Politique de sécurité

La sécurité est profondément ancrée dans notre culture d'ingénierie. L’application AceProject est développée et maintenue selon des cycles de développement sécurisés stricts et des normes de codage modernes.

Notre équipe DevOps dédiée, appuyée par des outils de surveillance infonuagique (cloud), analyse en continu les journaux d'activité applicative, les mesures de performance et l'état des serveurs.

Des solutions de surveillance externes et automatisées alertent instantanément notre équipe d'intervention en cas d'anomalie de service, via des canaux en temps réel (incluant courriels et SMS), garantissant ainsi une intervention quasi immédiate.

AceProject est entièrement hébergé sur l’infrastructure de pointe Amazon Web Services (AWS) EC2. La sécurité physique des centres de données, les contrôles environnementaux et la maintenance du matériel sous-jacent sont gérés directement par AWS, en conformité avec les plus hautes normes mondiales (notamment SOC 2, ISO 27001 et PCI-DSS).

Nos environnements sont isolés et protégés contre les menaces externes, les attaques par déni de service (DDoS) et les intrusions non autorisées grâce à des pare-feu d'application web avancés (AWS WAF) et des listes de contrôle d'accès (ACL) périmétriques.

En s’appuyant sur le réseau mondial hautement évolutif, redondant et sécurisé d'AWS, AceProject bénéficie d’une bande passante performante et de capacités de basculement automatisées.

Toutes les données en transit entre les navigateurs des utilisateurs et notre application sont chiffrées selon les normes de l'industrie par le protocole TLS (Transport Layer Security) 256 bits, géré de manière automatisée via AWS Certificate Manager.

Les environnements clés d'AceProject utilisent des instances Windows Server d'entreprise. Notre protocole de gestion des correctifs garantit que :
- Les correctifs applicatifs et les solutions logicielles internes sont déployés en continu via des pipelines de déploiement automatisés.
- Les mises à jour du système d'exploitation sont évaluées et installées rapidement dès leur publication via les services Windows Update.
Les composants logiciels tiers et les dépendances de bibliothèques font l'objet d'audits réguliers et sont mis à jour pour éliminer toute vulnérabilité connue.

Nous appliquons des pratiques de réplication des données et de continuité des affaires strictes pour prévenir toute perte d'information :

Réplication horaire : Les environnements de bases de données clients sont répliqués vers des nœuds de secours secondaires toutes les heures.

Sauvegardes quotidiennes : Des sauvegardes complètes des bases de données et des états critiques sont générées chaque nuit, puis transférées de manière sécurisée vers le stockage géographiquement isolé Amazon S3 en vue d'une reprise après sinistre.

Dans l'éventualité peu probable d'un incident de sécurité confirmé entraînant un accès non autorisé aux données, Websystems Inc. déclenchera son plan d'intervention d'urgence. Nous nous engageons à aviser les comptes et organisations touchés sans délai indu et en pleine conformité avec les lois applicables sur la protection des données (telles que la Loi 25 au Québec et le RGPD en Europe).

Nous nous réservons le droit de suspendre temporairement certaines instances applicatives si cela s'avère nécessaire pour isoler une menace, prioriser le confinement des données et mettre en œuvre des mesures correctives permanentes.

Websystems Inc. applique une politique stricte de non-partage : nous ne vendons, ne louons, n'échangeons ni ne distribuons en aucun cas les données de nos clients ou leurs listes de courriels à des tiers.

Accès du personnel : L'accès de notre personnel de soutien aux données des clients est strictement restreint et limité aux seules fins de résoudre un problème technique, uniquement à la demande explicite du client.

Contrôle d'accès : Les pièces jointes et les documents téléversés par les utilisateurs sont stockés dans des partitions système restreintes. Ils sont isolés de manière logique et demeurent accessibles uniquement aux utilisateurs authentifiés et configurés au sein de votre propre compte.

Suppression de compte : Lors de la fermeture définitive d'un compte, les données de la base de données active sont définitivement purgées de nos serveurs. Les cycles de sauvegarde historiques suppriment automatiquement les fragments chiffrés restants dans un délai maximal de 30 jours.

Divulgation légale : Nous ne divulguerons des informations de compte que si nous y sommes contraints par une ordonnance de cour, un mandat ou une procédure judiciaire valide, et ce, uniquement après un examen juridique approfondi.

Si vous croyez avoir découvert une faille de sécurité ou une vulnérabilité sur AceProject, veuillez nous la signaler de manière confidentielle à l'adresse security@aceproject.com.

Nous analyserons votre rapport dans les plus brefs délais afin de protéger notre communauté.