Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Questionnaire de sécurité

Ideanote se fonde sur votre confiance. Sans vous, nous n'existerions pas. L'innovation et le partage d'idées peuvent contenir des informations hautement confidentielles et doivent toujours être protégés. C'est pourquoi nous avons mis en place des processus de sécurité et de contrôle étendus pour garantir la sécurité des informations. Ideanote est fier de fournir une sécurité d'entreprise à tous.

Vos données sont en sécurité avec nous, car nous nous soucions de votre tranquillité d'esprit lorsque vous construisez votre communauté d'innovation avec Ideanote. Ci-dessous, nous répondons à certaines des questions les plus fréquentes que nous avons reçues de nos clients, afin de vous donner un aperçu rapide et des réponses spécifiques.

Caractéristiques du centre de données

Où les données clients sont-elles stockées ?

Ideanote stocke les données clients de manière persistante sur la Google Cloud Platform avec des serveurs situés dans l'UE, à Francfort et à Dublin. Le Contenu Client (Idées, Commentaires, etc.) n'est stocké par aucun autre fournisseur tiers. De plus, nous avons signé des Addenda de Traitement des Données (DPA) avec tous les Sous-Traitants de données clients. Vous pouvez consulter une liste complète de nos Sous-Traitants à l'adresse ideanote.io/terms#sub-processors.

Quelles fonctionnalités de sécurité les centres de données d'Ideanote offrent-ils ?

Les centres de données de la Google Cloud Platform sont surveillés 24h/24 et 7j/7 par des caméras intérieures et extérieures haute résolution capables de détecter et de suivre les intrus. Les journaux d'accès, les enregistrements d'activité et les séquences vidéo des caméras sont disponibles en cas d'incident. L'accès au plancher du centre de données de Google n'est possible que via un couloir de sécurité qui met en œuvre un contrôle d'accès multi-facteurs utilisant des badges de sécurité et la biométrie. 

Seuls les employés agréés ayant des rôles spécifiques peuvent entrer. De plus, la sécurité physique des centres de données de Google intègre un modèle de sécurité multicouche, comprenant des dispositifs de protection tels que des cartes d'accès électroniques personnalisées, des alarmes, des barrières d'accès aux véhicules, des clôtures périmétriques, des détecteurs de métaux et la biométrie, et le plancher du centre de données est doté d'une détection d'intrusion par faisceau laser. Google suit méticuleusement l'emplacement et le statut de tous les équipements au sein de ses centres de données, de l'acquisition à l'installation, du retrait à la destruction, via des codes-barres et des étiquettes d'actifs. Des détecteurs de métaux et une vidéosurveillance sont mis en œuvre pour s'assurer qu'aucun équipement ne quitte le plancher du centre de données sans autorisation. 

Si un composant ne réussit pas un test de performance à tout moment de son cycle de vie, il est retiré de l'inventaire et mis hors service. Les disques durs de Google utilisent des technologies comme le FDE (chiffrement complet du disque) et le verrouillage de disque, pour protéger les données au repos. Lorsqu'un disque dur est mis hors service, des personnes autorisées vérifient que le disque est effacé en écrivant des zéros sur le disque et en effectuant un processus de vérification en plusieurs étapes pour s'assurer que le disque ne contient aucune donnée. Si le disque ne peut être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être physiquement détruit. La destruction physique des disques est un processus en plusieurs étapes commençant par un broyeur qui déforme le disque, suivi d'un déchiqueteur qui réduit le disque en petits morceaux, qui sont ensuite recyclés dans une installation sécurisée. Chaque centre de données adhère à une politique stricte d'élimination et toute divergence est immédiatement traitée.

Ideanote est-il conforme à la norme SOC2 ?

Notre fournisseur de centre de données est bien sûr conforme à la norme SOC2, et vous êtes toujours le bienvenu à nous contacter si vous souhaitez que nous vous fournissions leur rapport de conformité. Pour accélérer le processus, nous vous prions d'inclure des informations de contact suffisantes ainsi qu'une raison pour votre demande.

Comment les données clients sont-elles sauvegardées ?

Toutes les données clients sont entièrement sauvegardées quotidiennement vers plusieurs centres de données au sein de l'UE, à Francfort et à Dublin.

Ideanote peut-il supprimer les données clients sur demande ?

Actuellement, les données clients peuvent être supprimées sur demande écrite du client à Ideanote. Dans le cadre de nos efforts de conformité au RGPD, nous mettrons à jour nos capacités de suppression de données pour les intégrer à l'interface utilisateur. 

