Nos pratiques de sécurité

Dans un objectif de transparence et pour répondre au mieux aux exigences de sécurité de nos clients, nous partageons à travers cette politique, les pratiques de sécurité mises en œuvre chez AB Tasty. Vous trouverez également nos réponses aux questions les plus fréquemment posées à propos de la sécurité.

Sommaire

AB Tasty est certifié ISO 27001 confirmant son engagement à respecter les normes de sécurité les plus strictes

ISO 27001 Certification

Confidentialité

Accès aux données

Gestion des accès

Nous appliquons le principe du moindre privilège, c’est-à-dire que seul un nombre restreint de personnes peuvent accéder aux données de nos clients. Ces personnes sont identifiées nominativement et une trace de leurs accès est systématiquement conservée.

L’accès aux données clients est autorisé uniquement lorsque la maintenance de nos services le nécessite ou à des fins de support client.

De plus, les droits d’accès accordés sont mis à jour et régulièrement revus et tout notre personnel est soumis à une clause de confidentialité.

Conservation

Les données sont purgées automatiquement 25 mois après leur collecte. Aujourd’hui, il n’est pas possible de personnaliser la durée de conservation directement dans la solution.

Suppression

Au terme des contrats, nous supprimons automatiquement les comptes utilisateurs de notre plateforme et nous mettons les campagnes en pause.

Vous avez la possibilité de faire une demande de suppression des données à bounty@abtasty.com.

Restitution

La solution d’AB Tasty vous offre la possibilité de récupérer vous-même, à tout moment, les données de vos campagnes de test via sa fonctionnalité d’export de données au format .csv.

Authentification

Nos utilisateurs ont plusieurs possibilités pour s’authentifier sur notre plateforme :

L’authentification simple

L’utilisateur s’authentifie grâce à un couple login / mot de passe.

Le mot de passe doit respecter les conditions de complexité suivantes :

  • Être composé d’au moins 12 caractères
  • Contenir au moins 1 majuscule, 1 minuscule, 1 chiffre ou caractère spécial
  • Être changé à la première connexion

Le mot de passe est stocké dans notre base de données sous un format hashé et salé, c’est-à-dire que nous ne stockons jamais le mot de passe en clair. Même en cas de fuite de données, le mot de passe ne pourra ni être lu, ni être réutilisé par une personne malveillante.

L’authentification multifacteur

En plus du couple login / mot de passe, l’utilisateur renseigne un code envoyé par SMS pour se connecter à la plateforme.

La fédération d’identité

Notre plateforme est compatible SAML v2, vous avez donc la possibilité d’utiliser votre propre solution de fédération d’identité pour vous authentifier.

Gestion des permissions

Les permissions au sein de la solution sont accordées selon le modèle d’habilitation RBAC (Role Based Access Control).

Il existe 4 rôles utilisateurs :

  • Admin : a tous les droits sur le compte
  • User : peut voir et modifier toutes les campagnes mais n’a pas accès aux paramètres de gestion de compte
  • Creator : peut voir toutes les campagnes et peut mettre à jour les informations non sensibles. En revanche ce profil ne peut pas jouer/mettre en pause une campagne ni supprimer les données de cette campagne
  • Viewer : peut voir voir toutes les campagnes mais ne peut pas les mettre à jour

Chiffrement

Les données collectées sont chiffrées (AES-256) et en transit (HTTPS/TLS 1.2+).

Nous effectuons une veille permanente pour suivre les évolutions du marché et appliquer les derniers standards en matière de cryptographie afin d’assurer la meilleure protection à nos utilisateurs.

Séparation des environnements clients

Les données collectées sur les sites de nos clients sont stockées dans une base de données qui leur est dédiée pour prévenir tout accès non autorisé.

Intégrité

Gestion des changements

AB Tasty souhaite offrir le meilleur produit possible à ses clients. C’est pourquoi notre plateforme est en constante évolution et nous déployons régulièrement de nouvelles versions.

Pour ne pas introduire de bugs ou des vulnérabilités lors de ces évolutions, tous les changements apportés à notre plateforme sont strictement encadrés.

Nous avons adopté une approche automatisée d’intégration et de mise en production continue. Chaque fois qu’un développeur modifie le code source de la plateforme, celui-ci est revu par un pair. Une série de tests unitaires et fonctionnels sont systématiquement effectués en environnement de staging et de pré-production avant une mise en production.

Checksum

Notre solution permet de modifier et personnaliser facilement l’interface graphique de vos sites. Ces modifications sont enregistrées dans un fichier nommé Tag.js puis il est stocké dans un espace sécurisé.

Pour renforcer davantage la sécurité du Tag.js, vous avez la possibilité de vérifier son intégrité en comparant son empreinte (checksum) à celle que nous avons calculée au moment de son dépôt dans notre espace de stockage grâce à notre API public.

