Sécurité de vos données.
Introduction
Notre solution iPaidThat vous permet de grandement simplifier la comptabilité de votre organisation. Dans ce cadre, nous récupérons plusieurs informations sur votre organisation en accord avec vous.
La sécurité et la protection de l’ensemble de vos données est alors une priorité pour nous comme pour vous. Voici quelques explications pour vous aider à mieux comprendre pourquoi et comment nous sécurisons vos données.
Comment iPaidThat protège vos données et sa solution
Certificat SSL (https) :
Un certificat SSL (Secure Sockets Layer) est un fichier qui permet de crypter et sécuriser l’envoi de données entre deux appareils. Il permet aussi de certifier et rassurer quant à la sécurité d’un site internet.
La partie visible, qui prouve qu’un site dispose d’un certificat SSL, se situe au niveau de l’URL du site internet. Le préfixe de l’URL du site contient un “s” après le “http” prévalent pour “Secure” ainsi qu’un cadenas en amont de l’URL du site.
L’intégralité du site d’iPaidThat est accessible uniquement en HTTPS et donc avec un certificat SSL, rendant ainsi toutes les interceptions de données impossibles lors des communications entre votre navigateur et nos serveurs.
Des serveurs sécurisés :
Nos serveurs sont tenus et gérés par des prestataires de confiances :
- OVH, l’entreprise française est spécialisée dans les services de cloud computing et de serveurs. OVH est le leader Européen du Cloud mais aussi le troisième plus grand hébergeur mondial.
- AWS (Amazon Web Services), le groupe est une filiale du groupe Amazon également spécialisé dans la prestation de service de cloud computing, de serveurs web ainsi que de bases de données.
Ces deux prestataires sont testés régulièrement contre les failles et les attaques malveillantes.
Des données chiffrées, stockées et archivées :
L’ensemble des documents et autres informations que vous pouvez mettre sur votre espace iPaidThat sont stockés et archivés de manière chiffrée et sécurisée. Nous utilisons des algorithmes complexes permettant d’assurer une sécurité supplémentaire empêchant toute lecture impossible lors d’une éventuelle "cyber-attaque".
Nous réalisons plusieurs audits par an pour maintenir un haut degré de sécurité de nos infrastructures.
iPaidThat archive vos pièces comptables avec une sécurité de niveau bancaire et nous respectons toutes les réglementations de stockage numérique en vigueur.
Ce que nous mettons en place chez iPaidThat :
- Le chiffrage AES-256 de toutes vos factures :
- Le chiffrage AES- 256 bits (Advanced Encryption Standard 256 bits), il s’agit d’un algorithme de chiffrement de type symétrique. Il permet de crypter et décrypter les données en bloc de bits. La version 256 bits est une forme plus avancée du cryptage et permet un très fort niveau de sécurité.
- Signature électronique avec un Certificat RGS (1 étoile) :
- Le Certificat RGS (Référentiel Général de Sécurité) est une norme gouvernementale française. Sur la partie “Signature électronique”, cette norme permet de garantir l’identité et l’intégrité du signataire permettant ainsi de donner une valeur légale et inaltérable aux documents dans leur version électronique.
- Conservation de vos pièces au minimum 10 ans :
- Le code de commerce prévoit dans l'article L123-22 que les documents comptables et les pièces justificatives (factures fournisseurs, clients …) doivent être conservés pendant 10 ans. iPaidThat conserve vos documents au minimum 10 ans. (https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006219327&cidTexte=LEGITEXT000005634379&dateTexte=20030104
- Certification eIDAS pour le traitement des données bancaires
- La certification eIDAS (Electronic IDentification Authentication and trust Service) est un règlement de l’Union Européen qui regroupe un ensemble de norme visant à identifier électroniquement les transactions électroniques au sein de l’UE.
- Certification ISO 27001 avec audit annuel
- Fin 2023, nous avons fait le choix de passer la certification ISO 27001. Certification que nous avons obtenue. Pour rappel, cette norme internationale est une suite d'exigences visant à mettre en œuvre et améliorer la sécurité des systèmes d’informations d’une organisation. Cela englobe notamment la confidentialité, l’intégrité ainsi que la disponibilité des données. Mais encore vise à réduire les risques associés à la sécurité des données ainsi qu'à renforcer les connaissances, des collaborateurs de l’organisation, sur les protocoles de sécurité. Chaque année, nous passerons un nouvel audit pour valider notre certification.