Ideanote a-t-il la capacité de nettoyer les ressources informatiques des données clients si un client quitte Ideanote ?

Google est notre fournisseur d'hébergement de production. Les disques durs de Google utilisent des technologies comme le FDE (chiffrement complet du disque) et le verrouillage de disque, pour protéger les données au repos. Lorsqu'un disque dur est mis hors service, des personnes autorisées vérifient que le disque est effacé en écrivant des zéros sur le disque et en effectuant un processus de vérification en plusieurs étapes pour s'assurer que le disque ne contient aucune donnée. Si le disque ne peut être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être physiquement détruit. La destruction physique des disques est un processus en plusieurs étapes commençant par un broyeur qui déforme le disque, suivi d'un déchiqueteur qui réduit le disque en petits morceaux, qui sont ensuite recyclés dans une installation sécurisée. Chaque centre de données adhère à une politique stricte d'élimination et toute divergence est immédiatement traitée.

Ideanote conserve-t-il les informations clients après résiliation ?

Ideanote permet aux clients d'exporter leurs données brutes à tout moment au format JSON standard de l'industrie, sur demande écrite du client. De plus, les données clients peuvent être supprimées sur demande lors de la résiliation ou seront supprimées conformément aux politiques internes de conservation des données d'Ideanote.

Sécurité et gestion des données

Ideanote garde-t-il les données d'un client séparées ?

Toutes les données sensibles des clients ne sont accessibles qu'après l'échange réussi d'un jeton de session de notre API, qui confère des degrés d'accès variables aux données d'un client spécifique en fonction de multiples facteurs tels que les paramètres de l'Espace, l'utilisateur spécifique essayant d'accéder à la ressource, ainsi que l'opération qui est tentée d'être effectuée sur cette ressource. Cela assure une séparation logique entre les données appartenant à plusieurs clients. Les données clients résident sur des systèmes de bases de données qui hébergent les données appartenant à plusieurs clients, mais nos contrôles d'authentification et d'autorisation logiques séparent les données d'un client de celles d'un autre client.

Ideanote prend-il en charge l'authentification unique et l'authentification multifacteur ?

Notre produit prend en charge l'authentification unique (SSO). Nous prenons en charge la norme SAML, y compris l'intégration avec le protocole Active Directory (AD). Vous pouvez configurer le SSO vous-même sous /space-settings/sso. 

Chiffrement et gestion des mots de passe

Ideanote chiffre-t-il les données clients ?

Lorsqu'un utilisateur visite un site web ou une application instrumentée avec Ideanote, les détails de ses interactions sont capturés et envoyés à Ideanote via HTTPS. Toutes les données transférées via HTTPS sont chiffrées. Ideanote n'autorise les connexions qu'en HTTPS exclusivement pour garantir que les données sont chiffrées en transit. Ideanote utilise des suites de chiffrement conformes à la suite B du NIST pour sécuriser les données en transit et au repos. 

La Google Cloud Platform chiffre par défaut les données clients stockées au repos. Les données dans Google Cloud Platform sont divisées en blocs de sous-fichiers pour le stockage, et chaque bloc est chiffré au niveau du stockage avec une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données dans un bloc est appelée clé de chiffrement de données (DEK). En raison du grand volume de clés chez Google et du besoin de faible latence et de haute disponibilité, ces clés sont stockées à proximité des données qu'elles chiffrent. Les DEK sont chiffrées avec (ou « enveloppées » par) une clé de chiffrement de clé (KEK). Pour plus d'informations, veuillez consulter https://cloud.google.com/security/#dataencryption

Quelles sont les procédures d'Ideanote pour la gestion des mots de passe ?

Les clés de chiffrement des données clients au repos sont gérées par notre fournisseur de services cloud, Google. Vous trouverez des informations supplémentaires sur les procédures de gestion des clés de Google ici :https://cloud.google.com/kms/. Nous utilisons des clés publiques/privées pour sécuriser l'accès aux dépôts de code. Les clés utilisées par le personnel sont générées par les employés d'Ideanote sur une base individuelle et stockées sur des machines locales). L'accès aux dépôts peut être attribué ou révoqué par le personnel d'ingénierie supérieur. 

Les mots de passe clients sont-ils chiffrés ?

Oui. Les mots de passe sont hachés en utilisant l'algorithme cryptographique de chiffrement par bloc Blowfish, standard de l'industrie, qui est une fonction de hachage adaptative basée sur une technique appelée Key Stretching, recommandée par le NIST.

