Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Questionnaire de sécurité

Ideanote repose sur votre confiance. Sans vous, nous n'existerions pas. L'innovation et le partage d'idées peuvent contenir des informations hautement confidentielles et doivent toujours être protégés. C'est pourquoi nous avons mis en place des processus de sécurité et de contrôle étendus qui contribuent à assurer la sécurité des informations. Ideanote est fier d'offrir une sécurité d'entreprise à tous.

Vos données sont en sécurité avec nous, car nous nous soucions de savoir que vous pouvez avoir l'esprit tranquille en bâtissant votre communauté d'innovation avec Ideanote. Ci-dessous, nous répondons à certaines des questions les plus courantes que nous avons reçues de nos clients, afin de vous donner un aperçu rapide et des réponses spécifiques.

Fonctionnalités des Centres de Données

Où sont stockées les données client ?

Ideanote stocke de manière persistante les données client sur la plateforme Google Cloud, avec des serveurs situés dans l'UE, à Francfort et à Dublin. Le Contenu client (idées, commentaires, etc.) n'est stocké par aucun autre fournisseur tiers. De plus, nous avons signé des addendums de traitement des données (DPA) avec tous les sous-traitants des données client. Vous pouvez consulter une liste complète de nos sous-traitants à l'adresse ideanote.io/terms#sub-processors.

Quelles sont les fonctionnalités de sécurité offertes par les centres de données d'Ideanote ?

Les centres de données de Google Cloud Platform sont surveillés 24h/24 et 7j/7 par des caméras intérieures et extérieures haute résolution capables de détecter et de suivre les intrus. Les journaux d'accès, les enregistrements d'activité et les séquences vidéo des caméras sont disponibles en cas d'incident. L'accès au plancher du centre de données de Google n'est possible que via un couloir de sécurité qui met en œuvre un contrôle d'accès multi-facteurs utilisant des badges de sécurité et la biométrie. 

Seuls les employés approuvés ayant des rôles spécifiques peuvent y accéder. De plus, la sécurité physique des centres de données de Google comprend un modèle de sécurité multicouche, incluant des mesures de protection telles que des cartes d'accès électroniques conçues sur mesure, des alarmes, des barrières d'accès pour véhicules, des clôtures périmétriques, des détecteurs de métaux et la biométrie, et le plancher du centre de données dispose d'une détection d'intrusion par faisceau laser. Google suit méticuleusement l'emplacement et le statut de tous les équipements au sein de ses centres de données, de l'acquisition à l'installation, en passant par le retrait et la destruction, via des codes-barres et des étiquettes d'actifs. Des détecteurs de métaux et une vidéosurveillance sont mis en œuvre pour s'assurer qu'aucun équipement ne quitte le plancher du centre de données sans autorisation. 

Si un composant ne passe pas un test de performance à un moment quelconque de son cycle de vie, il est retiré de l'inventaire et mis hors service. Les disques durs de Google utilisent des technologies comme le FDE (chiffrement complet du disque) et le verrouillage de disque pour protéger les données au repos. Lorsqu'un disque dur est retiré, des personnes autorisées vérifient que le disque est effacé en écrivant des zéros sur le disque et en effectuant un processus de vérification en plusieurs étapes pour s'assurer que le disque ne contient aucune donnée. Si le disque ne peut être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être physiquement détruit. La destruction physique des disques est un processus en plusieurs étapes, commençant par un broyeur qui déforme le disque, suivi d'un déchiqueteur qui réduit le disque en petits morceaux, qui sont ensuite recyclés dans une installation sécurisée. Chaque centre de données adhère à une politique de destruction stricte et tout écart est immédiatement corrigé.

Ideanote est-il conforme à la norme SOC2 ?

Notre fournisseur de centres de données est bien sûr conforme à la norme SOC2, et vous êtes toujours le bienvenu à nous contacter si vous souhaitez que nous vous fournissions leur rapport de conformité. Pour accélérer le processus, nous vous prions d'inclure des informations de contact suffisantes ainsi qu'une raison pour votre demande.

Comment les données client sont-elles sauvegardées ?

Toutes les données client sont entièrement sauvegardées quotidiennement vers plusieurs centres de données au sein de l'UE, à Francfort et à Dublin.

Ideanote peut-il supprimer les données client sur demande ?

Actuellement, les données client peuvent être supprimées sur demande écrite du client à Ideanote. Dans le cadre de nos efforts de conformité au RGPD, nous mettrons à jour nos capacités de suppression de données afin de les intégrer à l'interface utilisateur. 