Disponibilité

Datacenter

Toute notre infrastructure informatique (applicatifs, réseau et stockage) repose sur des fournisseurs de services cloud (AWS et Google Cloud) répondant aux meilleurs standards du marché et aux certifications ISO 27001 et SOC 2.

Sauvegardes

Nous effectuons des sauvegardes de vos instances de base de données avec une période de rétention de 7 jours. Les sauvegardes sont conservées dans un datacenter différent des données en production.

Plan de reprise d’activité

Les sauvegardes et la redondance de notre infrastructure informatique dans plusieurs centres de données de nos fournisseurs de services cloud nous permettent d’assurer la disponibilité de nos services en cas de sinistre.

Nous testons notre plan de reprise d’activité au moins une fois par an pour vérifier que les procédures de restauration et l’organisation définie fonctionnent correctement.

Niveau de service garanti (SLA)

AB Tasty garantit contractuellement la disponibilité de ses services. Les niveaux de service garanti sont consultables en annexe des conditions générales de service.

Vous pouvez consulter l’état de nos services en quasi temps réel sur une page web dédiée.

Traçabilité

Journalisation

Nous conservons une trace de tous les accès aux données. Les informations enregistrées à minima sont la date, l’heure, l’origine de l’action (l’utilisateur ou la ressource) et le type d’opération (insert, update, delete, etc).

L’accès aux journaux est limité au strict minimum afin de préserver leur intégrité et pour qu’ils puissent être utilisés comme éléments d’investigation en cas d’incident de sécurité ou bien comme preuves lors d’éventuelles procédures judiciaires.

Contrôles de sécurité

Ressources humaines

Avant de rejoindre AB Tasty, tous nos employés sont passés par un processus de recrutement rigoureux. Leurs antécédents ont été contrôlés et nous nous assurons qu’ils possèdent les compétences requises pour le poste qu’ils vont occuper.

L’ensemble de notre personnel est soumis à une clause de confidentialité qui perdure à l’issue de leur contrat de travail.

AB Tasty présente une charte de bonne utilisation des ressources informatiques à tous les nouveaux arrivants. Cette charte est annexée au règlement intérieur et est, par conséquent, opposable à l’ensemble de son personnel. Toute personne qui ne respecterait pas les règles de sécurité peut faire l’objet de mesures disciplinaires.

Sécurité physique

L’accès aux locaux d’AB Tasty, que ce soit pour son personnel ou ses visiteurs, est strictement encadré et contrôlé par des dispositifs de sécurité tels que la vidéosurveillance, une alarme anti-intrusion ou des badges d’accès électroniques.

Nous sommes très attachés au respect de la confidentialité des informations au sein même des locaux comme en extérieur. Nous ne laissons aucun document ou information confidentielle à la vue de tous. Nous disposons d’armoires fortes et de broyeuse pour la gestion des documents papier.

Toute l’infrastructure informatique est hébergée chez nos fournisseurs de services cloud répondant à la certification ISO 27 001.

Surveillance, audits et correction des vulnérabilités

En plus des contrôles de sécurité effectués en interne par les équipes d’AB Tasty comme une revue périodique des habilitations, nous faisons régulièrement appel à des prestataires de sécurité indépendants pour auditer nos services.

Nous faisons réaliser deux fois par an des tests de pénétrations pour mettre à jour d’éventuelles vulnérabilités et failles de sécurité. Lorsque de telles failles sont découvertes, nous apportons dans les plus brefs délais les correctifs de sécurité nécessaires.

Protection et dispositifs de sécurité

Tous nos systèmes sont protégés par des dispositifs de sécurité tels que des logiciels antivirus, anti-malware ou des pare-feu.

L’accès à nos serveurs et notre environnement de production est protégé soit par la mise en place d’une authentification forte, soit par un bastion d’administration dédié.

La configuration des serveurs est renforcée. Les services et les ports ouverts sont réduits au strict nécessaire pour réduire au maximum la surface d’attaque et limiter notre exposition aux cybermenaces.

Incident de sécurité

Nous informons nos clients de tout incident de sécurité qui pourrait les impacter directement ou indirectement. Nous avons défini une procédure de gestion des incidents de sécurité pour nous préparer au mieux à cette éventualité.

Vous pouvez nous signaler tout événement ou anomalie pouvant avoir une incidence sur la sécurité des données à l’adresse email suivante : bounty@abtasty.com

Données personnelles

Le respect et la protection de la vie privée des personnes sont des principes très importants chez AB Tasty. C’est pourquoi nous limitons la collecte des données personnelles uniquement à celles qui sont indispensables au fonctionnement de notre service, en adéquation avec le principe de minimisation exposé dans l’article 5.1.C du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD).

