Chez Leasup, nous prenons l'intégrité et la sécurité des données très au sérieux. En raison de la nature du produit et du service que nous fournissons, il est important que nous reconnaissions nos responsabilités à la fois en tant que contrôleur de données et en tant que sous-traitant.
Nous stockons et traitons vos données avec soin et vous aidons à être en conformité. Pour plus d'information, consultez notre Politique de Confidentialité.
Les infrastructures et services cloud d'OVH sont certifiés ISO/IEC 27001, 27017, 27018 et 27701. Ces certifications assurent la présence d’un système de management de la sécurité de l'information (SMSI) pour la gestion des risques, des vulnérabilités et la mise en place d’une continuité d’activité, ainsi que d’un système de gestion de l’information sur la vie privée (PIMS).
Les données qui transitent par Leasup sont cryptées, à la fois en transit et au repos. Toutes les connexions du navigateur à la plate-forme Leasup sont cryptées en transit à l'aide de TLS SHA-256 avec cryptage RSA. Leasup requiert HTTPS pour tous les services.
Les bases de données de Leasup sont cryptées et sauvegardées automatiquement tous les jours. Nous utilisons des pare-feu, une authentification renforcée des utilisateurs, la déconnexion automatique des sessions, le salage et le hachage des mots de passe.
Tous les employés sont formés à la sécurité et au traitement des données pour garantir qu'ils respectent notre engagement strict envers la confidentialité et la sécurité de vos données.
Tous les employés signent un accord de confidentialité avant de débuter chez Leasup.
Leasup analyse en permanence le produit pour détecter les interruptions de service, la dégradation des performances et les vulnérabilités de sécurité pour alerter immédiatement nos ingénieurs et prendre des mesures lorsqu'un incident a été détecté.
Les nouvelles versions de la plate-forme Leasup sont soigneusement examinées et testées pour garantir une haute disponibilité et une excellente expérience client. Les modifications apportées à notre base de code sont nécessaires pour inclure des tests unitaires, des tests d'intégration et des tests de bout en bout. Les modifications sont exécutées sur notre serveur d'intégration continue, ce qui nous permet de détecter automatiquement tout problème de développement.
Nous sécurisons les machines et les ordinateurs portables de nos employés afin de garantir que chaque appareil respecte nos normes de sécurité des informations, y compris le cryptage.
L'équipement de nos employés est protégé par un logiciel anti-malware, et nous effectuons des tests de phishing de routine pour éduquer et former davantage les employés.
Nous maintenons nos systèmes à jour avec les derniers correctifs de sécurité et surveillons en permanence les nouvelles vulnérabilités via des listes de diffusion de conformité et de sécurité. Cela inclut l'analyse automatique de nos référentiels de code pour les dépendances vulnérables.
Nous menons régulièrement des tests d'intrusions (Pentest) ayant pour objectif de détecter les vulnérabilités de notre application et de garantir sa fiabilité.
Pour effectuer ce test, nos experts sont certifiés OSCP et plus particulièrement OSWE.
Liste des techniques d’attaque qui ont été exécutées :
XSS et DOM-XSS
Toutes les entrées de l'utilisateur sont correctement codées lorsqu'elles sont affichées pour garantir que les vulnérabilités XSS sont atténuées.
CSRF
Toutes les demandes POST sont vérifiées pour le jeton CSRF avant de traiter la demande.
Injection SQL
Nous utilisons des instructions préparées pour l'accès à la base de données afin d'éviter les attaques par injection SQL.
Autres
SSRF
BLIND SSRF
LFI/RFI
Directory Traversal
HTTP Smuggling
JSON exploitation
JavaScript exploitation
Session Hijacking
PHP Object Injection (serialization)
Apache 0-day
Information Disclosure
Le règlement général sur la protection des données (RGPD) est une loi européenne sur la protection de la vie privée qui est entrée en vigueur le 25 mai 2018. Le RGPD remplace la directive européenne sur la protection des données, également connue sous le nom de directive 95/46/CE, et vise à harmoniser les lois sur la protection des données à travers l'Union européenne (UE) en appliquant une loi unique sur la protection des données qui est contraignante dans chaque État membre.
Notre engagement RGPD
Le cœur des opérations internes de Leasup sous-tend la protection des données personnelles de nos clients. Nous collectons et stockons uniquement les informations nécessaires pour offrir notre service, et nous le faisons avec le consentement de nos clients. De plus, notre approche en matière de confidentialité, de sécurité et de protection des données s'aligne sur les objectifs du RGPD.
Pour plus d'information, consultez notre Politique de Confidentialité.