Déclaration de sécurité des informations et des données

Merci de faire confiance à Stamped pour les données de votre entreprise. Nous prenons cette responsabilité très au sérieux et faisons tous les efforts pour être transparents et prudents dans le traitement de ces données en votre nom.

Stamped utilise des technologies et services conformes aux normes industrielles pour sécuriser vos données contre l'accès non autorisé, la divulgation, l'utilisation inappropriée et la perte d'accès. Nous nous assurons que les politiques de sécurité de tous les sous-traitants sont documentées et à jour avec les normes de conformité industrielle (PCI, RGPD, etc.).

La sécurité chez Stamped est supervisée par le directeur technique et mise en œuvre par l'ensemble de l'équipe.

Divulgation des vulnérabilités

Pour signaler une vulnérabilité de sécurité, veuillez contacter security@stamped.ai avec une preuve de concept, une liste des outils utilisés et la sortie des outils.

En cas de divulgation de sécurité, Stamped travaille rapidement pour reproduire chaque vulnérabilité afin de vérifier son statut avant de prendre les mesures nécessaires pour y remédier.

Conformité et certification

PCI DSS

Le traitement des paiements et des informations de carte de Stamped est géré par Stripe, qui a été audité par un évaluateur de sécurité qualifié PCI indépendant et est certifié en tant que fournisseur de services PCI de niveau 1.

RGPD

Stamped traite toutes les données comme si elles étaient liées par le Règlement général sur la protection des données. Toute personne souhaitant soumettre une demande de données personnelles peut envoyer un courriel à privacy@stamped.ai.

LPRPDE

Stamped est conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Pour contacter le responsable de la protection des données, envoyez un courriel à privacy@stamped.ai.

Infrastructure et sécurité réseau

Serveurs

L'infrastructure Stamped est hébergée sur Salesforce Heroku. Les centres de données bénéficient de la sécurité physique 24h/24, 7j/7, 365 jours par an. Les contrôles de sécurité incluent :

  • Services de garde de sécurité physique 24h/24, 7j/7
  • Restrictions d'accès physique à la propriété et aux installations
  • Couverture CCTV complète à l'extérieur et à l'intérieur
  • Lecteurs biométriques avec authentification à deux facteurs
  • Batterie et sauvegarde par générateur
  • Redondance du transporteur de carburant générateur
  • Zones de chargement sécurisées pour la livraison d'équipement

Tous les serveurs exécutent Linux. Stamped utilise une combinaison d'inspection automatisée et manuelle pour déterminer si de nouvelles vulnérabilités sont introduites dans les packages logiciels.

Contrôle d'accès logique

Seuls les membres autorisés de l'équipe Infrastructure peuvent accéder à la configuration de l'infrastructure. Tous les accès requièrent une authentification à deux facteurs obligatoire. Les niveaux d'autorisation suivent le principe du moindre privilège.

Audit tiers

Les opérations du centre de données Heroku ont été accréditées selon : PCI DSS Level 1, HIPAA, ISO 27001, ISO 27017, ISO 27018, EU-U.S. et Swiss-U.S. Privacy Shield Certification, SOC 1 Type 2, SOC 2 Type 2 et SOC 3.

Continuité des activités et reprise après sinistre

Haute disponibilité

Chaque partie du service Stamped utilise des serveurs redondants (équilibreurs de charge, serveurs Web, bases de données répliquées). Tous les déploiements sont sans interruption avec déploiement progressif et retrait en cas d'erreurs.

Sauvegardes

Stamped maintient des sauvegardes continues des bases de données de production, permettant une restauration à tout moment au cours des dernières 24 heures.

Reprise après sinistre

Stamped stocke toute l'infrastructure en tant que code et peut rapidement créer des copies complètes des environnements de production et de staging.

Sécurité et confidentialité des données

Chiffrement des données

Les données sensibles sont automatiquement chiffrées au repos en utilisant le chiffrement AES-256. La clé de chiffrement principale est stockée dans AWS Key Management Service. Stamped n'envoie les données que via TLS 1.2 ou supérieur.

Suppression des données

Les données peuvent être conservées après la résiliation du service selon les spécifications du contrat client. Stamped supprime toutes les informations d'identification personnelle (PII) des données client lors de l'envoi à des intégrations tierces.

Sécurité des applications

Stamped pratique la livraison continue avec des révisions de demandes d'extraction obligatoires, l'intégration continue, l'analyse de sécurité automatisée via Snyk et les mises à jour de dépendances hebdomadaires via Dependabot.

Sécurité d'entreprise

Vérifications des antécédents

Stamped effectue une vérification obligatoire des antécédents et des références pour tous les employés.

Formation en sécurité

Stamped applique un programme de formation en sécurité obligatoire annuel couvrant le OWASP Top 10.

Notification de violation

Les clients seront notifiés dans les 72 heures d'une violation de données, dans la mesure du possible, conformément aux réglementations RGPD.