Vous trouverez les principales mesures prises pour assurer notre conformité au RGPD et au “California Consumer Privacy Act” dans la F.A.Q dédiée aux données personnelles ici.

Traceurs & Consentement

Au cours des derniers mois, nous avons fait le constat, commun à nombre d’acteurs du marché, des difficultés d’interprétation posées par les dernières lignes directrices de la CNIL.

Dans un premier temps, nous vous avons adressé notre analyse de ces lignes directrices au regard de chacune des fonctionnalités de notre Solution AB Tasty.

Aujourd’hui, nous sommes heureux de partager avec vous les dernières évolutions en la matière, en lien avec la session de travail que nous avons eue le 5 mars dernier avec plusieurs représentants de la CNIL au sujet des Patchs, de la Personnalisation et des tests A/B.

C’est donc sur cette base que nous sommes, à date, en mesure de porter à votre connaissance le plan d’action suivant :

“Patcher” le site de l’éditeur

Nous visons ici le fait pour le Client d’utiliser AB Tasty dans une logique de mise en ligne facilitée de correctifs et/ou d’amélioration du site au lieu de passer par des mises en production internes.

Nous nous appuyons sur le fait que, selon la CNIL, l’exécution du javascript d’AB Tasty, dès lors qu’il n’utilise pas de méthodes techniques pour identifier de manière unique des utilisateurs (fingerprinting, pixels, …), n’est pas concerné par les lignes directrices ni même par la réglementation e-privacy de manière plus générale.

Ainsi, le fait d’avoir, pour le Client, le Tag AB Tasty qui s’exécute sur son site n’entraîne aucune obligation en lien avec les lignes directrices et cette utilisation ne rend pas nécessaire le recueil du consentement des visiteurs du site internet.

Personnaliser l’expérience de navigation

Là encore, il s’agit d’une pratique qui a pour vocation d’offrir un contenu différent aux internautes en fonction de certains critères. Il s’agit donc d’un mode de fonctionnement du site qui est externalisé chez AB Tasty mais qui participe au fonctionnement technique même du site de l’éditeur.

Via l’exécution du javascript d’AB Tasty, nous allons proposer de pouvoir appliquer les modifications sans pour autant procéder au dépôt d’un cookie ni entraîner la collecte de données. Le client pourra paramétrer cela directement dans l’interface que nous sommes en train de faire évoluer en ce sens.

(N.B. : Dans tous les cas, les critères de targeting nécessitant de faire appel à une DMP nécessiteront le recueil du consentement.)

A/B Tester les utilisateurs

La nécessité de recueillir le consentement dépend de la finalité de l’AB Test :

  • Si la finalité concerne des modifications techniques et/ou ergonomiques, le consentement n’est pas requis;
  • Si la finalité concerne la recherche de revenu additionnel, le consentement est nécessaire.

Nous sommes, là encore, en train de faire évoluer notre interface pour permettre au Client, en début de création d’A/B Test, de procéder à la sélection d’une des deux finalités.

Nous devrions pouvoir revenir vers vous avec les détails techniques attachés à la mise en place de ce plan d’action le plus rapidement possible, étant précisé que toutes ces mises à jour de notre interface doivent être exclusivement réalisées par AB Tasty.

Par ailleurs, nous vous informons que AB Tasty a bien entendu répondu au Programme d’évaluation lancé par la CNIL le 8 mars au sujet des solutions de mesure d’audience.

Enfin, nous tenons à vous indiquer qu’ayant à cœur d’avancer sur ce sujet en toute transparence avec la CNIL et de concert avec elle, une copie de cette note lui a été adressée, en amont, à titre d’information.

FAQ

Disposez-vous d’une politique de sécurité de l’information (PSSI) ?

Oui. Notre PSSI établit le cadre général qui nous permet d’assurer la protection des données qui nous sont confiées. Elle est communiquée à l’ensemble de notre personnel.

Elle est revue au moins une fois par an et nous la mettons à disposition de nos clients qui en font la demande.

Disposez-vous de certifications de sécurité ?

Nous sommes certifiés ISO 27001.
De plus, notre infrastructure de stockage et de traitement de l’information est entièrement hébergée chez des fournisseurs de services cloud certifiés ISO 27001 et SOC 2.

Un interlocuteur est-il formellement identifié pour traiter les sujets de sécurité ?

