DASTRA
Français
FrançaisEnglishNederlands
Français
FrançaisEnglishNederlands
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place du widget
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement du widget
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Hébergement sécurisé sur le Cloud
  • Authentification à deux facteurs
  • Single Sign On (SSO) et SCIM
  • Chiffrement des données en transit
  • Chiffrement des données au repos
  • Tests de pénétration (Pentests)
  • Journaux d'audit de sécurité
  • Identifiants uniques
  • Sauvegarde des données
  • Règles d'archivage des données
  • Politique de mot de passe
  • Politique de renouvellement des mots de passe
  • Contrôles de jeton d'API
  • Contrôle des accès total
  • Authentification sécurisée basée sur OpenIdConnect pour l'ensemble de nos sites
  • Liste d'autorisation des adresses IPs
  • Liste d'autorisation des domaines des emails
  • Isolation stricte entre les environnements de production et de développement

Cet article vous a-t-il été utile ?

  1. La sécurité

Sécurité chez Dastra

La sécurité fait partie intégrante de la structure de nos produits Cloud, de notre infrastructure et de nos processus. Ainsi, vous avez la certitude que vos données sont protégées.

Chez Dastra, nous prenons la sécurité très au sérieux. Voici quelques éléments que nous partageons concernant la mise en oeuvre de mesures de sécurité :

Hébergement sécurisé sur le Cloud

Nous externalisons l'hébergement des données de la plateforme auprès de Microsoft Azure. Nous avons choisi cette plateforme car elle est très largement déployée chez nos clients (MS 365...) et celle-ci offre le niveau de sécurité parmi les plus élevés du marché.

Les lieux de stockage des données sont situés à Paris (données de production) et Marseille (les sauvegardes) en France. Une redondance des données est réalisée dans le data center d'Amsterdam.

Authentification à deux facteurs

L'authentification à 2 facteurs fonctionne en utilisant le protocole TOTP. Chaque utilisateur peut individuellement activer la fonctionnalité d'authentification à 2 facteurs. Il est possible pour tous les propriétaires d'organisation de forcer l'utilisation de l'authentification à deux facteurs.

En savoir plus sur l'authentification forte

Single Sign On (SSO) et SCIM

Dastra propose sur option ou en fonction du plan que vous choisissez un SSO en self service simple et bien documenté. Nous supportons les protocoles SAML2P ou OpenID compatibles avec n'importe quel annuaire d'entreprise. En complément, il est possible de provisionner automatiquement les utilisateurs de votre annuaire à l'aide de notre serveur SCIM.

Chiffrement des données en transit

Toutes les données échangées entre nos clients et applications sont chiffrées en transit à l'aide du protocole TLS (Transport Layer Security) avec PFS (Perfect Forward Secrecy). L'autorité de certification du chiffrage est CloudFlare inc.

Chiffrement des données au repos

Les disques de données sur les serveurs hébergeant des données clients sur le cloud Azure sont toutes encodées au repos à l'aide de la technologie "Transparent data encryption".

Les fichiers physiques sont également encryptées statiquement dans le service Azure Storage avec uns système d'encryptage transparent 256-bit AES encryption, un des algorithme les plus solide qui est FIPS 140-2 compliant.

L'ensemble des clés de chiffrement est stocké dans un coffre de clés managé par Dastra (incluant de la rotation automatique).

Tests de pénétration (Pentests)

Nous faisons auditer tous les ans la sécurité de l'application par un auditeur tiers indépendant.

Le dernier test a été réalisé en septembre 2024 et n'a révélé aucune vulnérabilité critique.

Notre méthodologie de test de sécurité suit les recommandations de l'OWASP et se compose de différentes phases, de la recherche d'informations de source ouverte (Reconnaissance) à l'exploitation des vulnérabilités découvertes.

Journaux d'audit de sécurité

Les administrateurs d'organisation peuvent suivre tous les changements apportés à la gestion des utilisateurs, espaces de travail et permissions d'accès.

Identifiants uniques

Chaque utilisateur possède un identifiant unique et l'utilisation de comptes partagés entre plusieurs utilisateurs n'est pas autorisée.

Sauvegarde des données

L'ensemble des données (Azure SQL) et fichiers (Azure Blob Storage) de nos utilisateurs sont régulièrement sauvegardées avec un historique 3 mois (long time retention) et en PITR (point in time restore) sur 7 jours.

Règles d'archivage des données

Dans le cas d'une suppression d'un compte. Les données sont conservées 1 mois avant leur suppression définitive.

Politique de mot de passe

Au moins 10 caractères comportant 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Temporisation d’accès au compte après plusieurs échecs.

Chiffrement des mots de passe en base de données.

Politique de renouvellement des mots de passe

Dastra permet à l'administrateur de compte via la page de gestion de la sécurité de définir une politique de renouvellement des mots de passe de l'ensemble de vos utilisateurs.

Contrôles de jeton d'API

Affichez et gérez l'ensemble des clés d'API utilisés par les développeurs de votre organisation. Vous pouvez également limiter le scope de celles-ci à certains espaces de travails ou certaines permissions.

Contrôle des accès total

Utilisation du modèle de gestion des accès RBAC (Role-base-access-control). Le responsable de l'organisation est en mesure de choisir les rôles et permissions de chaque utilisateur de manière extrêmement souple.

Authentification sécurisée basée sur OpenIdConnect pour l'ensemble de nos sites

L'autorité d'authentification est https://account.dastra.eu utilise OpenId afin d'assurer l'authentification de tous nos utilisateurs.

OpenID est un système d’authentification décentralisé qui permet l’authentification unique, ainsi que le partage d’attributs. Il permet à un utilisateur de s’authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID.

Liste d'autorisation des adresses IPs

Il est possible de filtrer les utilisateurs à la connexion en fonction de leurs adresses IP

Liste d'autorisation des domaines des emails

Les administrateurs peuvent définit une liste blanche de domaines d'emails autorisés (ex: gmail.com). Pour effectuer ces réglages, rendez vous dans Configuration => Sécurité => Filtres de domaines

Isolation stricte entre les environnements de production et de développement

Hors mis quelques personnes habilitées, les développeurs de l'application n'utilisent et n'accèdent jamais aux données de l'environnement de production. Cette isolation est stricte et ne peut être contournée.

Dans les environnement de tests ou de pré-production, nous n'utilisons que des jeux de données de tests que nous avons produit.

Dernière mise à jour il y a 4 mois

Cet article vous a-t-il été utile ?

🛡️