Ensemble, nous gardons PrivacyDocs sécurisé. Dans ce document, nous décrivons comment.
Vous contrôlez votre ordinateur et votre e-mail
Vous devez limiter l'accès à votre espace sur PrivacyDocs aux personnes qui y ont droit. Nous ne vous apprendrons pas à sécuriser votre entreprise. Nous supposons que vous fournissez à PrivacyDocs les adresses e-mail des personnes appropriées et autorisées.
Nous comptons sur les e-mails comme moyen de contacter les individus.
E-mails et sessions
Toute personne ayant des droits d'accès à votre espace sur PrivacyDocs peut se connecter à l'espace. Cela inclut vous et les personnes que vous avez invitées à PrivacyDocs en leur donnant accès. Vous devez vous assurer que des adresses e-mail appropriées sont fournies à PrivacyDocs.
Nous recommandons fortement d'utiliser des adresses e-mail liées à des personnes spécifiques et d'éviter d'utiliser des e-mails d'équipe (comme sales@yourcompany.com). Si plusieurs personnes ont accès à une adresse e-mail, chacune d'elles peut se connecter à PrivacyDocs, inviter potentiellement d'autres personnes, et vous ne sauriez pas qui a fait cela. Lorsque plusieurs personnes doivent travailler ensemble, vous pouvez les inviter à PrivacyDocs et accorder à chacune les autorisations appropriées dans la boîte de dialogue 'Paramètres du client'.
Après vous être connecté, nous conservons un soi-disant 'cookie de session' sur votre ordinateur. Vous pouvez être connecté à PrivacyDocs depuis plusieurs navigateurs en même temps. Pensez à votre smartphone et à votre ordinateur de bureau. Le placement de ce cookie de session est nécessaire au fonctionnement de PrivacyDocs et est inclus dans les conditions d'utilisation de PrivacyDocs. Nous vous garderons connecté pendant un mois, afin que vous puissiez continuer votre travail sans interruption. Vous pouvez vous déconnecter à tout moment.
Vous devez vous assurer que vous (ou vos collègues travaillant avec PrivacyDocs) contrôlez vos ordinateurs pendant que vous êtes connectés. Si quelqu'un d'autre accède à votre ordinateur (votre collègue ou un intrus), il peut agir en votre nom, et nous ne pourrions pas distinguer ses actions des vôtres.
Tout cela est une méthode standard pour fournir des services Web. Votre e-mail Web, bureau ou sites de médias sociaux fonctionnent de la même manière : après vous être connecté, ils placent un cookie de session et vous gardent connecté pendant des mois.
Urgences
Que faire si vous perdez le contrôle de votre e-mail, de votre ordinateur ou de votre smartphone ?
Contactez immédiatement PrivacyDocs via le formulaire 'Contact' ou par e-mail en indiquant quelle adresse e-mail est compromise. Nous vous déconnecterons alors de PrivacyDocs et verrouillerons votre e-mail pendant trois jours afin que vous puissiez vous remettre de l'incident.
We will ask you to verify your identity using the emergency contact details. Provide them now in the 'User settings' dialog. We generally respond during office hours, but no response times are guaranteed or should be expected. We would generally be able to recover your data from the backups if needed. We are happy to help, but we will charge you for the effort that we spend to remedy the incident (regular consultancy rate).Veuillez noter que les incidents de sécurité entraînent souvent des violations de données personnelles qui doivent être signalées dans les 72 heures.
Pourquoi n'y a-t-il pas de mots de passe sur PrivacyDocs ?
De nombreux services Web demandent des mots de passe (souvent longs et complexes) pour se connecter. Avec PrivacyDocs, nous n'utilisons pas de mots de passe car ils réduisent souvent, en réalité, la sécurité (le soi-disant 'théâtre de la sécurité').
Pensez à de nombreux services que vous utilisez, qui nécessitent un mot de passe, mais qui offrent également la possibilité de réinitialiser votre mot de passe par e-mail. Lorsque vous réinitialisez votre mot de passe, ils vous envoient un lien de connexion unique (comme le fait PrivacyDocs lorsque vous vous connectez). Un intrus qui a accès à votre e-mail peut facilement réinitialiser votre mot de passe et accéder au service. De plus, un intrus qui a accès à votre mot de passe (pensez aux autocollants jaunes sur votre bureau) peut également accéder au service. Et si vous utilisez le même mot de passe pour plusieurs services...