Notre équipe support répond à toutes les questions qui lui sont posées, y compris sur les sujets de sécurité. En fonction du périmètre de sécurité à aborder, elle est ensuite chargée d’adresser ces sujets aux experts internes. Nous disposons d’interlocuteurs pour les quatre pôles d’expertises suivants :

  • Sécurité physique des collaborateurs
  • Sécurité des postes et méthode de travail
  • Sécurité du développement informatique et infrastructure
  • Sécurité juridique

S’il s’agit de remonter un incident, nous disposons d’une adresse mail dédiée : security@abtasty.com

Avez-vous identifié vos principaux risques de sécurité ? Quelles démarches avez-vous entreprises pour les réduire ?

Pour assurer le meilleur niveau de sécurité possible à nos clients, nous avons décidé d’implémenter un système de management de la sécurité de l’information (SMSI) conformément à la norme ISO 27 001.

Nous procédons régulièrement à une analyse de risques de notre système d’information où chaque risque identifié est traité et figure dans notre plan de traitement des risques.
Des indicateurs de sécurité nous permettent de contrôler et surveiller le niveau des risques identifiés jusqu’à ce qu’ils atteignent un niveau acceptable.

Votre personnel est-il sensibilisé à la sécurité de l’information ?

Lors de leur arrivée chez AB Tasty, tous nos employés sont sensibilisés et formés à la culture et aux méthodes de travail de l’entreprise. Nous présentons systématiquement notre charte informatique qui récapitule l’ensemble des règles et bonnes pratiques en matière de sécurité de l’information.

Nous rappelons également ces règles de sécurité dans des newsletters envoyées par l’équipe IT d’AB Tasty.

Les personnes amenées à accéder aux données de vos clients sont-ils tous soumis à une clause de confidentialité ?

Tous nos employés sont soumis à une clause de confidentialité par leur contrat de travail.

Nous faisons également signer un accord de confidentialité (non disclosure agreement) à l’ensemble de nos partenaires qui pourraient être amenés à accéder à des données confidentielles.

Avez-vous prévu des sanctions en cas de non-respect des règles de sécurité ?

Notre charte informatique, qui récapitule l’ensemble des règles de sécurité applicables dans l’entreprise, est annexée au règlement intérieur d’AB Tasty et est par conséquent opposable à tout notre personnel. Un processus disciplinaire est prévu en cas de manquement aux règles de sécurité.

La connexion à la plateforme AB Tasty est-elle sécurisée ? 
Oui, l’ensemble des connexions à notre plateforme se font en HTTPS via le protocole TLS 1.2. Il est de plus possible d’activer l’authentification multifacteur (MFA). Un code envoyé par SMS sera demandé aux utilisateurs pour se connecter à leur compte.
Quelle est la politique de mot de passe ? 
L’utilisateur s’authentifie grâce à un couple login / mot de passe. Le mot de passe doit respecter les conditions de complexité suivantes :
  • Être composé d’au moins 12 caractères
  • Contenir au moins 1 majuscule, 1 minuscule, 1 chiffre ou caractère spécial
  • Être changé à la première connexion
Le mot de passe est stocké dans notre base de données sous une forme hashée et salée, c’est-à-dire que nous ne stockons jamais le mot de passe en clair. Même en cas de fuite de données, le mot de passe ne pourra ni être lu, ni être réutilisé par une personne malveillante.
Est-il possible de s’authentifier par une solution de fédération d’identité ?
Oui, notre plateforme est compatible SAML v2, vous avez donc la possibilité d’utiliser votre propre solution de fédération d’identité pour vous authentifier.
Quels sont les différents profils utilisateurs ? Comment gère-t-on leurs droits d’accès ?
Les permissions au sein de la solution sont accordées selon le modèle d’habilitation RBAC (Role Based Access Control). Il existe 4 statuts utilisateurs :
  • Admin : a tous les droits sur le compte
  • User : peut voir et modifier toutes les campagnes mais n’a pas accès aux paramètres de gestion de compte
  • Creator : peut voir toutes les campagnes et peut mettre à jour les informations non sensibles. En revanche ce profil ne peut pas jouer/mettre en pause une campagne ni supprimer les données de cette campagne
  • Viewer : peut voir voir toutes les campagnes mais ne peut pas les mettre à jour
 
