Pourquoi la sécurité des données est essentielle et ce qu’elle signifie pour Appy Pie ?
Dans le monde numérique, l’importance de la sécurité des données est cruciale, non seulement pour nos clients, mais aussi pour leurs clients. La vulnérabilité des données à tout moment peut entraîner de graves conséquences pour l’ensemble de l’écosystème.
En tant que propriétaire d’entreprise, lorsque vous choisissez un service ou une plateforme pour offrir vos produits et services à vos clients, vous choisissez essentiellement le lien entre vous et les clients. C’est pourquoi il est important que la plateforme adhère à des normes de sécurité optimales et dispose de la certification adéquate pour assurer la protection de toutes ces données sensibles que vous collectez. Ces données peuvent inclure les adresses électroniques, les adresses physiques, les numéros de contact, les informations de paiement ou toute autre donnée sensible de ce type.
Vous avez la responsabilité envers vos clients de veiller à ce que toutes les données qu’ils fournissent dans le cadre de leur activité soient conservées en sécurité, traitées de manière éthique et ne soient jamais communiquées à quiconque à leur insu ou sans leur consentement.
Chez Appy Pie, nous prenons des mesures de sécurité strictes et nous nous engageons à faire en sorte qu’il n’y ait aucune vulnérabilité dans nos processus, à quelque étape que ce soit. AppyPie.com vous aide à offrir à vos clients une sécurité et une conformité de niveau entreprise à travers chaque interaction.
Vous trouverez ci-dessous la liste des certifications et des mesures de conformité prises par AppyPie.com pour garantir que nos clients et vos clients sont protégés de toute activité peu scrupuleuse.
Conformité PCI DSS
La passerelle de paiement utilisée par Appy Pie est conforme à la norme PCI DSS. Nous avons entamé l’année 2019 avec inquiétude et trépidation concernant la vulnérabilité des données, les brèches et les fuites. C’est pourquoi la sécurité reste un sujet brûlant et un sujet de préoccupation pour le public.
Appy Pie prend sur elle de s’assurer que les informations de paiement de ses clients sont protégées à tout moment. Stripe, le processeur de paiement conforme au PCI d’Appy Pie pour les demandes de facturation, conserve l’adresse postale des clients, ainsi que la date d’expiration de la carte de crédit et le CVV.
Vous pouvez demander à ce que vos données ne soient pas vendues en remplissant ce formulaire.
Attestation SOC 2
Nos clients font suffisamment confiance à notre plateforme pour nous confier la gestion de leurs processus critiques, tels que la facturation, l’établissement des factures, etc. En retour, nous leur garantissons que leurs intérêts et la confidentialité de leurs clients sont valorisés et protégés.
L’attestation SOC 2 garantit que les fournisseurs de services SaaS comme Appy Pie gèrent vos données en toute sécurité, de sorte que vos intérêts et la vie privée de vos clients sont toujours protégés.
La conformité SOC d’Appy Pie est particulièrement adaptée aux entreprises qui ont besoin de contrôler leurs rapports financiers en interne, et de mettre en valeur les fournisseurs qui ont déployé des contrôles internes lors des audits.
Vous pouvez demander à ce que vos données ne soient pas vendues en remplissant ce formulaire.
ISO 22301:2019
Sécurité sociétale – Systèmes de management de la continuité des activités – Exigences, est une norme de système de management qui spécifie les exigences relatives à la planification, l’établissement, la mise en œuvre, l’exploitation, la surveillance, la révision, la maintenance et l’amélioration continue d’un système de management documenté afin de se protéger contre les incidents perturbateurs, d’en réduire la probabilité d’occurrence, de s’y préparer, d’y répondre et de s’en remettre lorsqu’ils se produisent.
Nous sommes certifiés ISO 22301:2019 et sommes préparés à gérer et à récupérer de tout incident perturbateur, si un tel incident devait se produire.
ISO 27001:2013
La certification ISO 27001 est une certification pour un système de gestion de la sécurité de l’information (SGSI) – qui est essentiellement un cadre de politiques et de procédures. Elle comprend tous les contrôles juridiques, physiques et techniques liés au processus de gestion des risques liés à l’information d’une organisation et visant à assurer la sécurité de l’information.
Nous sommes certifiés ISO 27001:2013 et nous nous engageons à identifier les risques, à évaluer les implications et à mettre en place des contrôles systématiques qui inspirent confiance dans tout ce que nous faisons.
Modèle volontaire d’accessibilité des produits (VPAT)
Appy Pie a créé un modèle volontaire d’accessibilité du produit (VPAT) qui est conforme aux normes de la section 508. Il détaille chaque aspect des exigences de la section 508 et la manière dont nous soutenons chaque critère.
Notre VPAT contient de la documentation sur la section 508 (2017 Refresh), les directives d’accessibilité au contenu Web (WCAG) 2.0 – critères de réussite et exigences de conformité (niveaux A, AA, AAA) ainsi que les normes européennes d’accessibilité EN 301. Vous pouvez consulter l’intégralité du rapport ici.
