La sécurité de l'information chez Factorial

Factorial HR peut être à la fois un responsable de traitement et un sous-traitant de données personnelles aux fins du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après, "RGPD"). Par exemple, Factorial sera le responsable du traitement des données personnelles lorsqu'un Client conclut un contrat directement avec nous, pour le traitement des données dudit Client.

Cependant, dans la plupart des cas, en raison de la nature de notre activité, Factorial n'a pas de relation directe avec les personnes concernées et traite exclusivement les données personnelles des utilisateurs finaux pour le compte des clients et conformément à leurs instructions. Ainsi, si vous êtes un employé utilisant notre plateforme, nous agissons uniquement en tant que sous-traitant de données en ce qui concerne le traitement de vos données. Nos Clients décident des objectifs pour lesquels ils utilisent notre plateforme, ainsi que des moyens de collecte des données à partir de la magnitude des fonctionnalités de notre plateforme.

Dans le cas des utilisateurs qui naviguent sur notre site web, Factorial sera responsable du traitement des données collectées ici, telles que les cookies, ou de toute donnée intéressante pour profiter de notre contenu. 

Vous pouvez trouver le DPA de factorial ici, qui peut être consulté et signé en ligne.

Factorial a désigné un DPO dont les coordonnées sont les suivantes:

Pridatect, S.L. Av. de Josep Tarradellas, 8-10, 5º étage, 08029 - Barcelone, Espagne. Legal@pridatect.com

Dans le cas où Factorial détecterait une faille de sécurité, elle activera une procédure d'analyse des failles de sécurité qui révélera:

- La nature de la faille de sécurité

- Les catégories de données personnelles concernées

- Nombre approximatif de parties prenantes concernées

- Nombre approximatif d'enregistrements de données personnelles concernés; et

- Conséquences du manquement

Parallèlement à l'enquête, Factorial prendra les mesures immédiates de confinement et de correction appropriées et procédera à l'enregistement de l'incident afin qu'il y ait un traçabilité des incidents survenus dans l'organisation.

Un fois l'analyse effectuée, Factorial déterminera si l'autorité de contrôle doit être informée, en evaluant si la violation des données personnelles peut présenter un risque pour les droits et libertés des parties intéressées concernées par la violation.

De même, Factorial déterminera s'il est nécessaire d'informer les parties intéressées.

Dans tous le cas, et en tant que responsable du traitement des données personnelles, Factorial notifiera au client la faille de sécurité dans un délai inférieur à 48 heures. Cette communication comprendra:

- Mesures d'atténuation des risques adoptées

- Améliorations techniques

- Changements dans le gestion des incidents

- Mise à jour des procédures

En cas de prise de connaissance d'un incident de sécurité dans Factorial, veuillez le communiquer à security@factorial.co

Informations proportionnelles (le cas échéant) :

- Description de l'incident :

- Nom de l'entreprise et de l'utilisateur concerné :

- Type de données concernées :

- Portée de l'incident détecté :

- Degré d'affectation des droits des intéressés :

Factorial détient la certification ISO/IEC 27001:2013 et il a renouvelé sa certification en mars 2023. Il s'agit du plus haut niveau de norme mondiale en matière de sécurité de l'information disponible aujourd'hui. Cette certification donne aux clients l'assurance que nous respectons des normes internationales de sécurité rigoureuses.

Vous pouvez télécharger notre certificat ISO 27001 ici.

Factorial dispose d'un rapport SOC 2 Type I depuis août 2022 et d'un rapport SOC2 Type II depuis février 2024.

Les détails et les rapports de certification associés peuvent être partagés sur demande formelle et après la signature d'un NDA par le demandeur.

Tous nos services fonctionnent dans le cloud. Nous n'hébergeons ni n'exécutons nos propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques.

Toutes nos données clients sont stockées sur les serveurs d'Amazon Web Services (AWS) à Francfort, en Allemagne, un ensemble de services Web dans le cloud qui garantissent une sécurité maximale. Des entreprises comme Netflix ou Airbnb s'appuient sur AWS pour gérer les données de millions d'utilisateurs.

Le centre de données d'Amazon Web Services est protégé par trois couches physiques de sécurité. De même, les installations sont protégées contre les chocs et ne sont accessibles qu'au moyen d'une carte et d'un code personnel non transférables.