- Valeur probante des documents scannés
- iPaidThat met en place un archivage à valeur probante. Cela permet d’assurer la pérennité des documents dans le temps (authentique, intègre et intelligible) et concerne principalement les copies électroniques des documents papiers.
Réplication des données
Chez iPaidThat, nous avons mis en œuvre une infrastructure pour mettre en place ce que l’on nomme une réplication des données. Nos données sont ainsi dupliquées et stockées sur plusieurs serveurs géographiquement distants, à savoir Graveline, Roubaix et Strasbourg.
De plus, une sauvegarde journalière est effectuée et stockée sur un Bucket Amazon S3.
Cette solution améliore, d'une part, l'accessibilité des données et, d'autre part, garantit la disponibilité des informations en cas d'incident. Cela nous laisse la possibilité de mettre en place une restauration rapide de nos services si nécessaire.
Ce dispositif est une mesure clé pour assurer la continuité de service de notre solution, tant pour nous que pour l'ensemble de nos utilisateurs, tout en assurant une protection des données de nos clients.
Programme de Bug Bounty (via Intigriti)
Dans l’objectif d’amélioration continue de la sécurité de nos services, nous avons mis en place un système de “Bug Bounty” via la plateforme Intigriti (https://www.intigriti.com/)
Pour rappel, ces programmes visent à offrir une prime (bounty) à toutes personnes qui pourraient trouver et nous signaler de potentielles vulnérabilités. Ce programme rentre dans le cadre d’une pratique courante qui est également mise en place dans les plus grandes entreprises mondiales telles que Alphabet Inc, Apple Inc, Microsoft Corporation …
Si vous souhaitez en savoir plus sur ce programme, vous retrouverez plus d’informations sur notre page dédiée : https://help.ipaidthat.io/fr/articles/5170214-vulnerability-disclosure-program
Comment fonctionne la sécurité iPaidThat sur la partie "Collecte des factures"
a) Sécurité liée à la collecte des factures via les boites mail
L’une des fonctionnalités majeures d’iPaidThat réside dans la possibilité de collecter automatiquement l’ensemble des factures que vous recevez par mail et notamment via la connexion avec notre bot Gmail.
Il est important de noter qu’iPaidThat ne stocke et ne lit aucun e-mail. Nos robots (bots) scannent la boîte de réception de la boite mail que vous avez connectée. Les robots vont scanner les objets des mails contenant uniquement certains mots-clés comme par exemple “Facture” ou “Paiement”.
A la suite de cette détection, une entrée est créée avec la pièce jointe du mail contenant la facture, pour être importée dans votre espace iPaidThat. Si la facture est dans le corps du mail et que le mail ne contient pas de pièce-jointe, iPaidThat va générer un document PDF à partir de l’HTML du mail.
En dehors de la partie facture, nos robots ignorent le reste du mail. Les mails ne contenant pas un mot-clé lié à la sémantique de la facturation, comme vu précédemment, sont également ignorés.
b) Sécurité liée à la collecte des factures via les collecteurs de services
Une des fonctionnalités pour collecter l’ensemble de vos factures passe par nos collecteurs de service. Pour rappel les collecteurs iPaidThat permettent d’aller récupérer directement les factures sur les espaces clients des sites qui ne vous délivrent pas vos factures dans votre boite mail.
Ainsi via une analyse de la structure du site et vos identifiants de connexion, sur l’espace client du collecteur sélectionné, nos robots peuvent collecter les factures disponibles dans votre espace lié à la facturation.
Pour qu’un collecteur puisse aller récupérer vos factures sur votre espace, vous devez vous identifier avec vos identifiants de connexion lors de l’ajout d’un collecteur sur iPaidThat. Vos identifiants sont communiqués à nos serveurs via une connexion sécurisée SSL couplée à un certificat d’une autorité reconnue.
Dès lors, personne ne peut intercepter, récupérer ou lire les informations entre votre navigateur et nos serveurs et donc récupérer vos identifiants de connexion.
