Mis à jour le 21 octobre 2024

Préambule

Nous mettons tout en œuvre pour protéger les données et la vie privée de nos utilisateurs. Nous avons une politique de protection et de confidentialité des données stricte que nous améliorons constamment en fonction des nouvelles normes et bonnes pratiques.

Sécurité de nos infrastructures

Nos applications sont hébergées par Google Cloud Platform. Nous utilisons l'infrastructure de Google pour distribuer nos services.

Google Cloud Platform respecte des règles strictes en matière de sécurité et de confidentialité des données.

Google Cloud Platform se soumet à des vérifications indépendantes de leurs dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité afin de nous aider à atteindre nos objectifs réglementaires et stratégiques. Il est possible de consulter les détails de leur service en matière de conformité, par exemple les certifications ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, et FedRAMP, ainsi que l'alignement avec les lois et règlements HIPAA, GDPR, et CCPA, entre autres, dans notre centre de ressources pour la conformité.

Nous réalisons une revue des comptes et des droits (au moins 1 fois par mois) sur nos infrastructures réseau.

Nous travaillons avec DoiT International France SAS qui est Google Cloud Premier Partner afin de nous fournir un support réactif à Google Cloud Platform et nous faire des recommandations sur les bonnes pratiques, l’optimisation des coûts et la sécurité de la plateforme. DoiT International France SAS n’a pas accès à nos infrastructures.

Sécurité réseau

Notre infrastructure réseau est composée de plusieurs couches de sécurité.

• Un cloud privé virtuel, avec un contrôle d'accès Cloud Identity and Access Management (IAM)
• Un VPN pour accéder à l’infrastructure
• Des filtrages par adresses IP et ports
• Un système de mitigation pour se protéger des attaques malveillantes

Sécurité des données

Emplacement des données

Les données sont hébergées chez Google Cloud Platform en Belgique (pour les clients européens).

Données critiques

Toutes les données critiques (mots de passe et jetons d'accès) sont chiffrées avec des algorithmes de chiffrement éprouvés.

Transport des données

Nous utilisons TLS pour faire transiter les données de façon sécurisée.

Gestion du domaine raccourci délégué par le client

Nous prenons en charge la génération, le renouvellement et la mise en place du certificat SSL sur nos répartiteurs de charges. Nos certificats SSL utilisent les algorithmes de chiffrement recommandés. Nous effectuons régulièrement des tests sur nos domaines pour évaluer la qualité de notre chiffrement SSL.

Confidentialité et propriété des assets clients

Utilisation des données privées

Nonli s'engage formellement à ne pas communiquer, partager, vendre ou utiliser à des fins commerciales ou pour son propre compte les données privées de ses clients. Ces données sont strictement réservées à l'utilisation prévue dans le cadre des services fournis par Nonli, conformément aux accords conclus avec chaque client.

Propriété et utilisation des assets clients

1. Tous les assets privés fournis par le client, incluant mais non limités aux polices de caractères, images, logos, et tout autre contenu graphique ou textuel, restent la propriété exclusive du client.
2. Nonli s'engage à utiliser ces assets uniquement dans le cadre des services fournis au client via la plateforme Nonli, et ce, exclusivement pour le compte du client propriétaire.
3. Nonli n'acquiert aucun droit de propriété ou d'utilisation sur ces assets en dehors du cadre défini par l'accord avec le client.
4. Nonli s'engage à ne pas utiliser, reproduire, modifier, ou distribuer ces assets pour tout autre usage que celui expressément autorisé par le client dans le cadre de l'utilisation de la plateforme Nonli.
5. À la fin de la relation commerciale, ou sur demande du client, Nonli s'engage à cesser toute utilisation de ces assets et à les supprimer de ses systèmes, sauf disposition contraire requise par la loi.

Confidentialité des assets

Nonli s'engage à maintenir la confidentialité des assets fournis par le client et à mettre en place des mesures de sécurité appropriées pour prévenir tout accès, utilisation, modification ou divulgation non autorisés de ces assets.

