Sauf définition contraire mentionnée dans le présent Accord, les termes et expressions en majuscules utilisés auront le sens qui leur est donné dans les Définitions.

Description des mesures techniques et organisationnelles mises en œuvre par le Sous-traitant pour assurer un niveau de sécurité approprié du Traitement, compte tenu de sa nature, de son étendue, de son contexte et de sa finalité, ainsi que les risques liés aux droits et aux libertés des personnes physiques :

Draft chiffre les données en transit via TLS 1.2 et au repos à l’aide de l’algorithme AES-256.

Les mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement incluent les procédures suivantes :

• L’accès aux systèmes de production est restreint par l’intermédiaire d’un VPN et s’effectue au travers de comptes uniques dont les droits attachés aux accès sont basés sur des rôles prédéfinis. Les demandes d’autorisation d’accès sont suivies et enregistrées régulièrement. Les accès sont retirés ou modifiés dans le cas où les employés sont licenciés ou changent de rôle. L’authentification multifacteur (MFA) est requise pour accéder aux ressources critiques et de production. Des mots de passe forts sont requis ; ils ne sont jamais stockés en texte clair et sont cryptés en transit et au repos.
• Une formation obligatoire en matière de sécurité pour les employés est requise, couvrant la protection des données, la confidentialité, l’ingénierie sociale, les politiques de mots de passe et les responsabilités globales en matière de sécurité. Des exigences de confidentialité sont imposées aux salariés. Des NDA sont signés avec les tiers susceptibles d’avoir accès aux Données Personnelles. Les réseaux sont séparés en fonction du niveau de confiance.

Draft a mis en place des processus qui garantissent la confidentialité, la disponibilité et la résilience de l’accès aux Comptes Draft.io et aux Données Personnelles. Par ailleurs, en cas d’incident, Draft est capable de restaurer l’accès aux Données Personnelles dans des délais courts.

Draft effectue des tests d’intrusion fréquents de tous les composants du Service.

Draft a mis en place des politiques et des procédures de gestion des incidents de sécurité. Draft informe sans délai, dans la mesure où Draft en a connaissance et dans les limites permises par la loi, les Clients concernés de toute divulgation non autorisée de leurs Données Clients, que ce sont par Draft ou par ses Sous-traitants.

Le Service supporte le protocole d’authentification et d’autorisation d’accès SAML pour les Clients. L’accès au Service par le personnel de Draft est identifiable, enregistré et surveillé de manière unique. L’accès à l’infrastructure back-end par le personnel de Draft nécessite plusieurs couches d’authentification, notamment des identifiants uniques, des mots de passe forts et l’utilisation de systèmes d’authentification multifacteur.

Draft utilise le cryptage TLS 1.2 depuis le navigateur de l’Utilisateur jusqu’au Service pour les données des Clients en transit.

Les Données Client sont séparées sur le plan logique et les tentatives d’accès aux données en dehors des limites autorisées sont empêchées et enregistrées. Des mesures sont en place pour assurer que le téléchargement de fichiers ou de code exécutables ne soit pas autorisé. Ces mesures garantissent également que des acteurs non autorisés ne peuvent accéder à des données auxquelles ils ne doivent pas avoir accès, y compris l’accès d’un Client aux données d’un autre Client.

Les Sous-traitants sont responsables de la sécurité physique des centres de données et sont tenus contractuellement de garantir que des mesures et des ressources de sécurité physique sont en place. Ces mesures imposent notamment que seul le personnel autorisé peut avoir accès aux zones sécurisées. Ces installations sont conçues pour résister aux intempéries et aux catastrophes naturelles raisonnablement prévisibles, sont sécurisées par des gardes 24 heures sur 24, un contrôle d’accès à deux facteurs et un accès contrôlé par escorte, et sont également soutenues par des générateurs de secours sur site en cas de catastrophe entrainant une panne de courant. Des informations complémentaires sur la sécurité physique garantie par OVH sont disponibles sur le site web d’OVH.

Draft enregistre les demandes d’autorisation du personnel dans des espaces privilégiés. L’application enregistre l’activité des utilisateurs, y compris les connexions, les modifications de configuration, les suppressions et les mises à jour. Ils sont automatiquement écrits dans les journaux d’audit des systèmes internes. Les journaux internes capturent les horodatages, les adresses IP, les connexions/déconnexions et les erreurs. Ces journaux sont uniquement disponibles en interne et disponibles pour les enquêtes de sécurité sur demande.

Draft surveille les modifications apportées aux systèmes concernés pour s’assurer qu’ils suivent les processus. Les modifications sont suivies dans notre système de gestion des modifications et gérées pour garantir qu’elles suivent le processus afin d’atténuer le risque de modifications non détectées dans les systèmes de production.

Draft dispose de politiques et procédures internes de sécurité des informations, qui sont communiquées à tous les employés lors de leur embauche et au moins une fois par an par an par la suite. Draft organise une formation sur la sécurité de l’information lors de l’onboarding des nouveaux employés et au moins une fois par an par la suite. La fonction de sécurité de l’information relève de la direction qui a tout pouvoir pour prendre les mesures nécessaires pour établir, mettre en œuvre et gérer la Politique de Sécurité des Systèmes d’Information de Draft.

Draft est assisté par un tiers réputé pour attester que notre engagement en matière de contrôles et de garanties est en place.

Les données sont collectées et traitées conformément aux finalités déclarées. L’accès est fourni et restreint conformément aux rôles et aux exigences des responsabilités professionnelles.

La suppression automatique est mise en œuvre pour appliquer les limitations de conservation des données. Les comptes inactifs depuis plus de trois ans sont automatiquement supprimés. Les données associées à leur compte sont supprimées, tandis que leurs données de sauvegarde sont supprimées dans les 360 jours suivant la suppression du compte.