Ideanote a-t-il la capacité d'assainir les ressources informatiques des données client si un client quitte Ideanote ?

Google est notre fournisseur d'hébergement de production. Les disques durs de Google utilisent des technologies comme le FDE (chiffrement complet du disque) et le verrouillage de disque pour protéger les données au repos. Lorsqu'un disque dur est retiré, des personnes autorisées vérifient que le disque est effacé en écrivant des zéros sur le disque et en effectuant un processus de vérification en plusieurs étapes pour s'assurer que le disque ne contient aucune donnée. Si le disque ne peut être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être physiquement détruit. La destruction physique des disques est un processus en plusieurs étapes, commençant par un broyeur qui déforme le disque, suivi d'un déchiqueteur qui réduit le disque en petits morceaux, qui sont ensuite recyclés dans une installation sécurisée. Chaque centre de données adhère à une politique de destruction stricte et tout écart est immédiatement corrigé.

Ideanote conserve-t-il les informations client après la résiliation ?

Ideanote permet aux clients d'exporter leurs données brutes à tout moment au format JSON standard de l'industrie, sur demande écrite du client. De plus, les données client peuvent être supprimées sur demande lors de la résiliation ou seront supprimées conformément aux politiques internes de rétention des données d'Ideanote.

Sécurité et Gestion des Données

Ideanote maintient-il les données d'un client séparées ?

Toutes les données client sensibles ne sont accessibles qu'après l'échange réussi d'un jeton de session depuis notre API, qui confère des degrés divers de droits d'accès aux données d'un client spécifique en fonction de multiples facteurs tels que les paramètres de l'Espace, l'utilisateur spécifique tentant d'accéder à la ressource, ainsi que l'opération qui est tentée d'être effectuée sur cette ressource. Cela assure une séparation logique entre les données appartenant à plusieurs clients. Les données client résident sur des systèmes de bases de données qui hébergent les données de plusieurs clients, mais nos contrôles d'authentification et d'autorisation logiques séparent les données d'un client de celles d'un autre client.

Ideanote prend-il en charge l'authentification unique et l'authentification multi-facteurs ? 

Notre produit prend en charge l'authentification unique (SSO). Nous prenons en charge la norme SAML, y compris l'intégration avec le protocole Active Directory (AD). Vous pouvez configurer le SSO vous-même sous /space-settings/sso. 

Chiffrement et Gestion des Mots de Passe

Ideanote chiffre-t-il les données client ?

Lorsqu'un utilisateur visite un site web ou une application instrumentée avec Ideanote, les détails de ses interactions sont capturés et envoyés à Ideanote via HTTPS. Toutes les données transférées via HTTPS sont chiffrées. Ideanote n'autorise que les connexions via HTTPS exclusivement pour garantir que les données sont chiffrées en transit. Ideanote utilise des suites de chiffrement conformes à la suite B du NIST pour sécuriser les données en transit et au repos. 

La plateforme Google Cloud chiffre par défaut les données client stockées au repos. Les données sur Google Cloud Platform sont divisées en blocs de sous-fichiers pour le stockage, et chaque bloc est chiffré au niveau du stockage avec une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données dans un bloc est appelée clé de chiffrement des données (DEK). En raison du grand nombre de clés chez Google, et de la nécessité d'une faible latence et d'une haute disponibilité, ces clés sont stockées près des données qu'elles chiffrent. Les DEK sont chiffrées avec (ou "enveloppées" par) une clé de chiffrement de clé (KEK). Pour plus d'informations, veuillez consulter https://cloud.google.com/security/#dataencryption

Quelles sont les procédures d'Ideanote en matière de gestion des mots de passe ?

Les clés de chiffrement des données client au repos sont gérées par notre fournisseur cloud, Google. Vous pouvez trouver des informations supplémentaires sur les procédures de gestion des clés de Google ici :https://cloud.google.com/kms/. Nous utilisons des clés publiques/privées pour sécuriser l'accès aux dépôts de code. Les clés utilisées par le personnel sont générées par les employés d'Ideanote de manière individuelle et stockées sur des machines locales. L'accès aux dépôts peut être attribué ou révoqué par le personnel d'ingénierie senior. 

Les mots de passe client sont-ils chiffrés ?

Oui. Les mots de passe sont hachés à l'aide de l'algorithme cryptographique de chiffrement par bloc Blowfish, standard de l'industrie, qui est une fonction de hachage adaptative basée sur une technique appelée Key Stretching, recommandée par le NIST.

