Déclaration de Sécurité

Cette Déclaration de sécurité décrit les mesures techniques et organisationnelles que Kapsule Group Limited (« Kapsule Cloud ») met en œuvre pour protéger les données hébergées sur notre plateforme. Elle est référencée par l'Accord de traitement des données et est mise à jour de temps en temps pour refléter les améliorations apportées à notre posture de sécurité.

Notre principe fondamental est la défense en profondeur : nous superposons plusieurs contrôles indépendants afin qu'aucune défaillance unique n'expose les données des clients.

Nous maintenons des politiques documentées en matière de sécurité de l'information et de confidentialité, examinées au moins une fois par an et mises à jour lorsque des modifications importantes de la plateforme ou du paysage des menaces l'exigent.

Un responsable de la protection des données désigné est responsable de la conformité en matière de protection des données. Les responsabilités en matière de sécurité sont assignées à des personnes nommées au sein de l'équipe d'infrastructure.

Tout le personnel reçoit une formation en matière de confidentialité et de sécurité lors de son intégration et annuellement par la suite. Le personnel ayant accès aux systèmes de production est soumis à des vérifications antécédents lorsque la loi le permet.

Les incidents de sécurité et les quasi-incidents sont enregistrés, examinés et utilisés pour améliorer continuellement les contrôles.

L'accès aux systèmes de production et aux données clients est régi par des contrôles d'accès stricts basés sur les rôles, fondés sur les principes du moindre privilège : le personnel ne reçoit que l'accès nécessaire pour accomplir son rôle spécifique.

L'authentification à deux facteurs obligatoire (2FA) est appliquée à tous les membres du personnel ayant accès à l'infrastructure de production, au panneau de contrôle d'hébergement, au code source et aux consoles des fournisseurs de cloud.

Les droits d'accès sont examinés périodiquement et révoqués sans délai en cas de changement de rôle ou de départ. Les événements d'accès et les escalades de privilèges sont enregistrés.

Les environnements de production et de non-production sont strictement séparés. Les environnements des clients sont logiquement isolés les uns des autres au sein de la plateforme d'hébergement.

Tout accès administratif aux serveurs de production est authentifié via des paires de clés SSH ; l'authentification SSH basée sur mot de passe est désactivée.

Toutes les données en transit entre les clients et notre plateforme sont chiffrées en utilisant TLS 1.2 ou une version supérieure. Les certificats TLS sont émis automatiquement et renouvelés avant leur expiration.

Les sauvegardes hors site sont chiffrées en utilisant restic avec AES-256. Les clés de chiffrement sont stockées séparément des données de sauvegarde et sauvegardées hors ligne. La perte de la clé rend les données de sauvegarde irrécupérables, c'est pourquoi les clés sont conservées en plusieurs emplacements hors ligne sécurisés.

Les sauvegardes chiffrées sont stockées dans le stockage d'objets Cloudflare R2, région Océanie, offrant une séparation géographique de notre infrastructure Hetzner principale.

Les données sensibles de la plateforme (incluant les secrets, les clés API et les identifiants) sont stockées dans des systèmes de gestion de secrets dédiés et ne sont jamais intégrées dans le code source ou les fichiers de configuration vérifiés dans le contrôle de version.

Les services orientés clients sont protégés par le pare-feu d'applications web (WAF) de Cloudflare et par l'atténuation des attaques par déni de service distribué (DDoS), qui absorbent les attaques volumétriques et au niveau des applications avant qu'elles ne rejoignent notre infrastructure.

Les environnements d'hébergement des clients sont segmentés au niveau du réseau : chaque site s'exécute dans un contexte isolé et ne peut accéder aux données des autres clients au niveau du réseau.

Les systèmes d'exploitation, les logiciels de plateforme et les dépendances d'applications sont corrigés selon un calendrier régulier. Les correctifs de sécurité critiques sont appliqués dans un délai de 24 à 72 heures suivant leur publication. L'infrastructure exposée à Internet est analysée régulièrement pour détecter les vulnérabilités connues.

Les règles de pare-feu limitent l'accès entrant aux ports et services strictement nécessaires. Les services inutiles sont désactivés par défaut.

Des tests de pénétration périodiques sont menés par des testeurs qualifiés indépendants. Les constatations matérielles sont corrigées et retestées.

Les événements d'accès, les modifications de configuration, les tentatives d'authentification et les événements système pertinents pour la sécurité sont enregistrés dans un système de journalisation centralisé. Les journaux sont conservés pendant une période minimale de 90 jours.

La santé de la plateforme et les signaux de sécurité sont surveillés 24h/24 et 7j/7. Les alertes sont acheminées vers le personnel d'astreinte pour investigation immédiate.

Nous maintenons un plan de réponse aux incidents documenté avec des niveaux de gravité définis, des chemins d'escalade et des procédures de communication. Le plan est réexaminé et testé au moins une fois par an.

En cas de violation de données notifiable confirmée affectant les Informations Personnelles du Client, nous notifierons les clients concernés dans les 72 heures suivant la prise de connaissance, conformément à la Privacy Act 2020 et à l'Accord de Traitement des Données.

Sentry est utilisé pour le suivi d'erreurs en temps réel et la surveillance des performances applicatives sur l'ensemble de la pile technologique de la plateforme.

Les fichiers du site client, les bases de données et les données de courrier électronique sont sauvegardés quotidiennement sur Cloudflare R2 (région Océanie) à l'aide de restic. Les sauvegardes sont chiffrées au repos avec AES-256.

