Sécurité des logiciels Exalog
La sécurité de nos logiciels est notre priorité
- L’accès à leur environnement
- Les droits des utilisateurs
- L’échange d’informations avec les banques et les ERP
- Le stockage des données
Certification ISO 27001 : notre engagement Sécurité
Exalog est certifiée ISO 27001 depuis octobre 2023. Cette norme prestigieuse, reconnue à l’international, établit des critères stricts pour les systèmes de gestion de la sécurité de l’information. En adoptant ces standards, nous démontrons notre détermination à maintenir et améliorer constamment nos mesures de sécurité informatique. Cette certification est le reflet de notre politique proactive dans la protection des informations sensibles, offrant ainsi à nos clients et partenaires une assurance supplémentaire de la fiabilité et de la sûreté de nos solutions.
L'accès au logiciel
Le premier moyen de limiter les risques d’intrusion dans un logiciel est d’en assurer un accès sécurisé. Pour cela, nous utilisons des méthodes d’authentification forte, combinant deux facteurs au choix parmi les trois suivants : quelque chose qu’il connaît (comme un mot de passe), quelque chose qu’il possède (comme une clé FIDO), ou quelque chose qu’il est (comme la reconnaissance faciale).
Biométrie
Nos clients se connectent très rapidement grâce à la reconnaissance faciale ou digitale. Pour cela, ils doivent disposer d’une caméra infrarouge ou d’un lecteur d’empreinte.
Clé FIDO
Simple à se procurer dans le commerce, cette clé USB possédant un identifiant unique permet à nos clients de se connecter simplement en la branchant sur leur ordinateur.
En savoir plus sur la clé FIDO
Certificat numérique
Le certificat numérique personnel est une pièce d’identité numérique. Il contient des informations d’identification, ne peut pas être falsifié et est délivré par une autorité reconnue (ex : SWIFT, Certinomis, etc.).
Grille d’authentification et carte de sécurité
Un code doit être renseigné dans une grille d’authentification, avec des chiffres positionnés de manière aléatoire à chaque connexion. Le code demandé sera également différent à chaque tentative d’accès.
Nom d'accès / mot de passe
L’utilisateur doit renseigner son nom d’accès et un mot de passe lié à son compte pour se connecter
En plus de ces cinq systèmes d’authentification, nos logiciels proposent la limitation d’accès par adresse IP.
Il s’agit de définir pour chaque utilisateur les plages d’adresses IP à partir desquelles la connexion est autorisée. En l’absence de ce paramétrage, le logiciel effectue par défaut le contrôle de la localisation lors de chaque connexion. Si l’adresse IP de connexion est inhabituelle, Allmybanks la détectera et l’utilisateur devra reconfirmer son identité via la saisie d’un code de sécurité.
Les droits des utilisateurs
Une fois assuré de l’identité de l’utilisateur, il faut déterminer les actions possibles à l’intérieur du logiciel : accorder des autorisations ou au contraire limiter l’accès à des fonctions ou responsabilités précises.
- Droits des utilisateurs : c’est l’administrateur qui définit les fonctions auxquels les utilisateurs peuvent accéder, les comptes bancaires autorisés, ou encore les plafonds de validation des remises.
- Autonomie : vous pouvez modifier les habilitations de vos utilisateurs sans passer par Exalog pour accorder ou supprimer des droits, et les changements sont immédiats.
- Traçabilité : l’ensemble des actions effectuées par les utilisateurs sont tracées, et peuvent être consultées par l’administrateur.
- Utilisateurs illimités : le nombre d’utilisateurs ayant accès à nos logiciels est illimité et gratuit.
Le stockage des données
Comment pouvons-nous garantir que les données sont à l’abri ? Qu’elles ne risquent aucune suppression et que nos clients y auront toujours accès ? Que personne d’autre ne peut les voir ?
Les données sont stockées dans deux datacenters certifiés ISO 27001 et ISO 22301 (les plus hauts niveaux de certification pour la sécurité informatique et la continuité d’activité).
Nos clients sont propriétaires des données enregistrées dans le logiciel. Ils peuvent donc les exporter à tout moment.
Afin de garantir une disponibilité 24h/24 – 7j/7, tous les équipements mis en œuvre sont doublés et une sauvegarde des données est réalisée en temps réel sur un serveur de secours : aucune perte de données en cas de panne.
Comme les données sont enregistrées dans le logiciel, et non pas sur les sites Internet des banques, nos clients n’ont pas à se préoccuper de les migrer s’ils décident de changer de banque, et ils conserveront leur historique.
L’échange d’informations avec les banques et les ERP
Nous nous assurons que les informations que nos clients partagent avec leurs banques/ERP et nos outils ne peuvent pas être lues par un système tiers, et que les messages sont bien transmis. Nous respectons les recommandations de sécurité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Lorsqu’elles transitent, toutes les données sont cryptées selon le standard TLS/SSL, conçu pour garantir la confidentialité et l’intégrité des communications.
Données personnelles
Selon le RGPD, les données personnelles stockées dans notre logiciel sont cryptées. Il s’agit des noms, mails, numéros de téléphone, numéros de compte et numéros de carte bancaire.