Qui peut accéder aux données collectées par la solution d’AB Tasty ?
Nous appliquons une politique d’accès très stricte en matière d’accès aux données (principe du moindre privilège). Chez AB Tasty, seule notre équipe devops peut accéder aux données collectées par notre solution.
Comment garantissez-vous que seules les personnes expressément autorisées accèdent aux données ? 
Les droits d’accès aux données sont donnés uniquement de façon nominative : nous connaissons toujours l’identité de la personne autorisée à accéder aux données depuis un compte utilisateur. Les droits accordés aux utilisateurs sont régulièrement mis à jour, une revue est effectuée au moins une fois par trimestre.
Conservez-vous les logs d’accès aux données ?
Oui, nous conservons une trace de tous les accès aux données.
L’accès aux locaux d’AB Tasty est-il restreint aux seules personnes autorisées ?
L’accès aux locaux d’AB Tasty est contrôlé par un dispositif d’accès par badge électronique, attribué nominativement.
Les accès visiteurs sont-ils surveillés ?
L’accès aux visiteurs est strictement encadré. Leur identité est vérifiée, leur présence sur site consignée dans un registre, un badge visiteur leur est attribué et ils sont constamment accompagnés.
L’accès aux locaux est-il surveillé  ?
Un dispositif d’alarme anti-intrusion est mis en place. Il est téléopéré par une société de sécurité spécialisée.
Avez-vous établi des règles de sécurité pour préserver la confidentialité des informations dans les espaces de travail ?
AB Tasty fait appliquer la politique dite du “bureau propre”. Aucun support physique (papier, lecteur amovible, impression) n’est laissé sur les bureaux, dans les salles de réunion ou sur l’imprimante en l’absence de son propriétaire. Les documents papier confidentiels sont conservés dans une armoire forte et broyés s’ils doivent être mis au rebut. Aucun écran ou tableau n’est visible depuis une fenêtre donnant sur l’extérieur des locaux.
Comment protégez-vous vos locaux techniques (salles informatiques) ? 
Toute l’infrastructure informatique est hébergée dans des datacenters gérés par nos fournisseurs de services cloud répondant à la certification ISO 27 001 et SOC 2.
Les données sont-elles chiffrées ? 
L’ensemble des données que nous collectons sont chiffrées en transit (via TLS 1.2) et au repos (en AES-256).
Les données sont-elles séparées de celles des autres clients ? 
Toutes les données collectées sur les sites de nos clients sont stockées dans une base de données qui leur est dédiée pour prévenir tout accès non autorisé.
Combien de temps conservez-vous les données collectées sur les sites de vos clients ?
Conformément aux dispositions RGPD et e-Privacy, nous conservons les données collectées sur une période de 25 mois maximum. Elles sont automatiquement supprimées après cette période.
Proposez-vous une fonction d’export des données ?
Les données des campagnes de test sont exportables au format .csv directement depuis la plateforme AB Tasty uniquement par les utilisateurs .
Quelles garanties proposez-vous quant à la restitution et la suppression des données de vos clients à la fin du contrat ?
Nos clients ont la possibilité d’exporter eux-mêmes les données de leurs campagnes de tests directement depuis l’application à tout moment pendant la durée du contrat.. Au terme du contrat, nous supprimons automatiquement les comptes utilisateurs de notre plateforme et nous mettons les campagnes en pause. Nos clients ont la possibilité de faire une demande de suppression des données à legal@abtasty.com.
Quelles garanties apportez-vous sur la disponibilité des services ?
AB Tasty garantit contractuellement la disponibilité de ses services. Les niveaux de service garanti sont consultables en annexe des conditions générales de service.
Comment vérifier que vous respectez vos engagements  au titre des niveaux de service?
Vous pouvez consulter l’état de nos services en quasi temps réel sur une page web dédiée : https://status.abtasty.com
Les données sont-elles sauvegardées ?
Nous effectuons, quotidiennement, la sauvegarde de toutes les données générées par les Visiteurs de votre/vos site(s), avec une période de rétention de 7 jours.
Les sauvegardes sont-elles sécurisées ?
Les sauvegardes sont systématiquement conservées sur un site différent de celle des données de production, chiffrées et leur accès est strictement limité.
Des tests de restaurations sont-ils régulièrement effectués ?
Nous effectuons régulièrement des tests de restauration sur nos environnements de test.
Disposez-vous d’un plan de reprise d’activité ?
Nous disposons d’un plan de reprise d’activité (Disaster recovery plan). Les sauvegardes et la redondance de notre infrastructure nous permettent d’assurer la disponibilité de nos services en cas de sinistre. De plus, toute notre infrastructure informatique repose sur des fournisseurs de services cloud (AWS et Google Cloud) répondant aux meilleurs standards du marché et aux certifications ISO 27001 et SOC 2. Ils disposent eux-mêmes d’un plan de reprise d’activité en cas de sinistre.
Avez-vous défini des objectifs de durée maximale d’interruption de service admissible et de perte de données maximale admissible (RTO RPO) ?
La durée maximale d’interruption de service admissible et de perte de données maximale admissible est définie dans le plan de reprise d’activité de AB Tasty.
Testez-vous régulièrement votre PRA ?
Nous testons notre plan de reprise d’activité au moins une fois par an pour vérifier que les procédures de restauration et l’organisation définie fonctionnent correctement et nous permettent d’assurer la disponibilité de nos services en cas de sinistre.
Comment garantissez-vous que les changements apportés au code source de votre solution n’introduisent pas de bugs ou des failles de sécurité ?
Le cycle de développement de notre solution suit une approche d’intégration et déploiement continue. Cette approche nous permet de garantir une surveillance continue des changements apportés au code source, de la phase d’intégration, de test et jusqu’à son déploiement en production. Toutes les modifications du code source sont systématiquement revues par au moins deux développeurs et des tests unitaires permettent de vérifier la bonne exécution du code.
Utilisez-vous des frameworks de développement sécurisé ?
Nous utilisons les frameworks de développement symfony et react, dans des versions systématiquement maintenues en conditions opérationnelles de sécurité.
Votre équipe de développeurs est-elle formée au développement sécurisé ?
Nos développeurs sont sensibilisés et formés aux failles de sécurité présentées dans le TOP 10 de l’OWASP. Une plateforme de formation est mise à disposition de nos équipes, sur laquelle ils peuvent se former sur les sujets de leurs choix, dont des formations sur le développement sécurisé.
Comment vous protégez-vous contre les logiciels malveillants ?