Vous pouvez en savoir plus sur leurs pratiques de sécurité ici : AWS

L'architecture de sécurité de notre réseau se compose de plusieurs zones de sécurité. Nous surveillons et protégeons notre réseau pour nous assurer qu'aucun accès non autorisé n'est effectué, en utilisant :

- Un cloud privé virtuel (VPC)

- Un pare-feu qui surveille et contrôle le trafic réseau entrant et sortant

- Un chiffrement en transit : toutes les données envoyées vers ou à partir de notre infrastructure sont chiffrées en transit via les meilleures pratiques de l'industrie en utilisant le Transport Layer Security (TLS). Vous pouvez consulter notre rapport sur le Chiffrement en transit sur SSL LABS.

- Le Chiffrement au repos : Nous nous appuyons sur AWS Key Management Service (AWS KMS) pour gérer nos clés cryptographiques. Par défaut, l'algorithme de chiffrement "SYMMETRIC_DEFAULT" est sélectionné, ce qui représente actuellement AES-256-GCM, un algorithme symétrique basé sur Advanced Encryption Standard (AES). Ces clés sont utilisées pour chiffrer/déchiffrer nos compartiments S3, bases de données, gestionnaire de secrets, lambda, redshift et lightsail.

Par défaut et sauf instruction expresse du client, Factorial procédera à la suppression de toutes les données personnelles 30 jours après l'annulation de la fourniture des services de traitement. Après la période d'un an, Factorial supprimera toutes les copies existantes, sauf si la conservation des données personnelles est requise par la loi applicable ou si le client demande expressément la suppression définitive de ces données au cours de cette période.

- Nous utilisons des technologies pour surveiller les exceptions, logs et détecter les anomalies dans nos applications.

- Nous récupérons et stockons logs afin de fournir une piste de vérification de notre application et de notre activité. Selon le plan choisi par nos clients, les administrateurs peuvent suivre toutes les actions et l'utilisation des dossiers des employés dans la plateforme et gagner en visibilité. Vous trouverez plus d'informations sur les journaux d'audit ici.

Nous développons les meilleures pratiques et cadres de sécurité suivants (OWASP Top 10, SANS Top 25 pour garantir le plus haut niveau de sécurité dans nos logiciels :

- Nous examinons périodiquement notre code pour les vulnérabilités de sécurité

- Nous mettons régulièrement à jour nos dépendances et nous nous assurons qu'aucune d'entre elles ne présente de vulnérabilités connues

- Nous utilisons Static Application Security Testing (SAST) pour détecter les vulnérabilités de sécurité dans notre base de code et appliquer les normes de code.

- Nous vérifions régulièrement les incidents de sécurité - signalés par des chasseurs de primes de bogues ou des fournisseurs de pentest - et les corrigeons avec empressement. Notre dernier pentest a été réalisé par Cobalthttps://cobalt.io/ Des tests de vulnérabilité internes sont effectués en continu ainsi que des tests de pénétration continus via HackerOne. (https://hackerone.com/factorial).

- Nous gardons les secrets loin du code

-  Nous gardons à jour les images OS & Docker et exécutons les services avec un rôle non privilégié

- Nous assurons la séparation des environnements et la séparation des tâches pendant le processus de développement. Les développeurs n'ont pas la possibilité de migrer les modifications dans les environnements de production.

- Nous protégeons nos utilisateurs contre les violations de données en surveillant et en bloquant les attaques par force brute.

- Nous fournissons un système d'ouverture de session unique (SSO) utilisant Google, Microsoft et Linkedin.

- Nous proposons un contrôle des accès basé sur les rôles pour tous nos comptes et nous permettons à nos utilisateurs de définir les autorisations.

- Nous utilisons AWS Cognito qui prend en charge l'authentification multifactorielle (MFA).

- Nous utilisons les outils de sécurité GitHub pour recevoir des alertes en cas de vulnérabilité. L'équipe de sécurité applique régulièrement des correctifs de sécurité.

- Nous effectuons des examens trimestriels des droits d'accès sur nos applications critiques, y compris des étapes telles que l'examen des autorisations, des comptes génériques et la suppression de l'accès des employés licenciés.

L'intégralité du traitement des instruments de paiement est externalisée en toute sécurité auprès de Stripe qui est certifié comme fournisseur de services PCI de niveau 1. Nous ne collectons pas d'informations de paiement et ne sommes donc pas soumis aux obligations PCI.

- Nous utilisons une gestion de compte centralisée - Nous nous appuyons sur un système de gestion des mots de passe - Nous utilisons des comptes nominaux avec 2FA appliqué - Nous changeons les mots de passe tous les 90 jours - Nous intégrons/désintégrons les nouveaux employés à l'aide d'une liste de contrôle qui tient compte des meilleures pratiques de sécurité.