GDPR
Appy Pie est en conformité avec le GDPR et traite toutes les données personnelles conformément aux directives énoncées par le règlement qui sont applicables aux services d’Appy Pie et à la plateforme.
Le GDPR désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Vous pouvez demander à ce que vos données ne soient pas vendues en remplissant ce formulaire.
Mécanisme de transfert des données de l’UE
Le GDPR s’applique principalement aux contrôleurs et aux processeurs situés dans l’Espace économique européen ou EEE et si les données personnelles sont transférées hors de l’EEE, il y a un risque de perdre la protection du GDPR. C’est pour cette raison que le GDPR restreint le transfert de données personnelles en dehors de l’EEE, à moins que les droits des personnes ne soient protégés d’une manière ou d’une autre. Jusqu’à récemment, il existait deux moyens de le faire : le bouclier de protection de la vie privée UE-États-Unis et les clauses contractuelles types.
Toutefois, la Cour de justice de l’Union européenne a récemment invalidé le cadre du bouclier de protection de la vie privée UE-États-Unis pour le transfert de données. Toutefois, les clauses contractuelles types restent valables en tant qu’outil ou mécanisme de transfert de données vers des sous-traitants situés en dehors de l’UE, de la Suisse ou du Royaume-Uni.
Chez Appy Pie, nous avons mis en place des Clauses Contractuelles Standard (CCS) pour le transfert de données afin que toutes les données personnelles soient protégées. Nous, chez Appy Pie, nous engageons à permettre à nos clients de fournir un service à la clientèle responsable en mettant en œuvre et en adhérant aux politiques de conformité prescrites, à la fois en tant que contrôleur et processeur de données.
ACCP
La loi californienne sur la protection de la vie privée des consommateurs est une loi de l’État qui vise à renforcer le droit à la vie privée et la protection des consommateurs pour les résidents de Californie.
Appy Pie est en conformité avec la CCPA et est transparent sur toutes les données personnelles recueillies auprès des clients par le biais de la plate-forme. Pour lire la politique de l’ACCP d’Appy Pie, veuillez cliquer ici.
Vous pouvez demander à ce que vos données ne soient pas vendues en remplissant ce formulaire.
Test de pénétration, analyse de vulnérabilité et correctifs
En tant que pratique, nous, à Appy Pie, vérifions et appliquons les correctifs pour les logiciels/services tiers. Si des vulnérabilités sont découvertes, nous appliquons les corrections en priorité. De plus, une analyse de vulnérabilité est effectuée chaque mois en utilisant les services d’Amazon Inspector.
Appy Pie a fait réaliser le test de pénétration par des experts tiers – Bishop Fox et le rapport correspondant peut être obtenu en envoyant un courriel à [email protected].
Sécurité physique et des réseaux
Appy Pie a son centre de développement à NSEZ, Noida (Inde), et des bureaux de vente / support à Warrenton, Virginie (USA) & Londres (UK) & Noida (Inde). Le bureau est équipé de caméras de surveillance et leurs images sont contrôlées périodiquement par le personnel autorisé. Des alarmes incendie et des extincteurs automatiques à eau sont en place pour détecter et limiter les dégâts dans le cas peu probable d’un incendie. En outre, des exercices d’incendie sont régulièrement organisés par l’équipe de gestion des locaux afin de sensibiliser les employés aux procédures d’évacuation d’urgence. Le bureau est équipé d’une alimentation électrique 24×7, soutenue par un système alternatif d’alimentation ininterrompue pour assurer le bon fonctionnement en cas de panne de courant.
Toutes les applications d’Appy Pie sont créées et hébergées sur Amazon Web Services et l’infrastructure des bases de données et des serveurs d’applications est gérée et entretenue par Amazon.
La première couche de protection de l’application est assurée par le pare-feu d’AWS, qui est équipé pour contrer les attaques DDoS régulières et autres intrusions liées au réseau. La deuxième couche de protection est offerte par le pare-feu applicatif propre à Appy Pie, qui surveille les adresses IP, les utilisateurs et les pourriels fautifs. Il convient de noter que tous les mots de passe des comptes qui sont stockés dans l’application sont hachés et salés à sens unique.
Appy Pie utilise un modèle de données multi-tenant pour héberger toutes ses applications. C’est par le biais d’un nuage privé virtuel individuel qu’Appy Pie assure le service de chaque application, un identifiant de locataire unique étant attribué à chaque client. L’application est conçue et vérifiée pour garantir que seules les données du locataire connecté peuvent être récupérées. C’est cette conception stratégique qui garantit qu’aucun client ne peut accéder aux données d’un autre client. L’accès à l’application par l’équipe de développement de l’application est également contrôlé, géré et audité. Chaque fois que l’on accède à l’application et à l’infrastructure, un journal détaillé est créé qui est ensuite audité.
Nous vous invitons à venir sur notre site physique et à examiner les mesures de sécurité prises sur le site en prenant rendez-vous avec nous par courrier électronique à l’adresse [email protected].