Quelles sont les exigences d'Ideanote en matière de mots de passe d'entreprise ?

Nous utilisons Google G-Suite comme plateforme d'authentification unique d'entreprise. Cette application contrôle notre accès aux différentes applications utilisées par Ideanote. Ideanote utilise l'authentification multifacteur pour accéder au système. En ce qui concerne spécifiquement la politique de mot de passe, elle est définie comme suit : (a) les mots de passe doivent avoir un minimum de 8 caractères ; (b) ils doivent contenir des lettres minuscules et ne peuvent pas contenir une partie du nom d'utilisateur ; et (c) les utilisateurs sont bloqués après 10 tentatives de connexion infructueuses. Pour en savoir plus sur la sécurité de G-Suite en tant que fournisseur d'identité, veuillez consulter static.googleusercontent.com/media/gsuite.google.com/en/security/g-suite-security-ebook.pdf

Politiques RH et d'entreprise

Ideanote effectue-t-il des vérifications d'antécédents sur ses employés ?

Nous effectuons des vérifications d'antécédents sur tous les nouveaux employés ou sous-traitants qui travailleront dans un bureau Ideanote, avant qu'ils ne commencent au sein de l'entreprise. De plus, tous les employés signent des accords de confidentialité pour protéger les informations clients.

Ideanote sous-traite-t-il certains de ses services ?

Ideanote utilise des fournisseurs tiers pour fournir nos services, notamment la Google Cloud Platform pour stocker les données clients de manière persistante. Ideanote utilise également des fournisseurs pour surveiller la performance de nos Services et à des fins de communication après qu'ils aient été vérifiés et qu'ils aient signé les protections contractuelles appropriées pour gérer les données clients. Dans le cadre de notre conformité au RGPD, nous divulguons notre liste complète de Sous-Traitants à l'adresse ideanote.io/term#sub-processors.

RGPD

Ideanote traite-t-il des informations personnelles ?

Les clients d'Ideanote peuvent personnaliser et décider quelles informations envoyer dans notre base de données, avec certaines restrictions telles que régies par notre accord avec un client. Cela peut inclure des informations personnelles, mais la question de savoir si des informations personnelles sont envoyées est finalement déterminée par le client et ses décisions quant aux données à envoyer à Ideanote pour traitement. 

Ideanote est-il contrôleur ou processeur de données ?

Lorsque les clients envoient des données à la plateforme Ideanote, Ideanote est le processeur de données, tel que défini dans le RGPD, aux fins des services fournis ; le client est le contrôleur de données.

Ideanote est-il conforme au RGPD ?

Oui. Vous pouvez trouver plus d'informations dans le DPA d'Ideanote à l'adresse ideanote.io/legal/dpa

Les sous-traitants d'Ideanote sont-ils conformes au RGPD ?

Oui, nous avons mis en place des Accords de Traitement des Données écrits (« DPA ») avec tous nos Sous-Traitants. Ideanote impose des conditions de protection des données à chaque Sous-Traitant concernant leurs contrôles de sécurité et les réglementations applicables pour la protection des données personnelles. Avant de faire appel à un Sous-Traitant, nous effectuons une diligence raisonnable approfondie, y compris une analyse de sécurité et juridique détaillée. Nous ne faisons pas appel à un Sous-Traitant tant que nos normes de qualité ne sont pas respectées.

Audit

Ideanote effectue-t-il des audits de sécurité réguliers ?

Nous effectuons des analyses de vulnérabilité régulières et automatisées sur nos réseaux externes et internes. De plus, l'examen de sécurité fait partie intégrante de notre cycle de vie de développement, intégré à nos processus de conception, de mise en œuvre et de test.

Ideanote enregistre-t-il les événements avec une piste d'audit ?

L'accès à la piste d'audit est restreint à notre équipe de développement mais reste immuable au changement. Les enregistrements de la piste d'audit sont conservés pendant au moins 1 an. Ideanote enregistre de manière exhaustive l'activité de son équipe de développement et de tous les utilisateurs du service automatiquement au fur et à mesure qu'elles se produisent avec la surveillance de la journalisation d'audit StackDriver intégrée de Google. Tous les journaux restent immuables, synchronisés, filtrables et exportables. Nous travaillons avec les clients du plan Entreprise pour répondre à toute demande de piste d'audit et aux requêtes raisonnables d'exportation de piste d'audit en temps opportun. 

