Votre sécurité au coeur de nos priorités
Chez Skello, nous mettons tout en oeuvre pour que votre expérience soit optimale. C’est donc tout naturellement que la protection de vos données est au coeur de nos préoccupations. Parce qu’il est important pour nous que vous nous fassiez confiance, nous faisons en sorte que la sécurité ne soit pas une source d’inquiétude.
Les questions les plus fréquentes
Qu’est-ce que le RGPD ?
Le RGPD est le règlement général sur la protection des données. Il est entré en application, au sein de l’Union Européenne, en mai 2018 et impacte donc toutes les entreprises traitant les données à caractère personnel de résidents européens.
Il a notamment pour objectif d’uniformiser, au niveau européen, la règlementation sur la protection des données mais également de responsabiliser davantage les entreprises et de renforcer les droits des personnes concernées sur leurs données personnelles.
Il a notamment pour objectif d’uniformiser, au niveau européen, la règlementation sur la protection des données mais également de responsabiliser davantage les entreprises et de renforcer les droits des personnes concernées sur leurs données personnelles.
Qu’est-ce qu’un cookie ?
Un cookie est un fichier stocké par un serveur dans le terminal d’un utilisateur (ordinateur, téléphone, etc.) et associé à un domaine web. Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.
Les cookies ont de multiples usages : ils peuvent servir à mémoriser la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc.
On peut distinguer deux grandes catégories de cookies :
Les cookies ont de multiples usages : ils peuvent servir à mémoriser la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc.
On peut distinguer deux grandes catégories de cookies :
- Les cookies strictement nécessaires au fonctionnement du site et des fonctionnalités. Ces cookies dits essentiels sont exemptés de consentement.
- Les cookies tiers (analytiques, publicitaires, etc...) pour lesquels le consentement de l’utilisateur doit impérativement être obtenu.
Qu’est-ce qu’un serveur ?
Un serveur informatique offre des services accessibles via un réseau. Il peut être matériel ou logiciel, c’est un ordinateur qui exécute des opérations suivant les requêtes effectuées par un autre ordinateur appelé « client ».
Qu’est-ce que le chiffrement ?
Le chiffrement est un procédé permettant de rendre un document, une donnée, illisible pour la personne n’ayant pas la clé de déchiffrement. Cela a pour but de garantir la sécurité des données. Si vous cherchez plus d’informations à ce sujet, vous pouvez consulter l’article de la CNIL ici.
En termes de données
De nos jours la donnée est au coeur des logiciels SaaS et Skello n’en fait pas l’exception.
Il s’agit d’un sujet sensible et nous en sommes conscients. C’est pour cela que nous faisons tout ce qu’il faut pour les protéger, vous protéger. Nous utilisons bien évidemment ces données pour améliorer notre produit, le rendre plus intelligent, mais il s’agit toujours de données anonymisées et jamais de données personnelles.
Il s’agit d’un sujet sensible et nous en sommes conscients. C’est pour cela que nous faisons tout ce qu’il faut pour les protéger, vous protéger. Nous utilisons bien évidemment ces données pour améliorer notre produit, le rendre plus intelligent, mais il s’agit toujours de données anonymisées et jamais de données personnelles.
Vous trouverez ci-dessous les réponses à vos questions. Si cela ne suffit pas, n’hésitez pas à nous contacter (privacy@skello.io), nous nous ferons un plaisir d’y répondre.
En tant que client, qui aura accès aux données de mes employés ? A mes données d’entreprise ?
- Nos collaborateursChez Skello, seuls nos collaborateurs habilités auront accès à vos données à caractère personnel. De plus, l’ensemble de leur activité sur les données clientes est tracée afin de garantir un maximum de traçabilité.
- Nos sous-traitantsNous pouvons être amenés à partager vos données personnelles avec nos sous-traitants. A titre d’exemple, notre hébergeur est Amazon Web Services et son datacenter est situé en Irlande. Nous tenons une liste à jour de l’ensemble de nos sous-traitants.
Ces derniers ne reçoivent que les informations strictement nécessaires à la réalisation de leur prestation. Ils ne sont en aucun cas autorisés à utiliser ces données personnelles pour une autre finalité que celle de la prestation en question.
- Conformité légaleAfin de répondre à nos obligations légales, peuvent également être destinataires de vos données à caractère personnel les organismes publics, les auxiliaires de justice, les officiers ministériels, les services chargés du contrôle et les organismes chargés d’effectuer le recouvrement de créances.
Comment gérez-vous le RGPD pour les entreprises hors EU avec lesquelles vous travaillez ? Les données transitent-elles aux US ?
Pour les entreprises hors UE avec lesquelles nous travaillons, nous avons deux possibilités :
- Le transfert est fondé sur une décision d’adéquation (article 45 RGPD) :le transfert est autorisé car la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat.
- Le transfert est fondé sur des garanties appropriées (article 46 RGPD) :en l'absence de décision en vertu de l'article 45, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Au regard de l’invalidation du Privacy Shield, nous nous assurons que nos soustraitants américains disposent de garanties appropriées, conformément à l’article 46 du RGPD. Quelles sont ces garanties ? Il s’agit des clauses contractuelles types approuvées par la Commission Européenne.
Quelle est la durée de conservation des données ? Au bout de combien de temps sont-elles supprimées ?
Vos données personnelles ne sont traitées que pour la durée de la relation contractuelle mais peuvent être supprimées avant sur demande écrite du client. Au terme de la relation contractuelle, ou lorsque la conservation de vos données personnelles n’est plus légitime, nous nous engageons à vous les restituer ou à les détruire, selon vos instructions et dans les meilleurs délais.
Comment sont gérés les accès et quelles sont les mesures de sécurité mises en place ?
