Sécurité

Posture

La sécurité est la vérité-terrain opérationnelle qui sous-tend la page Confiance. La présente page documente ce qu'Apshan fait aujourd'hui, ce qui figure sur la feuille de route auditée, et ce qui est disponible sur demande.

Apshan applique des mesures techniques et organisationnelles conformes aux standards de l'industrie, adaptées au profil de risque des données que nous traitons, conformément à l'article 32 du RGPD. La liste ci-dessous est un résumé ; le document détaillé des Mesures techniques et organisationnelles (TOMs) est disponible sous DPA, sur demande.

Chiffrement

Apshan chiffre les données personnelles en transit et au repos. Il n'existe aucune condition dans laquelle des données personnelles sont transmises ou stockées en clair sur les systèmes d'Apshan.

En transit

TLS 1.3 (avec repli TLS 1.2 pour la compatibilité héritée). Préchargement HSTS. Suites cryptographiques modernes uniquement.

Au repos

AES-256 pour les données stockées sur l'infrastructure contrôlée par Apshan. Sauvegardes chiffrées avec des clés distinctes.

Gestion des clés

Services de gestion de clés opérés par le prestataire, avec rotation régulière.

E-mail et secrets

Aucune donnée personnelle n'est transmise non chiffrée par e-mail. Les secrets sont stockés dans un coffre-fort de secrets opéré par le prestataire, jamais dans le code source ni dans les fichiers de configuration.

Contrôle d'accès

Apshan applique le principe du moindre privilège. L'accès aux systèmes traitant des données personnelles est restreint, journalisé et revu.

Authentification multifacteur

Requise pour tous les comptes de l'équipe Apshan qui accèdent aux systèmes hébergeant des données personnelles. MFA disponible côté client à l'inscription ; requise sur les forfaits entreprise.

Authentification unique (SSO)

SSO (SAML et OIDC) disponible pour les clients entreprise, avec provisionnement SCIM lorsque pris en charge.

Accès basé sur les rôles

L'accès interne est lié à un rôle. Les attributions de rôle sont revues selon une cadence régulière et révoquées sans délai lors d'un changement de rôle ou d'un départ.

Journaux d'audit

Les actions privilégiées sur les systèmes de production sont journalisées et conservées selon le calendrier de conservation de la Politique de confidentialité.

Infrastructure

L'infrastructure de production traitant des données personnelles s'exécute dans l'Union européenne. Les environnements de production et hors production sont séparés. Les réseaux sont segmentés et les surfaces exposées vers l'extérieur sont minimisées.

L'hébergeur nommé et son profil de résidence des données sont divulgués dans les Mentions légales. La liste des sous-traitants et la catégorie de données que chacun traite est publiée sur /subprocessors.

Gestion des vulnérabilités

Apshan surveille en continu les vulnérabilités et applique les correctifs selon une cadence définie. Le risque est évalué à l'aune de la gravité, de l'exploitabilité et de l'exposition.

Analyse continue

Analyse automatisée des dépendances, des images de conteneurs et des services exposés vers l'extérieur. Les vulnérabilités critiques sont corrigées selon un calendrier accéléré.

Revue de code

Les changements apportés aux systèmes traitant des données personnelles font l'objet d'une revue par les pairs avant déploiement. L'analyse statique est exigée dans l'intégration continue.

Divulgation responsable

Les chercheurs en sécurité peuvent signaler les vulnérabilités à security@apshan.com. Les recherches menées de bonne foi qui respectent nos attentes de divulgation responsable ne seront pas traitées comme une violation de la Politique d'utilisation acceptable.

Traitement des données client

Les Données Client sont chiffrées, isolées par tenant, et traitées uniquement pour fournir le Service. Apshan n'utilise pas les Données Client pour entraîner des modèles d'IA, ne vend pas les Données Client, et ne les utilise pas pour du profilage publicitaire.

Les requêtes client restent à l'intérieur de votre session. La conservation et la suppression sont documentées par catégorie de données dans la Politique de confidentialité. Les demandes d'accès des personnes concernées sont traitées selon le processus documenté sur /data-requests.

Réponse aux incidents

Apshan exploite un processus de réponse aux incidents défini, couvrant la détection, le confinement, l'éradication, la restauration et la revue post-incident.

Notification de l'autorité

Les violations de données personnelles sont notifiées à la CNIL dans les soixante-douze heures suivant la prise de connaissance, conformément à l'article 33 du RGPD.

Notification des clients

Les clients et personnes concernées affectés sont informés sans retard injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD.

Préservation des preuves

Les journaux et artefacts pertinents pour l'incident sont préservés à des fins d'investigation et de coopération réglementaire.

Revue post-incident

Chaque incident significatif est suivi d'une revue écrite documentant la cause racine, la remédiation et les actions préventives.

Feuille de route de conformité

Apshan est honnête sur son état de conformité actuel. Voici ce qui est en place aujourd'hui et ce qui figure sur la feuille de route auditée.

RGPD et Loi Informatique et Libertés

En vigueur aujourd'hui. Documentés dans la Politique de confidentialité et le DPA.

Règlement IA (risque limité)

Posture en vigueur aujourd'hui. Obligations de transparence de l'article 50 respectées en ligne à chaque surface du produit dès le lancement.

SOC 2 Type II

Sur la feuille de route de conformité.

ISO/IEC 27001

Sur la feuille de route de conformité.

Certifications sectorielles

Évaluées en fonction de la demande client entreprise.

Les changements de statut sont reflétés sur cette page sous trente jours.

Documents disponibles sur demande

Les documents suivants sont disponibles aux clients et prospects entreprise sous accord mutuel de non-divulgation ou DPA signé :

• Avenant de traitement des données (DPA), intégrant les Clauses Contractuelles Types pour tout transfert hors UE ;
• Document Mesures techniques et organisationnelles (TOMs) ;
• Synthèse du Registre des activités de traitement (RoPA) ;
• Abonnement aux notifications de changement de sous-traitants ;
• Synthèse de test d'intrusion (à l'issue du premier audit).

Demandez l'accès auprès de votre interlocuteur commercial ou écrivez à security@apshan.com.

Pour aller plus loin

Confiance

Le récit de la posture de conformité : /trust.

Confidentialité

Flux de données, conservation et vos droits : /privacy.

Sous-traitants

Tiers nommés qui traitent des données pour notre compte : /subprocessors.

Exercice des droits

Processus de soumission d'une demande d'accès au titre du RGPD : /data-requests.

Utilisation acceptable

Règles de conduite, y compris les attentes de divulgation responsable : /aup.

Contact

security@apshan.com
Apshan, 6 Rue d'Armaillé, 75017 Paris, France.