Une solution d’analyse d’audience exemptée de consentement

Fonctionnement du tag analytics (SDK) Nonli

Le tag analytics Nonli fonctionne sur un sous-domaine du domaine principal du client. Ce qui nous permet d'utiliser un cookie first party sécurisé, strict qui ne nécessite pas de demande de consentement. Ce cookie comporte la clé "nli" et en valeur un uuid qui correspond à un id unique anonyme de l'utilisateur. Le cookie sert à analyser le trafic et nous aide à éliminer le trafic généré par des robots. Le tag et le cookie ne permettent pas d’isoler le parcours distinct d’1 seul utilisateur.

Toutes les données collectées grâce à ce tag sont anonymisées et ne sont pas consolidées avec d'autres domaines. Aucune donnée personnelle n'est collectée grâce à ce tag.

Un lien dédié est disponible (exemple : https://nonli.com/cookie/consent) afin de permettre à l'internaute de désactiver le tracking le cas échéant. Le cookie “nli_consent” est utilisé pour savoir si l’internaute souhaite désactiver le tracking.

Nous nous engageons à ne pas utiliser la donnée de nos clients pour notre propre compte.

Un filtrage est effectué en entrée afin de ne récupérer que le contenu des cookies "nli" et "nli_consent".

Disponibilité du service

Nous faisons nos meilleurs efforts pour respecter un taux de disponibilité de 99.99%

La disponibilité du service est disponible sur notre statuspage

Disaster recovery et continuité de service

Nous répliquons et sauvegardons toutes nos données plusieurs fois par jour. Nous jouons des scénarios de disaster recovery régulièrement afin de rétablir le service le plus rapidement possible.

Sécurité des applications de Nonli

Toutes nos applications sont développées en interne par nos employés en CDI, nous ne faisons appel à aucun prestataire externe ou à aucune sous-traitance.

Méthode de développement

Nos développeurs pratiquent régulièrement le pair programming. Tous les développements sont testés unitairement et fonctionnellement.

Nous avons des environnements de QA dédiés, si un test ne passe pas, le code ne pourra pas être déployé en production.

Nos développeurs suivent régulièrement des formations pour être au fait des bonnes pratiques pour lutter contre les failles de sécurité.

Nous suivons les recommandations de l'OWASP.

Avant le déploiement en production, nous avons un processus de validation strict du code :

1. Chaque développement doit être déployé dans un environnement "bac à sable" isolé et sécurisé
2. Les Pull Request doivent être examinées et approuvées par les autres développeurs
3. Les tests unitaires doivent passer en vert
4. Les tests fonctionnels doivent être validés
5. Les tests de non-régressions doivent être validés
6. La note de qualité du code ne doit pas baisser
7. Aucune faille de sécurité ne doit être révélée par nos outils externes d'audit de code et de sécurité.

Si le développement ne passe pas une de ces étapes de validations, le code doit être amélioré jusqu'à valider toutes les étapes.

Inspection et scan de sécurité des applications

Nous scannons l'application avec des outils externes qui inspectent les failles de sécurité, les bugs potentiels, la qualité du code et effectuent des rapports hebdomadaires.

Sécurité et droits d'accès dans Nonli

Gestion d'accès aux ressources

Les administrateurs ont la possibilité de créer des rôles spécifiques pour chaque service de l'entreprise avec une granularité très fine.

Il est possible de créer des rôles transverses à plusieurs marques en lecture et/ou écriture et ajouter des droits spécifiques par ressource.

Authentification

Toutes nos connexions nécessitent une authentification double facteur (2FA) avec numéro de téléphone et validation par SMS. Les sessions doivent être uniques par type de device. Il est autorisé, d'avoir 2 sessions simultanées sur desktop et mobile. Si 2 sessions sont initiées sur 2 desktops simultanément la première session sera invalidée. Il en sera de même pour les sessions simultanées sur mobile.

Chaque modification de mot de passe devra être validée par e-mail.

Chaque modification d'e-mail devra être validée par SMS.