La rétention des sauvegardes est d'un minimum de 30 jours sur tous les plans payants. Les plans supérieurs incluent des instantanés hebdomadaires et mensuels supplémentaires. Consultez l'Accord de niveau de service pour les détails de rétention spécifiques à chaque plan.

Les procédures de restauration sont documentées dans nos livres de procédures internes et testées périodiquement. L'équipe plateforme effectue des exercices de restauration pour valider l'intégrité des sauvegardes.

La base de code de la plateforme Kapsule Cloud (y compris la configuration et les scripts d'approvisionnement) est sauvegardée quotidiennement dans des référentiels GitHub privés de l'organisation kapsulenz, fournissant un chemin de récupération indépendant pour la plateforme elle-même.

Les procédures de récupération après sinistre pour chaque composant d'infrastructure (serveur d'hébergement, serveur de courrier, portail) sont documentées avec des objectifs de temps de récupération de 2 à 4 heures selon le composant et la taille des données.

Tout le personnel ayant accès aux données des clients est tenu par des obligations de confidentialité, soit par contrat, soit par la loi.

Nous maintenons des contrats écrits de traitement des données avec tous les sous-traitants. Ces contrats exigent que les sous-traitants mettent en œuvre des mesures de protection au moins aussi protectrices que celles de notre Contrat de traitement des données, y compris les obligations de confidentialité, de sécurité et de traitement à usage limité.

Notre liste de sous-traitants est examinée au moins une fois par an pour évaluer sa pertinence continue. Les sous-traitants sont évalués par rapport à nos exigences minimales en matière de sécurité avant leur engagement.

La liste actuelle des sous-traitants est publiée à l'adresse kapsulecloud.com/legal/sub-processors.

Les serveurs de production sont exploités dans les centres de données Hetzner en Allemagne. Les installations de Hetzner sont classées Tier III ou équivalent et offrent : un accès physique contrôlé avec authentification multifacteur aux points d'entrée ; du personnel de sécurité sur site 24h/24, 7j/7 ; une alimentation électrique redondante (onduleurs et générateurs diesel) ; des systèmes de refroidissement redondants ; la détection et la suppression des incendies.

L'accès physique au matériel serveur est réservé au personnel autorisé de Hetzner. Le personnel de Kapsule Cloud n'a pas d'accès physique régulier au matériel de production ; tous les accès administratifs sont effectués à distance via des canaux chiffrés.

Les supports de stockage désaffectés sont sécurisés, effacés ou détruits conformément aux procédures des centres de données de Hetzner avant réutilisation ou élimination.

Nous suivons un cycle de vie de développement logiciel sécurisé. Tous les changements de code en production nécessitent un examen obligatoire du code par les pairs avant le déploiement. L'analyse automatisée des dépendances s'exécute à chaque compilation pour identifier les vulnérabilités connues dans les paquets tiers.

Les secrets sont gérés à l'aide d'un système dédié de gestion des secrets. Aucune identifiants, clés API ou valeurs de configuration sensibles ne sont validés dans les dépôts de code source.

Les tests avant la sortie incluent des exécutions de tests fonctionnels, de régression et axés sur la sécurité. Les modifications apportées aux flux d'authentification, de paiement ou de traitement des données reçoivent un contrôle supplémentaire.

L'entrée orientée client est validée et assainie à toutes les limites de l'application. Nous appliquons les défenses standard contre les risques du OWASP Top 10, notamment l'injection SQL, l'exécution de scripts entre sites et la falsification de demande entre sites.

Authentification KPanel : les mots de passe sont hachés avec Argon2id (résistant à la mémoire, résistant au craquage par GPU). Les nouveaux mots de passe sont vérifiés par rapport à la base de données Have I Been Pwned via une recherche de préfixe k-anonyme avant acceptation. La connexion prend en charge l'authentification à deux facteurs basée sur TOTP, les codes à usage unique par SMS et les passkeys matériels (WebAuthn/FIDO2). La connexion OAuth est prise en charge via Google, GitHub et Apple Sign In, chacun étant vérifié par rapport au point de terminaison JWKS du fournisseur. La connexion par lien magique par e-mail est limitée à trois demandes par heure par adresse et est disponible comme méthode de récupération. Les jetons de session sont cryptographiquement aléatoires, stockés hachés dans la base de données et expirent après 30 jours d'inactivité.

Les données des clients sont logiquement ségrégées au niveau de l'hébergement, de la base de données et des couches applicatives. Les fichiers, bases de données et comptes de messagerie de chaque client sont isolés sous des comptes système distincts sans accès inter-clients.

Lorsqu'un client résilié son service, les informations personnelles du client sont mises à disposition pour exportation pendant 30 jours, puis supprimées définitivement des systèmes actifs. Les copies de sauvegarde chiffrées sont purgées lors du prochain cycle de rotation programmé, dans les 30 jours suivant la suppression des systèmes actifs.

Les procédures documentées de suppression de données garantissent que les données sont supprimées de tous les systèmes pertinents, y compris les bases de données actives, les caches et le stockage applicatif, et pas seulement du magasin de données principal.

Les procédures de traitement des demandes de Personne concernée (accès, rectification, suppression) sont documentées et testées. Les outils d'exportation KPanel permettent aux clients de récupérer leurs données à tout moment pendant la durée du service.

Si vous avez des questions concernant nos pratiques de sécurité, ou si vous souhaitez signaler une vulnérabilité soupçonnée, veuillez nous contacter à [email protected].

Kapsule Group Limited, Christchurch, New Zealand.