Politique de sécurité

Protection contre les attaques DDoS

Nous utilisons une protection DDoS rapide, distribuée mondialement et intelligente, toujours active, alimentée par Cloudflare, Inc.

Chiffrement des données en transit

Toutes les données envoyées vers ou depuis notre infrastructure sont chiffrées en transit selon les meilleures pratiques de l'industrie en utilisant le TLS. Vous pouvez consulter notre rapport SSLLabs ici.

Chiffrement des données au repos

Toutes les données de nos utilisateurs (y compris les mots de passe) sont chiffrées dans la base de données par nos fournisseurs de base de données Heroku (Salesforce, Inc.) et Redis Labs, Inc. en utilisant des algorithmes de chiffrement éprouvés.

Suppression personnalisée des données

Nous conservons les données de nos utilisateurs pendant une période de 60 jours après la fin de leur abonnement. Toutes les données sont ensuite complètement supprimées de nos serveurs, à l'exception des données de paiement et de facturation. Chaque utilisateur peut demander la suppression des données d'utilisation en contactant le support.

Récupération après sinistre

Nous sauvegardons tous nos actifs critiques et tentons régulièrement de restaurer la sauvegarde pour garantir une récupération rapide en cas de sinistre. Toutes nos sauvegardes sont chiffrées.

Surveillance de la sécurité des applications

Nous utilisons Bugsnag pour surveiller les exceptions, les journaux et détecter les anomalies dans nos applications. Nous collectons et stockons les journaux pour fournir une piste d'audit de l'activité de nos applications.

Protection de la sécurité des applications

• Un WAF est mis en place pour filtrer les demandes entrantes essayant de compromettre le service.
• Un pare-feu est systématiquement utilisé sur les serveurs d'Overloop pour empêcher l'accès à partir d'adresses IP non approuvées.
• Les interfaces administratives critiques sont protégées en utilisant au moins une authentification double.
• Notre infrastructure logicielle est régulièrement mise à jour en utilisant des mécanismes de mise à jour automatique lorsque cela est possible.
• Des systèmes de messagerie chiffrés de bout en bout sont disponibles pour les employés et les sous-traitants d'Overloop, et utilisés pour la plupart des communications.

Développement sécurisé

Nous appliquons les meilleures pratiques de développement pour atténuer les types de vulnérabilités connus tels que ceux de la OWASP Top 10 des risques de sécurité des applications Web.

Traitement des paiements

Tous les traitements de paiement sont externalisés à Stripe, qui est certifié comme fournisseur de services PCI de niveau 1. Nous ne collectons aucune information de paiement et ne sommes donc pas soumis aux obligations PCI.

Accès restreint aux données

Notre procédure interne stricte empêche tout employé d'accéder aux données des utilisateurs. Des exceptions limitées peuvent être faites pour le support client.