Quelles sont les exigences d'Ideanote en matière de mots de passe d'entreprise ?

Nous utilisons Google G-Suite comme plateforme d'authentification unique (SSO) pour l'entreprise. Cette application contrôle notre accès aux différentes applications qu'Ideanote utilise. Ideanote utilise l'authentification multi-facteurs pour accéder au système. Concernant spécifiquement la politique de mot de passe, les exigences sont les suivantes : (a) les mots de passe doivent avoir un minimum de 8 caractères ; (b) ils doivent contenir des lettres minuscules et ne peuvent pas contenir une partie du nom d'utilisateur ; et (c) les utilisateurs sont bloqués après 10 tentatives de connexion infructueuses. Pour en savoir plus sur la sécurité de G-Suite en tant que fournisseur d'identité, veuillez consulter static.googleusercontent.com/media/gsuite.google.com/en/security/g-suite-security-ebook.pdf

Politiques RH et d'Entreprise

Ideanote effectue-t-il des vérifications d'antécédents sur ses employés ?

Nous effectuons des vérifications d'antécédents sur tous les employés entrants, ou les sous-traitants qui travailleront dans n'importe quel bureau d'Ideanote, avant leur prise de fonction. De plus, tous les employés signent des accords de confidentialité pour protéger les informations client.

Ideanote sous-traite-t-il certains de ses services ?

Ideanote utilise des fournisseurs tiers pour offrir ses services, notamment Google Cloud Platform pour stocker de manière persistante les données client. Ideanote utilise également des fournisseurs pour surveiller la performance de nos services et à des fins de communication après qu'ils ont été vérifiés et ont signé les protections contractuelles appropriées pour gérer les données client. Dans le cadre de notre conformité au RGPD, nous divulguons notre liste complète de sous-traitants à l'adresse ideanote.io/term#sub-processors.

RGPD

Ideanote traite-t-il des informations personnelles ?

Les clients d'Ideanote peuvent personnaliser et décider quelles informations envoyer à notre base de données, avec certaines restrictions telles que régies par notre accord avec un client. Cela peut inclure des informations personnelles, mais la présence ou non d'informations personnelles envoyées est finalement déterminée par le client et ses décisions quant aux données à envoyer à Ideanote pour traitement. 

Ideanote est-il contrôleur ou sous-traitant des données ?

Lorsque les clients envoient des données à la plateforme Ideanote, Ideanote est le sous-traitant des données, tel que défini dans le RGPD, aux fins des services fournis ; le client est le contrôleur des données.

Ideanote est-il conforme au RGPD ?

Oui. Vous pouvez trouver plus d'informations dans le DPA d'Ideanote à l'adresse ideanote.io/legal/dpa

Les sous-traitants d'Ideanote sont-ils conformes au RGPD ?

Oui, nous avons mis en place des accords de traitement des données (« DPA ») écrits avec tous nos sous-traitants. Ideanote impose des clauses de protection des données à chaque sous-traitant concernant leurs contrôles de sécurité et les réglementations applicables pour la protection des données personnelles. Avant d'engager un sous-traitant, nous effectuons une diligence raisonnable approfondie, y compris une analyse détaillée de la sécurité et des aspects juridiques. Nous n'engageons un sous-traitant que si nos normes de qualité sont respectées.

Audit

Ideanote effectue-t-il des audits de sécurité réguliers ?

Nous effectuons des analyses de vulnérabilité régulières et automatisées sur nos réseaux externes et internes. De plus, l'examen de la sécurité fait partie intégrante de notre cycle de vie de développement, intégré à nos processus de conception, de mise en œuvre et de test.

Ideanote enregistre-t-il les événements avec une piste d'audit ?

L'accès à la piste d'audit est restreint à notre équipe de développement, mais reste immuable. Les enregistrements de la piste d'audit sont conservés pendant au moins 1 an. Ideanote enregistre de manière exhaustive l'activité de son équipe de développement et de tous les utilisateurs du service automatiquement au fur et à mesure qu'elles se produisent avec la surveillance de l'enregistrement d'audit StackDriver intégré de Google. Tous les journaux restent immuables, synchronisés dans le temps, filtrables et exportables. Nous travaillons avec les clients du plan Entreprise pour répondre à toutes les demandes de piste d'audit et aux requêtes raisonnables d'exportation de pistes d'audit en temps opportun. 

