Sécurité et conformité
Notre approche de la protection de tes données, dans le détail.
RGPD, conformité et certification
Dès que tu traites des données de l'Union européenne via un prestataire (comme Hook0), tu as besoin d'un cadre contractuel avec chaque prestataire. C'est ce qui permet à l'UE de savoir que tu travailles uniquement avec des entreprises dont les pratiques sont conçues pour la conformité au Règlement général sur la protection des données (RGPD).
Accord de traitement des données (DPA)
Un accord de traitement des données (DPA), aussi appelé Data Processing Addendum, est un contrat entre les responsables de traitement et les sous-traitants, ou entre sous-traitants et leurs propres sous-traitants ultérieurs. En savoir plus (en anglais).
Sous-traitants ultérieurs
Au sens du RGPD, un sous-traitant ultérieur est toute entreprise ou tout prestataire par lequel les données client peuvent transiter du fait de l'utilisation du service Hook0. En savoir plus (en anglais).
PCI DSS
Les informations de paiement et de carte bancaire sont prises en charge par Stripe, audité par un PCI Qualified Security Assessor indépendant et certifié PCI Level 1 Service Provider, le niveau le plus exigeant du secteur des paiements. Hook0 ne reçoit pas de données de carte bancaire en routine, ce qui le rend conforme aux standards PCI DSS dans la majorité des cas d'usage.
Divulgation de vulnérabilités
Pour signaler une vulnérabilité ou tout autre souci de sécurité sur un produit Hook0, écris à [email protected].
Joins une preuve de concept, la liste des outils utilisés (avec leurs versions) et la sortie complète de ces outils. Toutes les divulgations sont prises très au sérieux. Dès réception, chaque vulnérabilité est vérifiée rapidement avant les étapes nécessaires pour la corriger. Une fois validée, des points de statut réguliers sont envoyés au fur et à mesure de la correction.
Pour chiffrer les informations sensibles que tu envoies, la clé PGP est disponible sur Keybase.
Un bug bounty ouvert récompense les vulnérabilités critiques signalées sur l'API Hook0 (https://app.hook0.com/api/v1/).
Sécurité de l'infrastructure et du réseau
Contrôle d'accès physique
Hook0 est hébergé sur la plateforme Clever Cloud, en France. Les datacenters Clever Cloud appliquent un modèle de sécurité en couches, avec de larges protections, notamment :
- Badges électroniques d'accès conçus sur mesure
- Alarmes et clôtures périmétriques
- Barrières d'accès véhicules et détecteurs de métaux
- Authentification biométrique
Les équipes Hook0 n'ont aucun accès physique aux datacenters Clever Cloud, ni aux serveurs, ni aux équipements réseau, ni au stockage.
Contrôle d'accès logique
Hook0 est l'administrateur déclaré de son infrastructure chez Clever Cloud. Seuls les membres autorisés de l'équipe ops Hook0 peuvent configurer l'infrastructure, au besoin, derrière un VPN authentifié à deux facteurs. Des clés privées spécifiques sont exigées par serveur et stockées dans un emplacement chiffré et sécurisé.
Audits indépendants
Clever Cloud passe régulièrement divers audits indépendants tiers et fournit la vérification des contrôles de conformité de ses datacenters, de son infrastructure et de ses opérations. Cela inclut, sans s'y limiter, la certification SOC 2 conforme à SSAE 16 et la certification ISO 27001.
Continuité d'activité et reprise après sinistre
Haute disponibilité
Chaque brique du service Hook0 repose sur des serveurs correctement dimensionnés et redondés (load balancers, serveurs web, bases de données répliquées) pour faire face aux pannes. La maintenance régulière retire des serveurs de la rotation sans impacter la disponibilité.
Continuité d'activité
Hook0 conserve des sauvegardes chiffrées horaires dans plusieurs régions Clever Cloud. Même si ce scénario n'est jamais attendu, en cas de perte de données de production (perte des bases primaires), les données organisationnelles sont restaurées à partir de ces sauvegardes.
Reprise après sinistre
En cas de panne touchant une région entière, Hook0 reconstruit un environnement équivalent dans une autre région Clever Cloud. L'équipe ops Hook0 a une expérience solide des migrations de région complètes.
Sécurité de l'entreprise
Protection contre les logiciels malveillants
Chez Hook0, les bonnes pratiques de sécurité commencent par notre propre équipe. Nous mettons un point d'honneur à nous protéger contre les menaces internes et les vulnérabilités locales.
Gestion des risques
Hook0 suit les procédures de gestion des risques décrites dans le NIST SP 800-30, soit neuf étapes d'évaluation des risques et sept étapes de mitigation.
Toute évolution produit Hook0 passe par revue de code, CI et pipeline de build avant d'atteindre les serveurs de production. Seuls les employés désignés de l'équipe ops Hook0 ont un accès SSH aux serveurs de production.
Hook0 réalise des évaluations de risques tout au long du cycle de vie du produit, selon les standards de la HIPAA Security Rule, 45 CFR 164.308.
Politiques de sécurité et formation
Hook0 maintient un wiki interne des politiques de sécurité, mis à jour en continu et revu chaque année pour combler les écarts. Tous les nouveaux employés reçoivent une intégration et une formation aux systèmes, avec revue des politiques de sécurité.
Politique de divulgation
Hook0 suit le processus de gestion d'incidents recommandé par le SANS, qui inclut l'identification, le confinement, l'éradication, la récupération, la communication et la documentation des événements de sécurité.
Hook0 publie en direct l'état opérationnel et les incidents sur sa status page. Tout incident connu y est signalé, ainsi que sur le flux Twitter.