Stratégie de sécurité et de protection des données bangr.
Juillet 2023
Préambule
Les mesures de sécurité et de protection des données sont applicable uniquement pour les données et logiciels bangr. déployés sur les infrastructures de bangr. Si le client désire déployer les solutions bangr. sur ses propres infrastructures informatique : la sécurité et la protection des données sont sous son entière responsabilité.
Sécurité des infrastructures cloud de bangr. (Hébergement des logiciels bangr.) et sécurité des logiciels développés par bangr.
Les logiciels développés par bangr. avec leurs données sont tous hébergés en Suisse (Lausanne, Genève, Bâle), y compris les sauvegardes. bangr. travaille avec plusieurs hébergeurs Suisse afin de limiter les risques.
Les clients peuvent néanmoins demander que leur logiciel bangr. soient déployé sur leur propre infrastructure ou sur une infrastructure d’un prestataire tier : dans ces cas bangr. n’est plus responsable de la sécurité ni de la protection des données qui se font sous l’entière responsabilité du client.
bangr. évalue ses fournisseurs d’hébergements régulièrement et s’assure qu’ils respectent les normes strictes de sécurité du moment, ainsi que les normes en vigueurs comme par exemple la norme ISO 27001. Chaque fournisseur d’hébergement de bangr. doit assurer un taux de service des infrastructures de 99,99% avec un contrat SLA correspondant et les couvertures de sécurités et sauvegardes sont régulièrement vérifiés avec un engagement signé du fournisseur.
A partir de juillet 2023 tous les logiciels sous contrats bangr. de type A3 et A2 sont déployés sur des infrastructures ultra-redondantes, permettant une reprise d’activité par l’hébergeur dans les 12 à 24 heures (RTO) respectivement et avec une perte maximale de données entre 12 et 24 heures (RPO) respectivement. (RTO et RPO plus bas possible sur demande avec la mise en place d’infrastructures complémentaires).
bangr. met en place et test des plans de reprises en cas de panne majeure ou de cyberattaque.
Toutes les plateformes Web développées par bangr. sont sécurisées avec un protocole SSL.
bangr. mène régulièrement des tests d’intrusions de ses infrastructures et du logiciel par des entreprises de sécurité externe afin d’identifier d’éventuelles failles et de les sécuriser.
Stratégie de sauvegarde
bangr. a mis en place une stratégie de sauvegarde multisite en Suisse avec une rétention des données variant en fonction des contrats (A1, A2 ou A3) :
- Contrat A1 : rétention des données minimum de 7 jours
- Contrat A2 : rétention des données minimum de 30 jours + une sauvegarde par mois des 3 derniers mois
- Contrat A3 : rétention des données minimum de 30 derniers jours + une sauvegarde par mois des 12 derniers mois
Les sauvegardes contiennent les données de toutes les années d’exploitation du logiciel (ce qui peut représenter de nombreux exercices comptables).
bangr. vérifie très régulièrement les sauvegardes en déployant des serveurs tests afin d’assurer que les données sont toujours lisibles et compatibles avec les nouvelles versions du logiciel bangr.
Les sauvegardes des bases de données sont également chiffrées sur les nouvelles infrastructures 2023.<//p>
Procédures internes à bangr.
Les collaborateurs de bangr. sont sensibilisés régulièrement aux actualités et problématiques de sécurité et s’engagent sur une charte de sécurité sévère dont une copie peut être obtenue sur simple demande par les clients.
Les procédures interne impose une politique de mot de passe dure, des procédures et bonnes pratiques, l’utilisation d’outils imposés pour la gestion des accès aux infrastructures, assurant une rigueur dans l’exécution des prestations.
bangr. participe régulièrement à des programmes d’information et de formation, notamment de la TrustValley, permettant d’avoir accès au réseau romand de la cybersécurité et d’être conseillé et informé régulièrement sur le sujet afin de participer à la confiance numérique en Suisse romande.
bangr. s’est fait auditer par l’association cyber-safe et a obtenu le label cyber-safe en juin 2023.