De cette manière, l'utilisation à la fois d'un mot de passe et d'une possibilité de réinitialiser le mot de passe par e-mail ne crée qu'une 'clé' supplémentaire pour votre système que vous devez protéger. Dans PrivacyDocs, nous n'utilisons que la clé minimale requise (votre e-mail). Et nous ne divulguerons jamais vos mots de passe.
Cette approche n'est pas unique et de nombreux autres services l'utilisent.
Et qu'en est-il de la MFA (Authentification Multi-Facteurs) ?
Il est très probable que votre fournisseur de messagerie exige que vous utilisiez une forme de MFA, comme des messages texte (SMS) ou une application distincte pour smartphone. Chez PrivacyDocs, nous en tirons parti car cela aide à garantir votre contrôle sur votre e-mail, le principal moyen de communication entre PrivacyDocs et vous.
Nous utilisons des moyens de communication supplémentaires (d'urgence) pour communiquer avec vous lors d'incidents de sécurité. De cette manière, nous utilisons l'authentification multi-facteurs (MFA) lorsque les moyens d'authentification réguliers ne peuvent pas être considérés comme fiables.
Il est très important de ne pas utiliser votre appareil MFA (généralement votre smartphone) pour le travail régulier. Si un intrus accède à votre smartphone, les e-mails de réinitialisation de mot de passe et les messages SMS MFA seront envoyés au même smartphone. Si vous perdez ou cassez votre smartphone, vous perdrez l'accès à vos jetons MFA et ne pourrez pas vous connecter.
En règle générale : Ne travaillez pas sur votre mobile (nous savons que c'est très difficile).
Mesures de sécurité organisationnelles de PrivacyDocs
PrivacyDocs est géré par une petite équipe, avec seulement deux personnes ayant accès à vos données à des fins opérationnelles et de support. Les deux sont liés par des accords de non-divulgation et de confidentialité qui incluent des incitations suffisantes pour être respectés.
L'opération et l'accès aux données de PrivacyDocs se déroulent aux Pays-Bas conformément à la loi néerlandaise. Aucun entrepreneur ou fournisseur étranger n'est impliqué.
Mesures de sécurité techniques de PrivacyDocs
Nous utilisons des mesures de sécurité techniques conformes aux normes de l'industrie pour protéger votre espace sur PrivacyDocs.
Nous comptons sur Amazon Web Services (AWS) pour héberger PrivacyDocs et sur Microsoft pour l'IA et les e-mails internes. Nous utilisons les mesures de sécurité clés suivantes :
- Limited access.
- Access to production environment and your data is limited to the authorized individuals.
- Authorization and authentication.
- The authorized individuals need to authenticate using secret passwords (used by AWS or O365) and MFA devices to get access.
- Encryption in transit and at rest.
- Your data is encrypted with industry-standard means both when in transit (think of HTTPS) and at rest (think of disk and file encryption).
- AWS Dynamo DB.
- Your data is stored using AWS DynamoDB, partitioned per client, and is continuously backed up by Amazon. We crate regular off-site backups of the data as well. The backups are stored encrypted and accessible to the same individuals who manage the production environments.
- AWS Lambdas.
- Your data is processed using AWS lambdas. These are special kind of 'servers' that are created for each Web request and destroyed after the request is completed. As a result, there are no PrivacyDocs servers that can be compromised.
- Emails.
- AWS is used for all automatic emails, and Microsoft O365 is used for info@privacydocs.eu and emails inside the PrivacyDocs organisation.
- AI.
- Microsoft Azure is used as the provider of the AI engine. All data submitted to the PrivacyDocs 'Ask AI' feature will be sent to Microsoft.
- Logging in.
- When you login, we email you a single-use login link that is valid for one hour. During a login session, we store a session cookie. Both, the login link and the cookie are sufficiently long, to be considered secure, given their usage patterns.
Toutes ces mesures aident à garder votre espace sur PrivacyDocs en sécurité.