LOI INFORMATIQUES ET LIBERTÉS ET RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Conformément à la Loi « Informatique et Libertés » et au Règlement Général sur la Protection des Données, la société GEOTRACEUR vous informe de ses engagements :

  • Sécurisation de l’accès physique aux locaux
  • Sécurisation des postes de travail
  • Politique de mot de passe rigoureuse
  • Sécurisation du réseau local
  • Anticipation et formalisation d’une politique de sécurité du système d’information
  • Sensibilisation des utilisateurs aux risques informatiques et à la loi Informatique et Libertés
  • Identification précise des accès aux fichiers
  • Anticipation du risque de perte ou de divulgation des données
  • Veille à la confidentialité des données vis-à-vis des prestataires
  • Veille au respect de la RGPD par les prestataires et sous-traitants

Accès aux données :

L’accès aux données est autorisé à toute l’équipe GEOTRACEUR par des logins individualisés, qui s’engage contractuellement à :
  • Ne pas utiliser les données auxquelles elle peut accéder à des fins autres que celles prévues par ses attributions ;
  • Ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
  • Ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de ses fonctions ;
  • Prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de ses attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
  • Prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données ;
  • S’assurer, dans la limite de ses attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données.
L’accès aux données est également autorisé aux personnes habilitées au sein de la société YNAMICS pour la gestion technique de la plateforme ;

Sécurisation des données serveurs :

Les personnes habilitées au sein de la société GEOTRACEUR, YNAMICS et BRACTRACKER ont accès à l’interface des machines virtuelles dans le but de surveiller ou redémarrer une machine si nécessaire (24/24).
    Communication balise – interface
  • Communication uniquement avec notre serveur
  • Contact dans le sens balise – serveur uniquement
  • D’autres serveurs ne peuvent envoyer de commande
      Sécurisation du serveur
    • Accès système serveur par SSH (= encryptions des communications)
      • Pare-feu – seuls les ports utiles sont ouverts ;
      • Communication intra-serveurs protégée par VPN.
      • Sécurisation applicative :
      • Protection contre l’injection SQL assurée en s’appuyant sur le framework utilisé ;
      • Vérification à divers niveaux des droits d’accès aux données pour l’utilisateur identifié ;
      • Protection contre le CSRF ;
      • Mots de passes « cryptés » - non réversible.
      • Sécurisation des mails :
      • Configuration du DNS avec les champs SPF et DKIM ;
      • DKIM en place (signature des mails sortants)
      • Sécurisation des SMS sortants :
      • Communication par HTTPS avec les services d’envoi par SMS.
      • Applications mobiles :
      • Communication avec le serveur en https pour la plupart des informations ;
      • Echange en push à travers FCM (Système Google) ou Apple Push Notification (=sécurisation imposée par Google/Apple) ;
      • Sauvegardes (Sécurisation contre la perte de données) :
      • Sauvegarde journalière – locale + machine distante - accès par mot de passe à l’espace de stockage à partir d’un nombre de machines restreinte (fonctionnalité OVH)
      • Synchronisation en continu (5 minutes) avec le serveur de secours ;
      • Disponibilité :
      • 2 serveurs assurant une redondance sur 2 sites différents ;
      • 1 serveur sur un 3ième site permettant de décider quel serveur est fonctionnel ;
        • Dépendant du bon fonctionnement des fonctionnalités OVH suivantes :
        • Réseau OVH
        • Failover IP OVH
        • Fourniture en énergie OVH
      • Audit :
        • Diverses activités critiques sont mémorisées dans une trace d’historique :
        • Login
        • Activation/Désactivation du suivi
        • Modification de configuration
      • Accès à l’interface de gestion OVH :
      • Autorisé aux personnes habilitées chez GEOTRACEUR et YNAMICS
      • Permet de relancer des serveurs, rerouter des IPs, accéder aux sauvegardes (par modification de mot de passe), arrêter des services.
      • Données hors d’Europe :
      • Tout message sortant est également enregistré sur la plateforme Gmail dans des buts d’analyse d’incidents dans l’envoi d’alertes
      • Tout échange avec l’équipe GEOTRACEUR transite par Google Mail
      • Une partie des échanges avec YNAMICS est sauvegardée sur Google Mail (fin prévue d’ici mai 2018, un autre système de sauvegarde est en cours de validation productive)

Informations et Droits de l’utilisateur :

Les informations liées au compte de l’utilisateur sont disponibles effaçables et modifiables dans la section « Mon Compte » du site geotraceur.fr.

Pour la suppression de données (d’utilisation ou informations relative au compte), l’utilisateur doit nous contacter pour procéder aux actions souhaitées.

Projets en cours :

    • Possibilité de déploiement sur serveur virtuel dédié ;
    • Possibilité de déploiement sur serveur(s) physiques dédiés.
    • Faire signer et accepter électroniquement les nouveaux contrats mis à jour avec la notion RGPD.
    • Conception d’une procédure de création et de suppression des comptes utilisateurs
    • Création des interfaces de gestion de compte (visibilité des données, gestion des autorisations, récapitulatif, droits de modification et de suppression) destinées aux utilisateurs.