Gestion des Menaces et Vulnérabilités

Ideanote a-t-il des programmes anti-malware installés ?

Nos serveurs de production fonctionnent sous Linux, où nous assurons la sécurité en isolant tous nos services dans des conteneurs entièrement recyclés pour chaque déploiement. Cela empêche les malwares de s'implanter de manière persistante et garantit une fenêtre minimale pendant laquelle un malware pourrait rester en mémoire. Selon nous, cette approche est plus robuste que de se fier à une approche de détection pour prévenir les compromissions par des malwares.

Comment fonctionne la gestion des comptes chez Ideanote ?

Le service Ideanote propose 4 niveaux de sécurité de compte : Propriétaire, Admin, Membre et Invité. Le compte Propriétaire (un par Espace) a un accès complet à tous les paramètres de l'Espace et à la facturation. Les administrateurs ont un accès complet pour créer et supprimer du contenu, des missions et des équipes, ainsi que pour inviter des personnes et gérer les rôles des membres. Les membres et les invités ont la possibilité de créer du contenu en fonction des niveaux d'accès attribués par les administrateurs. 

Mes données sont-elles confidentielles ?

Lorsque vous créez un Espace Ideanote, il est à vous et à vous seul. Tout accès au magasin de données est restreint à un petit nombre de personnes afin de maintenir un niveau de sécurité élevé et un risque faible.

Eh bien, chaque fois qu'un client rencontre un bug ou une erreur, nous demandons soit un accès direct à l'Espace en question, utilisons un logiciel de partage d'écran ou effectuons simplement des tests à l'aide d'un environnement de développement. Vous n'aurez jamais à accorder l'accès à quoi que ce soit si vous ne le souhaitez pas. C'est aussi simple que cela. Les données sont conservées dans un environnement hautement sécurisé qui n'est accessible qu'avec la 2FA. Ideanote ne vendra jamais vos données à des tiers, pour quelque raison que ce soit et en aucune circonstance.

Le personnel d'Ideanote accède-t-il ou utilise-t-il les données ou le Contenu client ?

Ideanote ne possède, ne contrôle ni ne dirige l'utilisation des données stockées ou traitées par nos clients lorsqu'ils utilisent notre service. Cela s'étend à l'accès, à la récupération et à l'utilisation directe de ces données. Nous ne sommes généralement pas au courant de ce qui est stocké ou autrement rendu disponible en interne dans un Espace.

La propriété du Contenu reste celle du client et de ses utilisateurs. Comme décrit dans nos Conditions d'utilisation, Ideanote et ses employés ne sont à aucun moment autorisés à visualiser le Contenu client, sauf si le client nous donne un consentement explicite à des fins de support valides ou si nous y sommes contraints par une loi ou une demande légale ou gouvernementale valide. Nous ne sommes en aucun cas autorisés à utiliser le Contenu client à nos propres fins.

Les employés d'Ideanote, tels que notre personnel de support, n'ont pas, en règle générale, accès à l'Espace client. L'accès aux Espaces n'est accordé aux employés que sur la base de demandes de support urgentes valides, et les employés sont formés à un accès approprié, et l'accès est surveillé pour toute utilisation inappropriée. 

Bien que le Contenu client ne soit pas consulté, les données client généralisées sous forme d'événements et de statistiques d'utilisation sont collectées et utilisées à des fins d'amélioration générale de l'expérience utilisateur et de feedback produit. Tout feedback direct sur le produit donné au personnel du support client n'est pas considéré comme du Contenu client et peut également être utilisé pour améliorer nos Services.

Gestion des Incidents chez Ideanote

En cas de violation de sécurité, Ideanote vous informera de tout accès non autorisé à vos données client dans les 72 heures suivant la première prise de connaissance de la violation. Aussi improbable que soit un tel événement, nous avons mis en place des politiques et des procédures complètes de gestion des incidents pour y faire face avec le plus grand soin et efficacité. Dans le cadre de la conformité au RGPD, nous devrons également signaler un tel incident aux autorités gouvernementales locales responsables, l'Agence danoise de protection des données.

Combien de temps les données sont-elles conservées ?

Nous stockons toutes les données pendant une durée maximale de 10 ans, sauf si votre compte est supprimé. Dans ce cas, nous nous débarrassons de toutes les données conformément à nos Conditions d'utilisation et à notre Politique de confidentialité, dans un délai de 60 jours. Les informations concernant les transactions légales entre les clients et Ideanote seront stockées pendant une durée maximale de 10 ans.