Date d'entrée en vigueur : 1er septembre 2024

La protection des informations personnelles et confidentielles de nos clients est notre priorité absolue. Dans l'intérêt de nos clients, de notre éthique commerciale et de nos valeurs, nous ne faisons aucun compromis ni ne lésinons sur la sécurité des données. Dans le cadre de cet engagement, nous opérons avec la plus grande transparence. L'aperçu suivant donne un aperçu général des pratiques de sécurité en constante évolution que nous avons mises en place.

Nous respectons les normes de sécurité et de confidentialité les plus élevées

RGPD et CCPA - En nous conformant au RGPD et au CCPA, nous prouvons notre engagement à protéger les informations personnelles et à appliquer un modèle basé sur le consentement au traitement des données personnelles.

Nos protocoles de cryptage sont dignes de la sécurité nationale

Grâce à un environnement cloud AWS, nous conservons toutes les données chiffrées au repos et en mouvement à l'aide d'algorithmes de sécurité de pointe tels que RSA4096, SHA256 et AES256. Les données envoyées vers ou depuis notre infrastructure sont chiffrées en transit via les meilleures pratiques du secteur à l'aide de Transport Layer Security (TLS). Au repos, toutes les données sont soumises à des algorithmes de chiffrement à l'épreuve des combats et stockées à l'aide de services de gestion secrets. Vous pouvez consulter notre rapport SSLLabs ici.  

Grâce au chiffrement de bout en bout à chaque étape (au repos, en transit ou dans le stockage cloud), les services Cozero garantissent que vos données sont toujours sûres, sécurisées et privées. Même les communications de métadonnées entre votre système et Cozero sont cryptées pour une sécurité totale.

Notre modèle basé sur le consentement donne aux personnes le contrôle de leurs informations de santé personnelles et protégées

Selon le règlement général sur la protection des données de l'Union européenne de 2018, les données personnelles, y compris les données de santé protégées, appartiennent à la personne qu'elles représentent, et le consentement au traitement et au partage de ces données doit être « librement donné, spécifique et éclairé ». Nous ne pourrions être plus d'accord.

Lorsqu'un utilisateur utilise les services Cozero, il envoie une demande à une personne pour obtenir l'autorisation d'accéder à ses données, permettant ainsi à la personne moyenne d'exercer son consentement et sa propriété des données.

Nos mesures de sécurité évoluent constamment pour s'adapter à l'évolution du paysage des menaces

Notre travail sur la sécurité et la confidentialité n'a pas de fin. Il s'agit d'un cycle continu de recherche, de révision, de mise en œuvre, de test, de correction, de mise à l'échelle, de blocage et d'autorisation. Nous travaillons constamment pour satisfaire et dépasser les attentes des régulateurs, des investisseurs, des partenaires et des utilisateurs, et nous vivons collectivement les processus de sécurité au quotidien. La sécurité et la confidentialité font partie intégrante de notre culture. Après tout, la sécurité est l'un des principaux services que nous proposons.

La conservation et la suppression des données sont standardisées et à la discrétion de nos utilisateurs

Toutes les données utilisateur autorisées détenues par Cozero sont à la disposition de nos clients pour une récupération électronique pendant une période de 30 jours après l'expiration ou la résiliation du contrat de service. Toutes les données sont ensuite complètement supprimées des serveurs de Cozero. Chaque utilisateur peut demander la suppression de ses données personnelles en contactant le support Cozero. En savoir plus sur nos paramètres de confidentialité.

Nous établissons de solides défenses aux points d’entrée

Les applications et l'infrastructure back-end développées par Cozero, principaux points d'entrée des données utilisateur, autorisent uniquement les requêtes client utilisant des protocoles TLS puissants. Toutes les communications entre l'infrastructure gérée par Cozero et les plateformes de données sont transmises via des tunnels cryptés.

Nous prenons toutes les précautions nécessaires en matière d’infrastructure.

Tous nos services fonctionnent dans des environnements cloud. Nous n'hébergeons ni n'exploitons nos propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques. Les fournisseurs de cloud que nous utilisons font régulièrement l'objet d'une vérification indépendante des contrôles de sécurité, de confidentialité et de conformité par rapport aux normes suivantes : ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP et bien d'autres.

Code sécurisé : développement transparent avec la sécurité à l'esprit

La protection des données des clients contre les menaces modernes implique que les produits développés via nos services doivent être développés dans un souci de sécurité. Les pratiques suivantes garantissent le plus haut niveau de sécurité dans nos logiciels :

• Application du cycle de vie de développement logiciel sécurisé (S-SDLC) qui met l'accent sur l'intégration de la sécurité dans le cycle de développement

• Développer et entretenir en permanence une culture d'entreprise dédiée à la sécurité
• Nous évaluons la sécurité de notre code à l'aide de cadres de sécurité reconnus dans le secteur, tels que ATT&CK, OWASP Top 10 et SANS Top 25.
• Les développeurs participent à des formations régulières sur la sécurité pour en savoir plus sur les vulnérabilités courantes, les menaces et les meilleures pratiques de codage sécurisé
• Nous examinons notre code pour détecter les vulnérabilités de sécurité
• Nous mettons régulièrement à jour notre infrastructure et nos logiciels back-end et nous assurons qu'aucun d'entre eux ne présente de vulnérabilités connues.

