La sécurité chez Sendethic

Principes fondateurs

1 – Privacy by design en conformité avec la lettre et l'esprit du RGPD

2 – Choix du plus haut niveau d'hébergement chez ATOS (Ex Bull) basé en France


3 – De nombreuses fonctionnalités additionnelles pour faciliter la supervision

Questions / réponses

SÉCURITÉ PHYSIQUE
Vos serveurs sont-ils hébergés dans des salles protégées avec contrôle des accès ? Oui
Vos serveurs sont-ils hébergés dans des salles avec protection incendie ? Oui
PRINCIPES D'ARCHITECTURE
L'application respecte-elle l'architecture 3-tiers ?Oui
Proposez-vous un système logique d'étanchéïté des données entre client avec 1 base SQL par client? Oui
Les accès administrateurs système sont-ils sécurisés spécifiquement ? Oui
ARCHITECTURE (RÉSEAU, SYSTÈME, APPLICATIF)
Vos serveurs vous sont-ils dédiés ?Oui
Vos applicatifs vous appartiennent-ils ?Oui
Votre Middleware (IIS, Tomcat, Jboss, WAS…) vous est-il dédié ? Oui
Vos systèmes de données/SGBD vous est-il dédié ? Oui
Votre stockage (SAN, NAS,…) vous est-il dédié ? Oui
Votre Firewall vous est-il dédié ? Oui
POLITIQUE DE MOTS DE PASSE
Il y a-t-il une politique de mots de passe pour les utilisateurs ?Oui
Il y a-t-il une politique de mots de passe pour les administrateurs système, réseau, Middleware, DBA ? Oui
Il y a-t-il une politique de mots de passe pour les administrateurs de l'application ? Oui
ACCÈS DES UTILISATEURS À L'APPLICATION
Disposez-vous d'un système de gestion des utilisateurs ?Oui
Disposez-vous d'un système de gestion des droits utilisateurs (admin, éditeur, invité) ? Oui
Disposez-vous d'un système d'historique des actions utilisateurs ? Oui
Disposez-vous d'un système de filtre des accès utilisateurs via IP ? Oui
Avez-vous la possibilité de mettre en place un SSO basé sur SAML ?Oui
Dans le cas d'une identification par mot de passe, la base des id est elle dans une base séparée ? Oui
TRACABILITÉ
Existe-t-il un système de suivi des actions effectuées par les administrateurs (infrastructure et application) ? Oui
Existe-t-il un système de suivi des actions effectuées par les utilisateurs ? Oui
CHIFFREMENT
Les échanges http sont-ils chiffrés de bout en bout via Certificat 2048 bit ? Oui
Les échanges SMTP sont-ils sécurisés via TLS/SSL par défaut ? Oui
PROTECTION CONTRE LES CODES MALVEILLANTS
Effectuez-vous des scans de détection de vulnérabilités à distance sur vos systèmes ?Oui
Disposez-vous d'un Firewall ?Oui
Disposez-vous d'un Reverse Proxy ? Oui
Disposez-vous d'un WAF ?Oui
Disposez-vous d'une solution by design contre les attaques applicatives (type sql injection, xss, …) ? Oui
Disposez-vous d'un système Anti-DDOS ? Oui
Appliquez-vous une démarche de sécurité by design dans les développements ?Oui
Disposez-vous d'un service de veille des vulnérabilités sur les équipements et logiciels ? Oui
Avez-vous une politique de patch-management sur toutes les briques et sur les failles critiques ? Oui
SAUVEGARDE
Y a-t-il un système de sauvegarde/archivage pour l'Application, les Files Systems et les Bases de données ? Oui
Le datacenter hébergeant l'infrastructure dispose-t-il d'un archivage sur un site de secours ?Oui
En cas de sinistre sur le Datacenter la donnée peut-elle être restaurée sur le site de secours en moins de 72H ?Oui
RÉVERSIBILITÉ
Le client peut-il récupérer ses données via exports manuels ?Oui
Le client peut-il récupérer ses données via API ? Oui
DISPONIBILITÉ
Disposez-vous d'un SLA > 99,9 % (indisponibilité maximum <8h et 48 minutes par an) ?Oui
Disposez-vous d'une assistance par téléphone les jours ouvrés ? Oui
Disposez-vous d'une assistance par email 7 jours sur 7 ? Oui
CONFORMITÉ
Echangez-vous des données de vos clients avec des tiers ?Non
Etes-vous un tiers de confiance dans l'utilisation des données ?Oui
Disposez-vous d'un PCA documenté ?Oui (1)
Disposez-vous d'une charte d'utilisation des données pour votre personnel ?Oui
Disposez-vous de label et certification ? Oui (2)
Votre système gère-t-il le consentement des abonnés email et SMS ?Oui
Votre système gère-t-il le consentement cookie ?Oui
Votre système gère-t-il le droit à l'oubli ?Oui
Votre système gère-t-il le do not track ?Oui
Votre système gère-t-il le double optin ?Oui
Votre système gère-t-il le droit à l'information ?Oui
Etes-vous en conformité avec le RGPD ? Oui (3)
Etes-vous dans une démarche RSE ? Oui (4)
Etes-vous dans une démarche écoresponsable ?Oui (5)
Vos Data Centers sont-ils hébergés en France ? Oui (6)
Disposez-vous d'un DPO ?Oui (7)

(1) Via ATOS

(2) Code de déontologie SNCD, Privacy Protection Pact, Charte RSE

(3) Lire nos engagements RGPD

(4) Notre Raison d'être via les statuts de l'entreprise met la RSE au coeur de Sendethic

(5) Indicateurs d'impact carbone dans l'application en cours de déploiement

(6) Voir la liste dans le registre de sous traitants accessible depuis l'application

(7) Guillaume LE FRIANT | dpo@sendethic.com | 0183790343

Glossaire

VLANVirtual LAN
IISInternet Information Services
SANStorage Area Network
NASNetwork Attached Storage
OTPOne Time Password
PKIPublic Key Infrastructure
SAMLSecurity Assertion Markup Language
DBAData Base  Administrator
DDoSDistributed denial of service
SGBDSystème de Gestion de Base de Données
SIEMSecurity Information and Event Management
APIApplication Programming Interface
IDS/IPSIntrusion Dectection System / Intrusion Prevention System
WAFWeb Application Firewall
DDOSDistributed Denial of Service attack
CERTComputer Emergency Response Team
HSMHardware Security Module
PCI-DSSPayment Card Industry Data Security Standard
SLAService Level Agreement .
PCAPlan de Continuité d'Activité
CASBCloud Access Security Brokers
WAFWeb Application Firewall

La Collection de Sendethic

Des modèles emailing crées par des DA talenteux