- Nous veillons à ce que les privilèges d'accès respectent le principe du moindre privilège.

- Nous sécurisons le contrôle d'accès aux bureaux pour nous assurer que seuls les employés y ont accès - Nous rappelons régulièrement aux employés de verrouiller leurs ordinateurs

- Nous avons établi des procédures en termes d'utilisation des appareils mobiles et des supports amovibles

Nous veillons à ce que tous nos employés suivent des formations spécifiques sur la protection des données et la sécurité des informations. De plus, il existe des formations et des ateliers de sécurité visant à sécuriser les pratiques de développement de logiciels.

Nous effectuons des vérifications des antécédents des nouvelles recrues potentielles.

Factorial mettra tout en œuvre pour être disponible avec un pourcentage de disponibilité mensuel d'au moins 99,9 %. Sous réserve des exclusions SLA, si nous ne respectons pas l'engagement de service, le client sera éligible pour recevoir un crédit de service. Cela signifie que nous vous garantissons que vous ne subirez pas plus de 43,5 min/mois d'indisponibilité.

Nous maintenons une source accessible au public pour notre disponibilité à https://status.factorialhr.com. N'hésitez pas à vous abonner pour obtenir des mises à jour sur les incidents.

Factorial sauvegarde quotidiennement les données et conserve les sauvegardes pendant 30 jours. La haute disponibilité est assurée avec RDS Multi-AZ. Étant donné que pour avoir une perte de données, les deux zones de disponibilité doivent avoir un incident en même temps, cela réduit la possibilité de perte de données. Notre objectif de temps de récupération (RTO) est 1 heure et notre objectif de point de récupération (RPO) est de 1 jour.

Les plans de continuité des activités et de reprise après sinistre associés sont formellement documentés sur la base des exigences du cadre ISO27001 et SOC2.

Les crédits de service sont calculés en pourcentage du total des frais dus sur votre facture Factorial pour le cycle de facturation mensuel au cours duquel l'indisponibilité s'est produite.

Pour un pourcentage de disponibilité mensuel inférieur à 99,9 %, vous serez éligible à un crédit de service de 5 % des frais pour la période en cours.

Nous appliquerons les crédits de service uniquement aux paiements futurs pour les services qui vous seraient autrement dus.

Pour recevoir un crédit de service, vous devez soumettre une réclamation en envoyant un e-mail à support@factorial.co avec les dates et heures de chaque incident d'indisponibilité que vous réclamez.

Si le pourcentage de disponibilité mensuelle d'une telle demande est confirmé par nous et est inférieur à l'engagement de service, nous vous délivrerons le crédit de service dans un délai d'un cycle de facturation suivant le mois au cours duquel votre demande est confirmée par nous. Votre incapacité à fournir la demande et les autres informations requises ci-dessus vous empêchera de recevoir un crédit de service.

L'Engagement de Service ne s'applique à aucune Indisponibilité : - Causés par des facteurs hors de notre contrôle raisonnable, y compris tout événement de force majeure, accès Internet ou problèmes au-delà du point de démarcation de Factorial. - Qui résulte de toute action ou inaction de votre part ou de celle d'un tiers. - Qui résulte de l'équipement, du logiciel ou d'une autre technologie de vous ou de tout tiers (autre que l'équipement de tiers sous notre contrôle direct). - Qui résulte de toute Maintenance. Si la disponibilité est affectée par des facteurs autres que ceux utilisés dans notre calcul du pourcentage de disponibilité mensuelle, nous pouvons émettre un crédit de service en tenant compte de ces facteurs à notre discrétion.

De manière énonciative mais non limitative, il sera entendu comme Informations confidentielles les informations se référant aux données des clients, à leur existence, à leur structure, aux plans de promotion et de vente, aux codes sources et à l'objet des programmes informatiques, des systèmes, des techniques, des inventions, des procédés, des brevets, marques, modèles déposés, droits d'auteur, savoir-faire, noms commerciaux, données techniques et non techniques, dessins, croquis, données financières, plans relatifs à de nouveaux produits, données relatives aux clients ou clients potentiels ainsi que toute autre information utilisée dans le le champ d'activité de Factorial et du Client.

L'obligation de confidentialité persistera même après la résolution, pour quelque raison que ce soit, de la relation contractuelle entre les parties sans générer aucun type de compensation.

Le manquement à l'obligation de confidentialité assumée dans le présent contrat ou la restitution des Informations Confidentielles établies ci-dessus, donneront le droit à l'une ou l'autre des Parties de réclamer l'intégralité du montant des dommages qu'un tel manquement aurait engendré.