Tous nos systèmes sont protégés par un antivirus mis à jour quotidiennement.

Notre équipe IT effectue une veille sur l’actualité de la cybersécurité et des principales failles de sécurité pouvant impacter nos systèmes informatiques.

Nous surveillons l’état de mise à jour de notre parc informatique et de nos systèmes et y appliquons systématiquement les correctifs de sécurité disponibles.

Tous les logiciels autorisés en production sont maintenus en condition opérationnelle de sécurité par leur éditeur.

Lorsqu’une faille de sécurité est remontée à nos équipes, que ce soit à notre veille en sécurité ou par des audits externes, celle-ci est corrigée dans les plus brefs.

Quels événements système et réseau journalisez-vous ?

Nous conservons une trace de tous les accès aux données. Les informations enregistrées à minima sont la date, l’heure, l’origine de l’action (l’utilisateur ou la ressource) et le type d’opération (insert, update, delete, etc).

Quelle est la période de rétention des logs ?

Nous conservons les logs sur une durée de 12 mois.

Qui peut accéder aux logs ?

L’accès aux journaux est limité au strict minimum afin de préserver leur intégrité et pour qu’ils puissent être utilisés comme éléments d’investigation en cas d’incident de sécurité ou bien comme preuves lors d’éventuelles procédures.

Comment assurez-vous la sécurité de vos environnements de production ?

Notre infrastructure informatique est une infrastructure dite “as code”. Toutes les ressources (serveurs, instances réseaux, groupe de sécurité, règles pare-feu, etc.) sont décrites dans des fichiers de configuration, ce qui nous permet d’automatiser le déploiement de nos solutions et d’assurer un haut niveau de disponibilité à nos clients.

Le risque d’erreur humaine ou de mauvaise configuration est ainsi réduit. Le code de l’infrastructure étant versionné, il est possible de revenir en arrière en cas d’une erreur de déploiement.

Nous surveillons également en permanence l’état de nos instances en production grâce à des tableaux de bord dédiés (via l’outil Grafana).

Enfin, l’ensemble des flux de communications au sein de nos environnements en production sont chiffrés.

Comment assurez-vous la sécurité des opérations de maintenance et d’administration de vos environnements de production ?

Les opérations de maintenance et d’administration de notre environnement de production sont uniquement effectuées par notre personnel devops.

Les accès aux interfaces d’administration sont toujours protégés, soit par un bastion d’administration soit par un système de double authentification.

La confidentialité et l’intégrité des opérations d’administration sont assurées par l’implémentation de protocoles de chiffrement robuste (SSL/TLS).

Qu’est-ce que le Tag.js, que permet-il de collecter, de modifier ?

Notre solution permet de modifier et personnaliser facilement l’interface graphique de vos sites web. Ces modifications sont enregistrées dans un fichier nommé Tag.js. Lorsqu’il est présent sur votre site web, le fichier tag.js fait apparaître les modifications graphiques sur votre site et collecte des données sur le comportement de vos visiteurs.

Où sont stockés les tags ?

Le fichier Tag.js est stocké dans notre réseau de diffusion de contenu (Amazon CloudFront). Les données comportementales sont stockées sur nos serveurs de collecte, tous situés au sein de l’Union Européenne.

Qui y a accès ?

L’url du Tag.js est publique, donc accessible à tous, car le Tag.js doit pouvoir être chargé par n’importe quel Visiteur de votre site web..

Par contre, avant d’être déployé, le fichier du Tag.js est “minifié” : les espaces, sauts de ligne et commentaires sont supprimés, les variables sont renommées et raccourcies au maximum, les assertions sont factorisés. Ce procédé de minification permet à la fois d’avoir un fichier plus léger mais il fait également office d’obfuscation. Il devient donc quasi-impossible de faire du reverse-engineering de ce fichier.

