocker leurs données sensibles et de se fier à Riipen pour effectuer toutes les mesures de sécurité et de protection sous-jacentes nécessaires.
GDPR
Riipen est certifié GDPR par Instant EU GDPR Representative Ltd.
SOC 2
Riipen a reçu ses certifications de conformité SOC 2 Type I et Type II.
Contactez nous à security@riipen.com pour obtenir le rapport.
Cloud Security Alliance - STAR registrant
La Cloud Security Alliance est une organisation à but non lucratif dont la mission est de promouvoir l'utilisation des meilleures pratiques pour assurer la sécurité dans le cadre du cloud computing. L'un des mécanismes utilisés par la Cloud Security Alliance dans le cadre de sa mission est le Security, Trust, and Assurance Registry (STAR) - un registre gratuit et accessible au public qui documente les contrôles de sécurité fournis par diverses offres de cloud computing.
Lire le questionnaire de l'initiative d'évaluation de consensus STAR de Riipen
Attestations SSAE16 / ISAE 3402 de type II
Riipen utilise Amazon Web Services pour héberger l'environnement complet de Riipen. AWS se soumet à des audits annuels indépendants pour les points suivants :
- SOC 1
- SOC 2
- SOC 3
Pour plus de détails, voir Programmes de conformité de la PIC.
Audits indépendants
Riipen se soumet chaque année à des tests de pénétration effectués par des tiers. Tous les éléments découverts lors de ces tests sont traités, atténués ou corrigés en fonction de la gravité de la découverte. Un rapport sommaire est disponible pour les client.e.s qui sont actuellement sous contrat avec Riipen.
En plus des tests de pénétration annuels, nous effectuons en permanence une analyse de vulnérabilité par un tiers qui couvre l'ensemble de notre espace IP. Il s'agit de compléter le test de pénétration annuel et de s'assurer qu'il n'y a pas de lacunes tout au long de l'année.
Outre les tests de sécurité internes et tiers que nous commandons directement, nous encourageons les chercheur.euse.s en sécurité externes à tester l'application Riipen et à signaler toute vulnérabilité découverte à l'équipe de sécurité Riipen, conformément à notre politique de divulgation responsable. Les tests sont effectués par les propriétaires de compte ou les membres autorisé.e.s par le propriétaire du compte à effectuer des tests. Nous répondrons et corrigerons les vulnérabilités conformément à notre engagement en matière de sécurité et de respect de la vie privée, et nous ne prendrons pas de mesures juridiques à l'encontre de ceux qui découvrent et signalent des vulnérabilités en matière de sécurité, ni ne mettrons fin à leur accès à Riipen.
Traitement des paiements
Le traitement des instruments de paiement pour l'achat des services Riipen est effectué par Stripe. Pour plus d'informations sur les pratiques de sécurité de Stripe, veuillez consulter le site https://stripe.com/docs/security/stripe.
Fiabilité et temps de fonctionnement
- Riipen s'efforce de fournir un temps de disponibilité de 99,99%.
- Un.e ingénieur.e de Riipen est de garde 24 heures sur 24, 7 jours sur 7, et des systèmes de surveillance automatisés sont utilisés pour modifier automatiquement l'ingénieur de garde en cas de problème sur le site
- Les utilisateur.trice.s peuvent suivre les performances de Riipen en visitant http://status.riipen.com/
Responsabilités des client.e.s
- Gestion de vos propres comptes d'utilisateur.trice.s et rôles au sein des services Riipen.
- Respect des conditions de votre contrat de services avec Riipen, y compris en ce qui concerne le respect des lois.
- Informer rapidement Riipen si un identifiant d'utilisateur a été compromis ou si vous soupçonnez d'éventuelles activités suspectes qui pourraient avoir un impact négatif sur la sécurité des services Riipen ou de votre compte.
- Vous ne pouvez effectuer aucun test de pénétration de sécurité ni aucune activité d'évaluation de la sécurité sans le consentement écrit préalable de Riipen.
Démarrage effectif : 23 septembre 2019
Riipen et ses partenaires tiers, tels que ses partenaires publicitaires et analytiques, utilisent diverses technologies pour collecter des informations, comme les cookies et les balises web.
Quels types de technologies utilisons-nous?
Nous utilisons des cookies, des balises web et d'autres technologies pour améliorer et personnaliser nos produits et sites web ("les Services") et votre expérience ; pour vous permettre d'accéder et d'utiliser les Services sans avoir à saisir à nouveau votre nom d'utilisateur.trice ou votre mot de passe ; pour comprendre l'utilisation de nos Services et les intérêts de nos client.e.s ; pour déterminer si un courriel a été ouvert et s'il y a été donné suite ; et pour vous présenter des publicités en rapport avec vos intérêts.
Comment les utiliser?
- Lorsque cela est strictement nécessaire. Ces cookies et autres technologies sont essentiels pour permettre aux services de fournir la fonction que vous avez demandée, comme par exemple se souvenir que vous vous êtes connecté.
- Pour la fonctionnalité. Ces cookies et autres technologies similaires se souviennent des choix que vous faites, comme la langue ou les paramètres de recherche. Nous utilisons ces cookies pour vous offrir une expérience plus appropriée à vos choix et pour rendre votre utilisation des services plus personnalisée.
- Pour la performance et l'analyse. Ces cookies et autres technologies similaires collectent des informations sur la manière dont les utilisateur.trice.s interagissent avec les services et nous permettent d'améliorer le fonctionnement des services. Par exemple, nous utilisons les cookies de Google Analytics pour nous aider à comprendre comment les visiteur.euse.s arrivent et naviguent sur nos produits et notre site web afin d'identifier les domaines à améliorer tels que la navigation, l'expérience utilisateur et les campagnes de marketing.
- Cibler les cookies ou les cookies publicitaires. Ces cookies collectent des informations sur vos habitudes de navigation afin de rendre la publicité pertinente pour vous et vos intérêts. Ils mémorisent les sites web que vous avez visités et ces informations sont partagées avec d'autres parties telles que les fournisseur.euse.s de services de technologie publicitaire et les annonceur.euse.s.
- Cookies de médias sociaux. Ces cookies sont utilisés lorsque vous partagez des informations à l'aide d'un bouton de partage des médias sociaux ou d'un bouton "J'aime" sur nos sites web, ou lorsque vous reliez votre compte ou participez à notre contenu sur ou par l'intermédiaire d'un site de médias sociaux. Le réseau social enregistrera votre action. Ces informations peuvent être liées à des activités de ciblage/publicité.
Comment pouvez-vous vous retirer?
Pour refuser notre utilisation des cookies, vous pouvez demander à votre navigateur, en modifiant ses options, de ne plus accepter les cookies ou de vous demander de ne plus accepter de cookies des sites web que vous visitez. Toutefois, si vous n'acceptez pas les cookies, vous risquez de ne pas pouvoir utiliser tous les aspects de nos services. Riipen et ses partenaires tiers recueillent également des informations à l'aide de balises web (également appelées "pixels de suivi").
Vous ne pourrez pas refuser les cookies ou autres technologies qui sont "strictement nécessaires" pour les services.
Mises à jour de cet avis
Le présent avis sur les cookies et le suivi peut être mis à jour de temps en temps. Si nous apportons des modifications, nous vous en informerons en révisant la date de "début effectif" figurant en haut de cet avis.
NOTRE BUREAU
Vancouver
210 - 128 West Hastings St.,
Vancouver BC, V6B 1G8