Chaque modification de téléphone devra être validée par e-mail.

Accès API

Un accès utilisateur / mot de passe est fourni pour utiliser l’API de serveur à serveur. Afin d’utiliser l’API REST il faut demander un token lors de l’authentification. Ce token est valide 7 jours.

Sécurité de l'entreprise

Sécurité du personnel et du matériel

Tous les employés sont formés à la sécurité et le personnel fait des workshops régulier sur les recommandations OWASP ainsi que sur la littérature que nous découvrons toutes les semaines en faisant de la veille. Nous consacrons 1 à 2h par semaine par employé sur la sensibilisation à la sécurité informatique.

Nous effectuons régulièrement des tests de pénétration en interne afin d'allier la théorie à la pratique.

Nous considérons les réseaux comme non fiables, c'est pour cela que nous avons mis en place des procédures de protections et d'installations. Les machines de développement sont toutes installées suivant un protocole unifié afin de garantir la mise à jour et la mise en conformité de tout le parc informatique (cryptage, pare-feu, restriction d'accès par empreinte digitale...).

Les sessions de nos postes de travail sont automatiquement verrouillées au bout de 5 minutes.

Le personnel est sensibilisé à la confidentialité, l'intégrité et la sensibilisation des données de tous nos clients.

Audit de sécurité

Nous effectuons régulièrement des tests de sécurité avec Cloud Web Security Scanner de façon hebdomadaire, ainsi que Scrutinizer quotidiennement. Nos clients ont la possibilité d'effectuer des audits de sécurité et tests de pénétrations externes en nous informant au préalable.

Signaler un incident de sécurité

Les vulnérabilités peuvent nous être communiquées à support@nonli.com

Conformité et certifications

Les employés de l'entreprise font leurs meilleurs efforts pour appliquer les normes ISO 27001 et SOC 2.

Nonli suit des règles strictes en matière de sécurité, confidentialité et conformité des données, et respecte les normes ISO 27001 et SOC 2. Cependant, en raison du coût élevé de ces certifications, nous n'avons pas encore pu les mettre en place.

Nonli est conforme à la réglementation RGPD.

Les données soumises au RGPD sont les données nécessaires au bon fonctionnement et à la sécurité de la plateforme. Quand une entreprise devient inactive dans Nonli, celle-ci est supprimée ainsi que les utilisateurs rattachés au sein de l'entreprise, aucune donnée personnelle n'est conservée.

Conformité sur les transactions

Nonli est conforme à la norme PCI-DSS. Les transactions par carte bancaire sont gérées par la société ADYEN.

Adyen est entièrement conforme à la norme PCI DSS 3.2 comme prestataire de niveau 1. Ceci est la principale norme de sécurité régissant le secteur des paiements.

En tant qu'institution de paiement, Adyen est entièrement supervisée par la banque centrale des Pays-Bas et nous sommes conformes aux exigences de la directive européenne sur les services de paiement (Directive UE 2015/2366), ainsi qu'à toute autre exigence applicable aux services financiers fournis par Adyen.

Adyen est conforme à la norme ISAE3402/SOC 1 (Service Organizational Control 1), qui évalue et teste les contrôles internes sur les rapports financiers au sein d'une organisation de services. Cela reflète la conformité de l'organisation de services avec les politiques et procédures et passe par la surveillance, la formation et la vérification des politiques et procédures.

Partenariat et Statut

Nonli est un partenaire officiel de Facebook, Instagram, Twitter et LinkedIn. Nonli a intégré le programme Google Startup Pack et ensuite devenu Google Partner.

Nonli a obtenu le statut de Jeune Entreprise Innovante délivré par le ministère de la recherche.

Q&A

Vous assurez-vous de respecter les durées de rétention légale des données ? Durées de rétention et la justification.

Oui, nous respectons les durées de rétention légale des données et les justifions par nos obligations légales et réglementaires. Nous mettons en place des procédures de suppression et d'archivage régulier des données en fonction de leur durée de rétention légale.