Sécurité

Cette Politique de Sécurité constitue un accord juridiquement contraignant entre vous (« Client », « Utilisateur ») et GitScrum (« Entreprise », « nous », « notre »). En accédant ou en utilisant les services de GitScrum, vous reconnaissez avoir lu, compris et accepté les pratiques et engagements de sécurité décrits dans ce document.

1. Notre Engagement envers la Sécurité

GitScrum s'engage à maintenir les plus hauts standards de sécurité de l'information pour protéger la confidentialité, l'intégrité et la disponibilité de vos données. La sécurité est intégrée dans tout notre cycle de développement, nos procédures opérationnelles et notre culture organisationnelle. Nous faisons évoluer continuellement notre posture de sécurité pour faire face aux menaces émergentes et maintenir la conformité avec les réglementations applicables en matière de protection des données.

2. Chiffrement des Données

2.1 Chiffrement en Transit

Toutes les données transmises entre vos appareils et les serveurs de GitScrum sont chiffrées en utilisant les protocoles Transport Layer Security (TLS) 1.2 ou supérieurs. Ce chiffrement conforme aux standards de l'industrie protège vos informations contre l'interception et l'accès non autorisé pendant la transmission.

2.2 Chiffrement au Repos

Toutes les données sensibles stockées sur l'infrastructure de GitScrum sont chiffrées au repos en utilisant des algorithmes de chiffrement AES-256. Les clés de chiffrement sont gérées via des systèmes sécurisés de gestion des clés avec des contrôles d'accès stricts, des planifications de rotation régulières et des procédures de sauvegarde sécurisées.

2.3 Gestion des Clés

Nous mettons en œuvre les meilleures pratiques de l'industrie pour la gestion du cycle de vie des clés cryptographiques, y compris la génération sécurisée, le stockage dans des systèmes dédiés de gestion des clés ou des Modules de Sécurité Matérielle (HSM), la rotation périodique et la journalisation complète d'audit de tous les événements d'accès aux clés.

3. Sécurité de l'Infrastructure et des Centres de Données

3.1 Infrastructure Mondiale

GitScrum exploite des centres de données dans plusieurs régions géographiques pour garantir la disponibilité du service, la redondance et les capacités de reprise après sinistre. Nos partenaires d'infrastructure maintiennent des certifications incluant ISO 27001, SOC 2 et d'autres standards de sécurité reconnus par l'industrie.

3.2 Sécurité Physique

Les centres de données hébergeant l'infrastructure de GitScrum emploient des contrôles de sécurité physique complets, incluant une surveillance 24/7, des contrôles d'accès biométriques, une surveillance environnementale et des systèmes redondants d'alimentation et de refroidissement.

3.3 Sécurité Réseau

Nous mettons en œuvre plusieurs couches de sécurité réseau, incluant des pare-feu, des systèmes de détection et de prévention d'intrusion (IDS/IPS), l'atténuation des DDoS et la segmentation du réseau pour protéger contre les accès non autorisés et les activités malveillantes.

4. Contrôles d'Accès et Authentification

4.1 Mécanismes d'Authentification

GitScrum exige des politiques de mots de passe forts et prend en charge l'authentification multi-facteurs (MFA) pour une protection renforcée du compte. Nous recommandons fortement d'activer la MFA pour tous les comptes utilisateurs, particulièrement ceux disposant de privilèges administratifs.

4.2 Autorisation et Privilège Minimum

L'accès aux données clients et aux ressources système suit le principe du privilège minimum. Les contrôles d'accès basés sur les rôles (RBAC) garantissent que les utilisateurs ne peuvent accéder qu'aux ressources nécessaires à leurs objectifs commerciaux légitimes.

4.3 Gestion des Sessions

Nous mettons en œuvre des pratiques sécurisées de gestion des sessions, incluant les délais d'expiration de session, la manipulation sécurisée des jetons et la terminaison immédiate de session après déconnexion ou détection d'anomalies.

5. Sécurité des Applications

5.1 Cycle de Développement Sécurisé

La sécurité est intégrée dans tout notre cycle de développement logiciel. Nos pratiques d'ingénierie incluent :

• Standards de codage sécurisé alignés sur les directives OWASP
• Revues de code régulières axées sur la sécurité
• Tests automatisés de sécurité applicative statique et dynamique (SAST/DAST)
• Analyse des dépendances et gestion des vulnérabilités
• Validation des entrées et encodage des sorties pour prévenir les attaques par injection

5.2 Gestion des Vulnérabilités

Nous effectuons des évaluations régulières de vulnérabilités et des tests de pénétration par des professionnels de sécurité qualifiés. Les vulnérabilités identifiées sont priorisées en fonction de leur sévérité et corrigées selon des calendriers documentés.

5.3 Correctifs de Sécurité

Les correctifs de sécurité critiques sont appliqués rapidement suite à des procédures de test complètes. Les correctifs de routine suivent des fenêtres de maintenance programmées avec notification préalable au client lorsqu'un impact sur le service est anticipé.

6. Surveillance de la Sécurité et Réponse aux Incidents

6.1 Surveillance Continue

GitScrum emploie une surveillance de sécurité 24/7 utilisant des systèmes de Gestion des Informations et des Événements de Sécurité (SIEM) pour détecter, analyser et répondre aux événements de sécurité en temps réel.

6.2 Plan de Réponse aux Incidents

Nous maintenons un plan complet de réponse aux incidents qui définit les procédures pour :

• Détection : Identification des incidents de sécurité potentiels via des mécanismes automatisés de surveillance et de signalement
• Confinement : Isolation des systèmes affectés pour prévenir l'escalade de l'incident
• Éradication : Suppression de la cause racine de l'incident
• Récupération : Restauration des opérations normales et de l'intégrité des données
• Analyse Post-Incident : Réalisation de revues approfondies pour améliorer les réponses futures

6.3 Notification de Violation

En cas de violation de données personnelles présentant un risque pour les droits et libertés des individus, GitScrum notifiera l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'Article 33 du RGPD. Les clients affectés et les personnes concernées seront notifiés sans délai indu lorsque la loi l'exige ou lorsque nous déterminons que la notification est appropriée.