Comment garantissez-vous l’intégrité des tags ?

Pour renforcer davantage la sécurité du Tag.js, nos clients ont la possibilité de vérifier son intégrité en comparant son empreinte (checksum) à celle que nous avons calculée au moment de son dépôt dans notre espace de stockage grâce à notre API public.

Vos prestataires externes sont-ils soumis à des clauses de sécurité et de confidentialité ? 

L’ensemble de nos prestataires sont soumis à des clauses de confidentialité (Non-Disclosure Agreement). De plus, lorsqu’il s’agit de prestations sensibles ou si le prestataire doit avoir des accès privilégiés, des clauses de sécurité spécifiques sont incluses dans le contrat.

Vos prestataires font-ils l’objet d’une surveillance particulière ?

Lorsque la prestation nécessite des accès à notre système d’information, ces accès sont surveillés et limités dans le temps.

Les contrats passés avec nos fournisseurs les plus sensibles incluent des clauses de sécurité et d’auditabilité. Nous vérifions régulièrement le respect des engagements contractuels de nos fournisseurs et prestataires.

Disposez-vous d’une procédure en cas d’incident de sécurité impactant vos clients ?

Nous vous informons de tout incident de sécurité qui pourrait vous impacter directement ou indirectement. Nous avons défini une procédure de gestion des incidents de sécurité pour nous préparer au mieux à cette éventualité.

Comment et dans quels délais communiquez-vous sur les incidents de sécurité ?

Si un incident de sécurité venait vous  impacter, nous vous avertissons dans les plus brefs délais de l’incident, aux coordonnées que vous nous aurez fournies et identifiées comme point de contact lors de la signature du contrat.

Par quel moyen votre équipe sécurité est-elle joignable pour échanger sur un incident de sécurité ? 

Vous pouvez nous signaler tout événement ou anomalie pouvant avoir une incidence sur la sécurité des données à l’adresse email suivante : support@abtasty.com

Faites-vous auditer votre système d’information régulièrement ? 

Dans le cadre de notre certification ISO 27001, notre système de management de la sécurité de l’information est entièrement audité tous les 3 ans. Un audit de suivi est de plus réalisé tous les ans.

La sécurité de vos solutions est-elle régulièrement testée ?

Nous faisons réaliser deux fois par an des tests d’intrusion pour mettre au jour les éventuelles failles de sécurité de nos systèmes et solutions logicielles. Lorsque de telles failles sont découvertes, nous apportons dans les plus brefs délais les correctifs de sécurité nécessaires.

Communiquez-vous les résultats ou les rapports d’audits ?

Nous communiquons les certificats de tests d’intrusions si vous nous en faites  la demande.

Vos clients ont-ils la possibilité de réaliser ou faire réaliser des audits de sécurité et des tests d’intrusion de leur propre initiative ?

Les modalités de réalisation des audits de sécurité et tests d’intrusion à la demande du client sont déterminées contractuellement. Dans tous les cas, ceux-ci ne peuvent intervenir qu’avec notre accord préalable et sur un périmètre qui, par nature, exclut nos hébergeurs.

Quelles sont les réglementations auxquelles vous êtes soumis en matière de sécurité des données personnelles ?

Nous sommes soumis au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et/ou lorsqu’applicable à la relation d’affaire, au Personal Data Protection Act 26 of 2012 (PPDA) et/ou au California Consumer Privacy Act (CCPA).

Quelles sont vos responsabilités vis-à-vis des données personnelles collectées sur les sites de vos clients ?

Dans le cadre de la fourniture de son service, AB Tasty agit en tant que sous-traitant des traitements des données à caractère personnel et agit pour le compte de ses clients, qui restent le responsable de traitement, au sens donné par l’article 4 du RGPD.

En tant que sous-traitant, AB Tasty s’engage à :

