Mentions légales — Toqen

Sécurité et divulgation responsable

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel et d’assurer la sécurité du service, et nous accueillons les signalements responsables de vulnérabilités.

TL;DR

  • Transport sécurisé et chiffrement lorsque cela est approprié.
  • Contrôles d’accès stricts, séparation des environnements et surveillance.
  • Divulgation responsable avec engagement de safe harbor pour la recherche de bonne foi.

Mesures de sécurité

Nous maintenons un programme de sécurité conçu pour protéger la confidentialité, l’intégrité et la disponibilité du service Toqen ainsi que des données à caractère personnel traitées dans ce cadre. Nos mesures sont sélectionnées et maintenues selon une approche fondée sur les risques, en tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

  • Chiffrement des données en transit au moyen de normes TLS actuelles ; chiffrement des données au repos lorsque cela est approprié et pris en charge par l’infrastructure concernée.
  • Contrôles d’accès fondés sur le principe du moindre privilège, incluant un accès administratif restreint et, le cas échéant, une séparation des fonctions.
  • Séparation logique entre les environnements de développement, de test et de production, avec des contrôles visant à réduire le risque d’accès non autorisé et d’exposition des données.
  • Mesures techniques et organisationnelles pour détecter et atténuer les abus et les attaques, telles que la limitation de débit, l’atténuation des bots et la protection contre la relecture, le cas échéant.
  • Surveillance, journalisation et alertes afin de soutenir les opérations de sécurité, la détection des incidents et le diagnostic, l’accès aux journaux étant limité au personnel et aux processus de service autorisés.
  • Pratiques de développement logiciel sécurisé, incluant des revues de code et des tests automatisés visant à identifier les problèmes de sécurité et de fiabilité.
  • Protection des données de participation des Launch Partners et des données administratives associées dans des systèmes sécurisés, avec un accès limité au personnel et aux processus de service autorisés.

Nous réexaminons régulièrement et, le cas échéant, mettons à jour nos mesures techniques et organisationnelles en fonction de l’évolution des risques et des changements apportés au service.

Pour des raisons de sécurité, nous ne divulguons pas publiquement les détails sensibles relatifs à des contrôles, configurations ou mécanismes de détection spécifiques.

RGPD et principes de protection des données de l’UE

Notre service est conçu en tenant compte des principes de protection des données de l’UE, notamment la minimisation des données, la limitation des finalités, l’intégrité, la confidentialité et la limitation de la conservation.

Lorsque cela est techniquement faisable et approprié à la fonctionnalité choisie, le service est conçu pour réduire la conservation inutile à long terme des données à caractère personnel et pour éviter, par défaut, le recours à des profils centrés sur l’identité.

Des informations complémentaires sur le traitement des données à caractère personnel, y compris la conservation, les transferts et les droits des personnes concernées, figurent dans notre Politique de confidentialité. Lorsque Toqen traite des données à caractère personnel pour le compte d’un partenaire, la relation est régie par le Data Processing Addendum (DPA) et les accords de protection des données applicables.

Des mesures techniques et organisationnelles appropriées sont mises en œuvre afin d’assurer la sécurité du traitement conformément à l’article 32 du RGPD.

Divulgation responsable

Si vous pensez avoir découvert une vulnérabilité de sécurité affectant Toqen, veuillez la signaler à hi@toqen.app en fournissant des détails suffisants pour nous permettre de reproduire et d’analyser le problème.

Nous examinons les signalements soumis de bonne foi dans le cadre d’une approche de divulgation responsable et nous efforçons d’accuser réception des signalements valides dans un délai raisonnable. Nous pouvons demander des informations complémentaires ou une coordination afin de réduire les risques pour les utilisateurs et les partenaires.

Safe harbor : nous n’engagerons pas de poursuites judiciaires à l’encontre des personnes menant des recherches en sécurité de bonne foi, à condition qu’elles (i) respectent la législation applicable, (ii) évitent toute atteinte à la vie privée, destruction de données ou perturbation du service, (iii) n’accèdent pas, ne collectent pas, ne conservent pas, n’utilisent pas et ne divulguent pas de données au-delà de ce qui est nécessaire pour démontrer la vulnérabilité, (iv) nous signalent la vulnérabilité sans délai et nous accordent un délai raisonnable pour y remédier et (v) ne divulguent pas publiquement la vulnérabilité ou les détails de l’exploit avant la correction ou avant la conclusion d’un calendrier de divulgation coordonnée.

Fournisseurs d’infrastructure et de services

Nous nous appuyons sur des fournisseurs d’infrastructure et de services reconnus pour exploiter et sécuriser le service. Lorsque ces fournisseurs traitent des données à caractère personnel, ils agissent en tant que sous-traitants ou sous-sous-traitants dans le cadre de conditions contractuelles appropriées, incluant des engagements en matière de protection des données et de sécurité, conformément à la législation applicable.

Les contrôles de sécurité sont mis en œuvre au moyen de mesures techniques et organisationnelles en couches. Bien que nous ne divulguions pas de détails sensibles de mise en œuvre, nous nous efforçons de communiquer nos pratiques de sécurité de manière claire, exacte et non trompeuse.