7. Conformité Réglementaire

7.1 Conformité au RGPD

En tant qu'entreprise opérant en Europe, GitScrum respecte le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement des données, incluant :

• Bases juridiques pour le traitement des données personnelles
• Facilitation des droits des personnes concernées (accès, rectification, effacement, portabilité)
• Accords de Traitement des Données avec les clients agissant en tant que responsables de traitement
• Principes de protection des données dès la conception et par défaut
• Analyses d'Impact sur la Protection des Données pour les activités de traitement à haut risque

7.2 Alignement Réglementaire Supplémentaire

Bien que nous ne revendiquions pas de certifications spécifiques au-delà de celles que nous avons obtenues, nos contrôles de sécurité sont alignés sur des référentiels internationalement reconnus, incluant ISO 27001, les Critères des Services de Confiance SOC 2 et le Cadre de Cybersécurité NIST.

8. Sécurité du Personnel

8.1 Vérification des Antécédents

Tous les employés de GitScrum ayant accès aux données clients passent par une vérification des antécédents appropriée à leur rôle et conforme aux lois applicables.

8.2 Formation en Sécurité

Le personnel reçoit une formation complète de sensibilisation à la sécurité lors de l'embauche et une formation continue sur les principes de protection des données, les réglementations de confidentialité, les pratiques de développement sécurisé et les scénarios de menaces émergentes. Les rôles spécialisés reçoivent une formation supplémentaire spécifique à leurs responsabilités.

8.3 Obligations de Confidentialité

Tous les employés, sous-traitants et tiers ayant accès à des informations confidentielles sont liés par des obligations contractuelles de confidentialité et de protection des données.

9. Gestion des Risques Tiers

9.1 Évaluation des Fournisseurs

Nous effectuons des évaluations de sécurité approfondies des fournisseurs et prestataires de services tiers avant tout engagement. Les évaluations portent sur les contrôles de sécurité des fournisseurs, leur posture de conformité, leurs pratiques de traitement des données et leurs capacités de réponse aux incidents.

9.2 Exigences Contractuelles

Les accords avec les sous-traitants tiers incluent des dispositions pour :

• Obligations de protection des données conformes aux exigences du RGPD
• Standards de sécurité et droits d'audit
• Procédures de notification de violation
• Suppression ou restitution des données après résiliation du contrat

9.3 Surveillance Continue

Nous révisons périodiquement la posture de sécurité des tiers et conservons le droit d'auditer la conformité des sous-traitants avec les obligations contractuelles de sécurité.

10. Conservation et Suppression des Données

GitScrum conserve les données clients uniquement pendant la durée nécessaire à la fourniture des services, au respect des obligations légales ou selon les spécifications de notre Accord de Traitement des Données. À la résiliation ou sur demande du client, nous supprimons ou restituons les données clients de manière sécurisée conformément aux procédures documentées et aux exigences réglementaires applicables.

11. Continuité des Activités et Reprise après Sinistre

Nous maintenons des plans de continuité des activités et de reprise après sinistre conçus pour garantir la résilience du service et la disponibilité des données en cas de défaillances système, de catastrophes naturelles ou d'autres interruptions. Ces plans incluent :

• Sauvegardes régulières des données avec chiffrement et stockage hors site
• Objectifs de temps de récupération (RTO) et objectifs de point de récupération (RPO) documentés
• Tests périodiques et mises à jour des plans

12. Audits et Évaluations de Sécurité

GitScrum engage des experts en sécurité tiers indépendants pour réaliser des audits de sécurité réguliers, des tests de pénétration et des évaluations de vulnérabilités. Les constatations sont examinées, priorisées et corrigées en fonction de la sévérité du risque. Bien que les rapports d'audit spécifiques puissent être confidentiels, des informations résumées peuvent être mises à disposition des clients entreprise sous accords de non-divulgation appropriés.

13. Responsabilités de Sécurité du Client

Bien que GitScrum mette en œuvre des contrôles de sécurité complets, les clients partagent la responsabilité de :

• Maintenir des mots de passe forts et activer la MFA
• Configurer correctement les permissions d'accès pour leurs utilisateurs
• Surveiller les activités suspectes sur leurs comptes
• Signaler rapidement les incidents de sécurité suspects à GitScrum
• S'assurer que leurs propres appareils et réseaux sont sécurisés

14. Mises à Jour de la Politique et Transparence

GitScrum se réserve le droit de mettre à jour cette Politique de Sécurité pour refléter les améliorations de notre posture de sécurité, les changements dans les exigences réglementaires ou l'évolution des meilleures pratiques de l'industrie. Les modifications importantes seront communiquées aux clients avec un préavis raisonnable.

15. Informations de Contact

Pour les demandes liées à la sécurité, les questions sur cette politique ou pour signaler des incidents de sécurité suspects, contactez :

Équipe de Sécurité GitScrum
Email: security@gitscrum.com
Délai de Réponse : Nous accusons réception des signalements de sécurité dans les 24 heures

Pour les demandes générales de confidentialité, veuillez consulter notre Politique de Confidentialité.

16. Conclusion

La sécurité et la confidentialité sont fondamentales pour la confiance que nos clients placent en GitScrum. Nous nous engageons à l'amélioration continue de notre programme de sécurité, à une communication transparente et à un partenariat avec nos clients pour protéger les données confiées à notre plateforme.