• Nous utilisons des tests de sécurité des applications statiques (SAST) et des tests de sécurité des applications dynamiques (DAST) pour détecter les vulnérabilités de sécurité de base dans notre base de code.
• Nous effectuons régulièrement des tests de pénétration externes sur nos environnements de production

Nos solutions de surveillance et de protection de la sécurité des applications nous permettent d'avoir une visibilité sur :

• Identifier les attaques et réagir rapidement en cas de violation de données
• Surveiller les exceptions et les journaux et détecter les anomalies dans nos applications

• Collecter et stocker les journaux pour fournir une piste d'audit de l'activité de nos applications

Nous déployons également un système de protection d'exécution qui identifie et bloque les attaques Web et les attaques de logique métier en temps réel, ainsi que des en-têtes de sécurité pour protéger nos utilisateurs contre les attaques.  

Nous pratiquons une surveillance et une protection rigoureuses de la sécurité au niveau du réseau

Nous disposons de notre propre centre d'opérations de sécurité. Notre réseau se compose de plusieurs zones de sécurité, que nous surveillons et protégeons à l'aide de pare-feu fiables et de nouvelle génération, y compris le filtrage des adresses IP, pour garantir contre tout accès non autorisé. Nous déployons une solution de détection et/ou de prévention des intrusions (IDS/IPS) qui surveille et bloque les paquets potentiellement malveillants ainsi que des services d'atténuation des attaques par déni de service distribué (DDoS) alimentés par une solution de pointe.

Nous disposons d'une équipe de sécurité à la pointe du secteur

Notre équipe de sécurité est composée d'experts en sécurité qui se consacrent à l'amélioration constante de la sécurité de notre organisation. Notre équipe est formée et certifiée en détection des menaces de sécurité et en réponse aux incidents, en ingénierie de sécurité, en tests de pénétration, en sécurité des applications, en conformité de la gestion de la sécurité et en dernières meilleures pratiques de sécurité.

Nous encourageons une divulgation responsable.

Si vous découvrez des vulnérabilités dans notre application ou notre infrastructure, nous vous demandons d'alerter notre équipe en contactant security@cozero.io , en incluant une preuve de concept dans votre e-mail. Nous répondrons dans les plus brefs délais à votre demande et n'engagerons aucune action en justice si vous suivez le processus de divulgation responsable :

• Veuillez éviter les tests automatisés et n'effectuer des tests de sécurité qu'avec vos propres données
• Veuillez inclure une preuve de concept dans votre e-mail

• Ne divulguez aucune information concernant les vulnérabilités jusqu'à ce qu'une approbation claire soit donnée

Veuillez noter que notre programme de chasse aux bugs est actuellement fermé et que nous ne recherchons pas de nouveaux chercheurs en sécurité.  

Politique générale de sécurité des informations

Protéger les actifs informationnels et informatiques de Cozero (y compris, mais sans s'y limiter, tous les ordinateurs, appareils mobiles, équipements réseau, logiciels et données sensibles) contre toutes les menaces internes, externes, délibérées ou accidentelles et atténuer les risques associés au vol, à la perte, à la mauvaise utilisation, aux dommages ou à l'abus de ces systèmes ;

Assurez-vous que les informations seront protégées contre tout accès non autorisé. Les utilisateurs ne pourront accéder qu'aux ressources auxquelles ils ont été spécifiquement autorisés. L'attribution des privilèges sera strictement contrôlée et revue régulièrement.

Protéger la CONFIDENTIALITÉ des informations. Lorsque nous parlons de confidentialité des informations, nous parlons de la protection des informations contre leur divulgation à des parties non autorisées ;

Assurer l'INTÉGRITÉ des informations. L'intégrité des informations consiste à protéger les informations contre toute modification par des parties non autorisées ;

Maintenir la DISPONIBILITÉ des informations pour les processus opérationnels. La disponibilité des informations consiste à garantir que les parties autorisées peuvent accéder aux informations en cas de besoin.

Se conformer et, dans la mesure du possible, dépasser les exigences législatives et réglementaires nationales, les normes et les meilleures pratiques ;

Élaborer , maintenir et tester des plans de continuité des activités pour garantir que nous maintenons le cap malgré tous les obstacles que nous pouvons rencontrer. Il s’agit de « garder son calme et de continuer ! » ;

Sensibiliser à la sécurité de l'information en proposant une formation à ce sujet à tous les employés. La sensibilisation à la sécurité et la formation ciblée doivent être menées de manière cohérente, les responsabilités en matière de sécurité doivent être reflétées dans les descriptions de poste et le respect des exigences de sécurité doit être attendu et accepté comme faisant partie de notre culture ;

Veiller à ce qu'aucune mesure ne soit prise contre tout employé qui divulgue un problème de sécurité de l'information par le biais d'un rapport ou d'un contact direct avec le responsable de la gestion de la sécurité de l'information, à moins qu'une telle divulgation n'indique, hors de tout doute raisonnable, un acte illégal, une négligence grave ou un mépris délibéré ou volontaire répété des réglementations ou des procédures ;

Signalez toutes les violations de sécurité des informations réelles ou suspectées à security@cozero.io

‍