Opérations administratives
En tant qu’organisation responsable et respectée, nous sommes extrêmement vigilants quant à la protection de nos données et à la sécurité des données de nos clients. Les employés de l’organisation n’ont accès au bureau qu’après autorisation à l’aide de cartes à puce et les zones sensibles du bureau ne sont accessibles qu’au personnel autorisé.
Protection contre la perte de données
Afin de fournir une protection optimale contre la perte de données, Appy Pie utilise le leader mondial de la protection contre la perte de données – Endpoint Protector de CoSoSys qui empêche toute transmission inappropriée de données par des moyens physiques ou numériques. Cela signifie que les données de l’entreprise ne peuvent être copiées sur aucun autre dispositif de stockage de masse, ni envoyées par courrier électronique en tant que pièce jointe ou sous toute autre forme en utilisant leur puissante sécurité.
Stockage des données
La protection et la sécurité des données des clients est un sujet sérieux pour Appy Pie, c’est pourquoi ils gèrent la sécurité de leur application et des données des clients avec sincérité et responsabilité. Toutefois, l’approvisionnement et la gestion de l’accès aux applications individuelles créées à l’aide de la plateforme sont laissés à la discrétion des propriétaires des applications individuelles.
L’équipe de développement d’Appy Pie n’a pas accès aux données des serveurs de production, mais toute modification de l’application, de l’infrastructure, du contenu web et des processus de déploiement est largement documentée dans le cadre d’un processus interne de contrôle des modifications.
Notre plateforme recueille des informations limitées sur nos clients, notamment leur nom, leur adresse électronique et leur téléphone, et ces données ne sont conservées que pour la création du compte. Stripe, le processeur de paiement conforme au PCI d’Appy Pie pour les demandes de facturation, conserve l’adresse postale des clients, ainsi que la date d’expiration de la carte de crédit et le CVV.
Appy Pie prend très au sérieux l’intégrité et la protection des données des clients et conserve deux types d’historique de données : les journaux d’application du système, et les données d’application et des clients. Toutes ces données sont stockées sur la plateforme informatique en nuage d’Amazon, AWS, et des sauvegardes sont effectuées toutes les six heures sur plusieurs sites.
Les sauvegardes des bases de données sont effectuées quotidiennement et conservées pendant une durée de 35 jours. Les données des clients sont sauvegardées de deux manières :
Une sauvegarde continue est maintenue dans différents centres de données en cas de défaillance du système dans le centre de données principal. Grâce à la sauvegarde robuste, en cas de catastrophe improbable dans l’un des centres de données, nos clients ne perdent que cinq minutes de données.
Les données sont sauvegardées chaque jour sur un support permanent et conservées pendant 15 jours.
En Europe et aux États-Unis, les normes AES 256 bits (force de la clé – 1024) sont utilisées pour chiffrer les données au repos, le service de gestion des clés AWS gérant les clés. Le cryptage standard FIPS-140-2 sur une connexion sécurisée, est utilisé pour crypter toutes les données en transit, pour tous les comptes hébergés sur appypie.com. En outre, il existe une option disponible pour les comptes hébergés sur des domaines indépendants, qui permet une connexion sécurisée.
Divers environnements sont utilisés à des fins de développement et de test, un système de gestion strict pour l’accès aux systèmes est en place sur la base du besoin de faire/connaître selon la classification de l’information, où la séparation des tâches est intégrée et revue sur une base trimestrielle.
Sécurité mobile
En pratique, chez Appy Pie, nous utilisons la solution Mobile Application Security Testing (MAST) de Kryptowire pour sécuriser toutes les applications d’Appy Pie et garantir la confidentialité des données pour tous les utilisateurs de notre plateforme.
Nous utilisons Kryptowire pour évaluer en permanence la sécurité et la confidentialité de tout appareil mobile par rapport aux normes d’assurance logicielle les plus élevées reconnues au niveau international et publiées par
– L’Institut national des normes et des technologies (NIST)
– Partenariat national pour l’assurance de l’information (NIAP)
– Projet ouvert de sécurité des applications Web (OWASP)
Suppression ou redondance des données
Lors de la suppression d’un compte, toutes les données qui y sont associées sont détruites dans un délai de 14 jours ouvrables. Si, toutefois, un titulaire de compte souhaite sauvegarder ses données, les produits Appy Pie offrent des options d’exportation de données.
Signaler les problèmes et les menaces
Dans le cas où vous rencontrez des problèmes, des incidents de sécurité (comme des brèches et des vulnérabilités potentielles) ou des failles qui pourraient affecter la sécurité des données ou la vie privée des utilisateurs d’Appy Pie, veuillez nous contacter et écrire à [email protected] en citant vos préoccupations et les détails, afin que nous puissions y travailler au plus tôt.
Votre demande sera examinée immédiatement. Il se peut que nous vous contactions et que nous vous demandions de nous aider à identifier ou à reproduire le problème et à déterminer les moyens ou à élaborer des stratégies pour résoudre la menace immédiatement.
La société a une politique de confidentialité, approuvée par un conseiller juridique interne, disponible publiquement à l’adresse https://www.appypie.com/privacy-policy. La passerelle de paiement (Stripe) utilisée par Appy Pie est conforme à la norme PCI.