A la réception des identifiants de connexion du collecteur que vous sélectionnez, vos identifiants sont instantanément chiffrés et cryptés en utilisant l'algorithme de chiffrage AES-256 et stockés sur une base de données sécurisée et inaccessible depuis l'extérieur.
La clé de chiffrement utilisée pour chiffrer et crypter vos identifiants est unique et liée à votre compte iPaidThat, assurant un degré supplémentaire pour la protection et la sécurité de vos identifiants.
Lors de la suppression d’un collecteur iPaidThat, ou vous aviez préalablement saisie vos identifiants de connexion, toutes les informations stockées pour le fonctionnement du collecteur en question sont définitivement supprimées de notre base de données. Si vous souhaitez réutiliser ce même collecteur ultérieurement, il vous faudra saisir de nouveau vos identifiants de connexion pour que le collecteur puisse aller collecter vos factures.
Lors de la suppression de votre compte iPaidThat, l’ensemble de vos collecteurs sont également supprimés de manière définitive.
c) Sécurité liée à l'utilisation du Slack Bot
Une fonctionnalité iPaidThat pour ajouter simplement plusieurs factures sur son compte va être l’utilisation du Slack Bot iPaidThat. Le but est de créer une chaîne (canal) Slack réservée aux factures de votre entreprise.
Ainsi les pièces comptables ajoutées sur cette chaîne seront immédiatement importées dans votre espace iPaidThat.
Pour que cette fonctionnalité puisse être mise en place nous avons besoin d’un accès, pour cela vous recevez une demande pour l’accès aux chaînes et aux fichiers. Le bot Slack a besoin des autorisations en lecture & écriture des chaînes publiques pour créer le canal dénommé “drop-invoice-here”. Un canal qui vous permet de transférer des documents directement sur iPaidThat.
Cette demande de droit en lecture des fichiers est nécessaire pour importer les factures que vous glissez-déposez dans cette chaîne “drop-invoice-here”. Le bot Slack n’a pas accès aux conversations privées et autres chaînes privées. Dès lors que le bot Slack est connecté, nous n’avons accès à aucune autres chaînes mise à part celle venant d’être créée (drop-invoice-here).
Comment fonctionne la sécurité iPaidThat sur la partie "Banque"
a) Sécurité liée à la synchronisation bancaire iPaidThat
iPaidThat vous permet d’effectuer un rapprochement bancaire de manière automatique entre l’ensemble des mouvements d’entrées et de sorties de vos relevés bancaires & justificatifs de paiement. Vous permettant de n’oublier aucune facture et de suivre en temps réel votre trésorerie.
Pour automatiser cet état de rapprochement bancaire, iPaidThat a besoin de synchroniser votre ou vos différentes banques avec votre compte iPaidThat. Pour réaliser cette synchronisation nous passons par un partenaire reconnu et de confiance qu’est Bankin’.
Pour en savoir plus sur notre partenaire Bankin’, nous vous invitons à consulter cette page https://bankin.com/fr/security.html
Aucune information de connexion n’est stockée sur nos serveurs.
b) Sécurité liée aux paiements sur iPaidThat
Pour ce qui est de la gestion des paiements sur iPaidThat, nous avons choisi Stripe comme partenaire pour l’ensemble de nos paiements.
Pour en savoir plus sur notre partenaire Stripe, nous vous invitons à consulter cette page https://stripe.com/docs/security/stripe
iPaidThat ne stocke aucune information sensible. L’ensemble est directement traité par Stripe. Stripe utilise des algorithmes de cryptage de niveau bancaire. Ainsi l’ajout de votre carte ou tout autre moyen de paiement entre votre navigateur et Stripe est sécurisé avec une connexion SSL de dernière génération.
Comment fonctionne la sécurité iPaidThat sur la partie "Paiement"
Parmi l’ensemble de nos fonctionnalités, nous avons mis en place une fonctionnalité de paiement des factures. Pour utiliser cette fonctionnalité, les utilisateurs d’iPaidThat sont invités à se créer un compte de paiement pour gérer, depuis notre plateforme, des virements.
Pour mettre en place ce système, nous passons par un partenaire de confiance reconnu, Swan.
Si vous souhaitez en savoir plus sur notre partenaire, vous pouvez consulter le site internet de Swan (swan.io)
Voici par exemple deux pages qui vous permettront d’en savoir plus sur la gestion des données de Swan :