  • traiter les données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
  • héberger les données à caractère personnel sur le territoire de l’Union Européenne ou sur le territoire Nord Américain ou sur le territoire APAC.
  • garantir la confidentialité des données à caractère personnel.
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, le principe de protection des données à caractère personnel dès la conception et le principe de protection des données à caractère personnel par défaut.
  • notifier au client toute violation de données à caractère personnel le concernant dans les meilleurs délais après en avoir pris connaissance.
  • tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte de ses clients.
  • mettre à la disposition de ses clients la documentation nécessaire pour justifier du respect de ses obligations au titre du RGPD.
  • aider ses clients dans leur conformité aux obligations prévues par la réglementation applicable à la protection des données à caractère personnel, notamment pour répondre aux demandes d’exercice des droits des personnes  concernées.
Quelles données personnelles collectez-vous sur les sites de vos clients ?
  • L’adresse IP des Visiteurs du/des Support(s) Connecté(s) du Client : cette donnée permet la géolocalisation, à l’échelle d’une ville, des Visiteurs du/des Support(s) Connecté(s) du Client.
  • L’identifiant : il s’agit de l’identifiant unique attribué à chaque Visiteur lors du chargement d’une page web, basé sur une date, une heure et une valeur aléatoire à 5 chiffres ; cette donnée permet de relever les informations techniques et comportementales des Visiteurs qui sont liées à la machine utilisée  par le Visiteur, au navigateur utilisé par le Visiteur et aux actions physiques conduites par le Visiteurs par exemple en utilisant un clavier, une souris d’ordinateur, ou tel autre outils sur un clavier tactile) et l’analyse statistique des comportements des Visiteurs du/des Supports Connecté(s) du Client.
  • Les données, dont certaines peuvent, le cas échéant, être à caractère personnel, qui sont collectées par le Client et auxquelles le Client donne accès à AB Tasty.
Combien de temps conservez-vous les données personnelles collectées ?
  • L’adresse IP des visiteurs du/des Supports Connecté(s) du Client n’est pas stockée; elle est immédiatement (en temps réel) définitivement supprimée par AB Tasty après que les résultats des campagnes ont été obtenus.
  • L’identifiant est supprimé automatiquement à l’issue d’une période maximale de 13 mois.
  • Les données à caractère personnel auxquelles le Client a donné accès à AB Tasty associées aux informations statistiques techniques et comportementales sont automatiquement supprimées à l’issue d’une période de 25 mois.
Où sont hébergées les données à caractère personnel ?

Les données à caractère personnel sont hébergées sur le territoire de l’Union Européenne ou sur le territoire Nord Américain ou sur le territoire APAC dont le détail est donné ci-après. Elles ne font pas l’objet de transfert par AB Tasty ni par ses sous-traitants.

Quelle est la liste de vos sous-traitants au sens du RGPD ?
  • Pour le territoire de l’Union Européenne

  • Pour le territoire Nord Américain

  • Pour le territoire APAC :

Quelles sont les mesures de sécurité mises en place pour assurer la protection des données personnelles ?

AB Tasty a mis en place plusieurs mesures de sécurité pour s’assurer de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes et services concernant le traitement des données personnelles.

Vous pouvez consulter la page web dédiée aux pratiques de sécurité mises en œuvre par AB Tasty ici.

Disposez-vous du consentement des Visiteurs pour le traitement des données personnelles collectées ?

AB Tasty agissant en tant que sous-traitant et pour votre compte, il n’est pas de sa responsabilité d’obtenir le consentement des Visiteurs. Cette responsabilité repose sur vous en votre qualité de responsable de traitement.

Vous pouvez cependant, depuis votre interface utilisateur, rendre l’exécution d’AB Tasty dépendante de votre système de gestion du consentement. Ainsi, si vous utilisez des cookies, des variables js, ou un outil externe (comme Didomi) pour gérer le recueil du consentement de vos visiteurs, il vous sera possible de bloquer le déclenchement d’AB Tasty pour ces visiteurs qui auront refusé leur consentement.

Avez-vous défini une procédure pour permettre aux propriétaires des données personnelles d’exercer leurs droits d’accès, modification, suppression, limitation, etc. ? 

Il vous appartient de recueillir les demandes d’exercice des droits des personnes concernées. AB Tasty s’engage à vous fournir toute l’assistance nécessaire pour vous permettre de respecter cette obligation. Si les personnes concernées exercent directement auprès de AB Tasty des demandes d’exercice de l’un de leurs droits, AB Tasty s’engage à vous adresser ces demandes directement. AB Tasty ne peut, en aucun cas, être responsable de la gestion des demandes d’exercice ou de l’information des personnes concernées dans le cadre de la fourniture du service AB Tasty.

Fda

Avez-vous prévu une procédure en cas de violation de données personnelles ?

Oui, agissant en tant que sous-traitant de données à caractère personnel, AB Tasty a l’obligation d’alerter et de porter assistance à ses clients en cas de violation de données à caractère personnelles pour leur permettre de remplir ses obligations vis-à-vis du RGPD.

Je souhaite contacter votre délégué à la protection des données personnelles (DPO), quelles sont ses coordonnées ? 

Le Délégué à la Protection de Données de AB Tasty est la Société d’Avocats ALGANCE AVOCATS, 5 Rue de Logelbach, 75017 PARIS, en la personne de Christophe Lévy-Dières, avocat au Barreau de Paris.

Téléphone : 01 44 94 00 00

E-mail : dpo@abtasty.com