Gestion des menaces et des vulnérabilités

Ideanote a-t-il des programmes anti-malware installés ?

Nos serveurs de production fonctionnent sous Linux, où nous assurons la sécurité en isolant tous nos services dans des conteneurs qui sont entièrement recyclés pour chaque déploiement. Cela empêche les malwares d'acquérir une position persistante et garantit qu'il y a une fenêtre minimale pendant laquelle les malwares pourraient rester résidents en mémoire. Selon nous, cette approche est plus robuste que de s'appuyer sur une approche détective pour prévenir le compromis par les malwares.

Comment fonctionne la gestion des comptes chez Ideanote ?

Le service Ideanote propose 4 niveaux de sécurité de compte : Propriétaire, Administrateur, Membre et Invité. Le compte Propriétaire (un par Espace) a un accès complet à tous les paramètres de l'Espace et à la facturation. Les administrateurs ont un accès complet pour créer et supprimer du contenu, des missions et des équipes, ainsi que pour inviter des personnes et gérer les rôles des membres. Les membres et les invités ont la possibilité de créer du contenu en fonction des niveaux d'accès attribués par les administrateurs. 

Mes données sont-elles gardées privées ?

Lorsque vous revendiquez un Espace Ideanote, il est à vous et à vous seul. Tout accès au magasin de données est limité à quelques personnes sélectionnées pour maintenir une sécurité élevée et un risque faible.

Eh bien, chaque fois qu'un client rencontre un bug ou une erreur, nous demandons soit un accès direct à l'Espace en question, soit utilisons un logiciel de partage d'écran, soit effectuons simplement des tests à l'aide d'un environnement de développement. Vous n'aurez jamais à accorder d'accès à quoi que ce soit si vous ne le souhaitez pas. C'est aussi simple que cela. Les données sont conservées dans un environnement hautement sécurisé qui n'est accessible qu'avec une authentification à deux facteurs (2FA). Ideanote ne vendra jamais, pour quelque raison que ce soit et en aucune circonstance, vos données à des tiers.

Le personnel d'Ideanote accède-t-il ou utilise-t-il les données ou le contenu client ?

Ideanote ne possède, ne contrôle ni ne dirige l'utilisation des données stockées ou traitées par nos clients lorsqu'ils utilisent notre service. Cela s'étend à l'accès, à la récupération et à l'utilisation directe de ces données. Nous ignorons généralement ce qui est stocké ou autrement rendu disponible en interne au sein d'un Espace.

La propriété du Contenu reste au client et à ses utilisateurs. Comme décrit dans nos Conditions d'utilisation, Ideanote et ses employés ne sont à aucun moment autorisés à visualiser le Contenu client, sauf si nous avons reçu le consentement explicite du client à des fins de support valides ou si nous y sommes contraints par une loi ou une demande légale ou gouvernementale valide. À aucun moment, nous ne sommes autorisés à utiliser le Contenu client à nos propres fins.

Les employés d'Ideanote, tels que notre personnel de support, n'ont pas d'accès standard à l'Espace client. L'accès aux Espaces n'est accordé aux employés que sur la base de demandes de support urgentes et valides, et les employés sont formés à un accès approprié, et l'accès est surveillé pour détecter toute utilisation inappropriée. 

Bien que le Contenu client ne soit pas consulté, les données clients généralisées sous forme d'événements et de statistiques d'utilisation sont collectées et utilisées à des fins d'amélioration générale de l'expérience utilisateur et de feedback produit. Tout feedback produit direct donné au personnel du support client n'est pas considéré comme du Contenu client et peut également être utilisé pour améliorer nos Services.

Gestion des incidents chez Ideanote

En cas de faille de sécurité, Ideanote vous informera de tout accès non autorisé à vos données clients dans les 72 heures suivant la découverte de la faille. Aussi improbable que soit un tel événement, nous avons mis en place des politiques et procédures complètes de gestion des incidents pour traiter un tel événement avec le plus grand soin et efficacité. Dans le cadre de la conformité au RGPD, nous devrons également signaler un tel incident aux autorités gouvernementales locales responsables, l'Agence danoise de protection des données.

Combien de temps les données sont-elles conservées ?

Nous stockons toutes les données pendant une durée maximale de 10 ans, sauf si votre compte est supprimé. Dans ce cas, nous supprimons toutes les données conformément à nos Conditions d'utilisation et à notre Politique de confidentialité, dans les 60 jours. Les informations concernant les transactions légales entre les clients et Ideanote seront stockées pendant une durée maximale de 10 ans.