Afin de protéger la confidentialité, l’intégrité et la disponibilité de vos données personnelles, nous avons mis en place des mesures de sécurité techniques et organisationnelles.
Par exemple, nos données sont chiffrées selon les standards actuels afin de garantir un maximum de protection pour ces dernières.
Nous contrôlons et limitons l’accès de nos collaborateurs à vos données personnelles ainsi que l’accès physique à nos locaux. Nous avons également mis en place diverses procédures de sécurité, conformément au RGPD et aux recommandations de la CNIL, afin de garantir la protection de vos données personnelles.
Mes données personnelles sont-elles revendues ?
Les données personnelles traitées par Skello ne sont pas revendues, et elles ne le seront jamais.
Où sont stockées les données ? Où sont les serveurs ?
Nos données sont stockées chez Amazon Web Services (AWS) sur des serveurs situés en Irlande. Ce pays étant situé dans l’Union Européenne, aucun soucis à se faire quant au respect du RGPD. AWS est un des acteurs majeurs du cloud computing et est également utilisé chez la Société Générale, LeBonCoin, la SNCF et même Apple.
Mes données peuvent-elles être perdues si les serveurs prennent feu ?
Non, nos serveurs sont multi-AZ. Cela signifie qu’elles sont dupliquées dans plusieurs datacenter sur des zones de disponibilités différentes. Si un datacenter prend feu, un autre datacenter avec les données de back-up prend le relai. Pas d’inquiétude à avoir donc, vos données ne partiront pas en fumée !
Est-ce que votre base de données est chiffrée ?
L’ensemble des données et des fichiers présents dans nos bases sont chiffrées selon les standards actuels. Elles le sont en permanence et ne sont donc lisibles uniquement par nos services. Ce qui signifie que, dans l’éventualité où une personne arriverait à s’infiltrer dans nos bases, elle ne pourrait tout de même pas lire les données qui s’y trouvent.
Le but du chiffrement est de rendre une donnée illisible pour une personne n’ayant pas la clé de déchiffrement.
Le but du chiffrement est de rendre une donnée illisible pour une personne n’ayant pas la clé de déchiffrement.
Comment les échanges de données entre votre base de données, vos serveurs et le clients sont protégés ?
L’ensemble des échanges se font dans notre réseau privé de notre cloud provider.
Les requêtes sont chiffrées durant l’ensemble du process. Du moment où une personne s’adresse à skello.io jusqu’au retour de la réponse.
Les requêtes sont chiffrées durant l’ensemble du process. Du moment où une personne s’adresse à skello.io jusqu’au retour de la réponse.
Pour plus d’infos, nous vous invitons à consulter notre politique de confidentialité et à nous contacter à l’adresse privacy@skello.io.
Sécurité générale
Au delà des données, un logiciel SaaS comme Skello a plusieurs points de vigilance à protéger. Nos bâtiments, nos serveurs, nos collaborateurs... C’est donc logiquement que nous continuons de renforcer les mesures de sécurité chaque jours. Nous réalisons régulièrement des tests d’intrusions et des campagnes de sensibilisation afin que la sécurité globale soit optimale.
Pourquoi vous n’avez pas de serveurs physiques dans vos locaux ?
Nous pourrions en avoir dans nos locaux mais il nous faudrait alors des infrastructures dédiées et du personnel spécialisé. Nos données étants hébergées chez Amazon Web Services (AWS), elles sont donc sur leurs serveurs physiques à eux. Cela est plus performant en termes de sécurité et nous, nous gagnons du temps et de l’énergie que nous pouvons dédier à l’amélioration du produit et votre satisfaction !
Quels sont les tests réalisés ?
Nous réalisons régulièrement des pentests.
Il s’agît de tests d’intrusions exécutés par des experts en sécurité afin de vérifier l’ensemble de nos infrastructures et détecter la moindre faille qui pourrait subsister. Ils vérifient ainsi la sécurité de notre système informatique et celle de nos locaux.
Ces pentests sont à chaque fois réalisés par des sociétés différentes spécialisées dans ce genre de tests. Elles sont accréditées OSEP, OSED et OSWE.
Il s’agît de tests d’intrusions exécutés par des experts en sécurité afin de vérifier l’ensemble de nos infrastructures et détecter la moindre faille qui pourrait subsister. Ils vérifient ainsi la sécurité de notre système informatique et celle de nos locaux.
Ces pentests sont à chaque fois réalisés par des sociétés différentes spécialisées dans ce genre de tests. Elles sont accréditées OSEP, OSED et OSWE.
Quelqu’un peut-il s’introduire dans vos locaux et récupérer des données ?
Un gardien est présent dans nos locaux afin de garantir la sécurité du bâtiment. Chaque employé dispose d’un badge sans lequel il ne peut pas rentrer. Les badgeages sont enregistrés sur une période de temps donnée. Nous disposons également de caméras filmants l’ensemble des entrées et sorties. Des campagnes de sensibilisation des bonnes pratiques de sécurité sont réalisées régulièrement pour que tout le monde reste vigilant au quotidien.Nous avons également mis en place la solution Dashlane permettant de sécuriser chacun des postes de nos employés. Cela rend donc impossible l’accès à l’ordinateur par une personne extérieure.
Comment protégez-vous votre base de données contre les attaques type injections SQL ?
Plusieurs niveaux de filtrage sont mis en place dans notre architecture ce qui empêche d’atteindre la base via ce type d’injection.
Que faites-vous face à une attaque DDOS ?
Nous utilisons un double pare-feu, un en amont de la plateforme et l’autre à l’entrée de la plateforme. Diverses solutions de monitoring sont mises en place afin de permettre la détection des attaques pour s’en prémunir ainsi que des comportements inhabituels sur la plateforme.