1. Contrôle d'accès (physique et numérique)

• Les systèmes sont situés dans un centre de données IONOS à Francfort-sur-le-Main (certifié ISO 27001).
• L’accès est contrôlé et surveillé sous la seule responsabilité du prestataire de services.

2. Contrôle d'accès (autorisations)

• Les autorisations d'accès sont attribuées en fonction des rôles et des tâches spécifiques et selon le principe de l'accès minimum.
• Aucun compte utilisateur supplémentaire ne sera attribué à des tiers.
• Les développeurs externes peuvent se voir accorder un accès temporairement restreint sans accès aux données personnelles.
• L'accès aux serveurs, à l'hébergement Web et au stockage WebDAV (rapports d'analyse) est accordé exclusivement par l'opérateur à l'aide de données d'accès personnalisées.
• L'accès aux systèmes administratifs se fait via une authentification à deux facteurs, lorsqu'elle est disponible.
• Les systèmes utilisés pour effectuer des analyses de vulnérabilité ne sont accessibles que via VPN, fonctionnent de manière autonome et ne sont pas accessibles directement depuis Internet.

3. Sécurité d'accès aux données (stockage de données, logiciels, réseau)

• La transmission des données s'effectue exclusivement via des connexions cryptées (HTTPS, SFTP, VPN).
• L'application Web (WordPress) utilise des plugins de sécurité actuels et est mise à jour régulièrement.
• Les connexions entre WordPress et les systèmes de test sont réalisées via un accès sécurisé et des API.
• Les adresses IP et les données de test ne sont stockées que pendant le processus de test et sont automatiquement supprimées par la suite.

4. Séparation des données

• Les rapports d'audit ne sont pas stockés dans le système WordPress, mais dans un stockage WebDAV séparé.
• Les systèmes d'audit et d'analyse ne stockent les données que temporairement jusqu'à la génération du rapport. Elles sont ensuite automatiquement supprimées.
• Les données client (par exemple les données de réservation) et les résultats techniques sont séparés logiquement et physiquement.

5. Pseudonymisation / Cryptage

• Le stockage WebDAV géré d'IONOS est basé sur une infrastructure cryptée.
• Les fichiers d’audit et de rapport sensibles sont stockés en toute sécurité sur ce système.
• Les systèmes de test fonctionnent indépendamment les uns des autres et ne communiquent que dans un seul sens (modèle push).

6. Sauvegarde et restauration

• La base de données WordPress est sauvegardée quotidiennement ; 15 versions de sauvegarde sont conservées.
• Les fonctionnalités du site Web (fichiers WordPress) sont sauvegardées chaque semaine, et en plus à chaque mise à jour ; trois versions de sauvegarde sont conservées.
• Les rapports de test sont sauvegardés quotidiennement, avec une version de la veille disponible.
• En cas de perte de données, le contrôle de sécurité sera à nouveau effectué.

7. Disponibilité et résilience

• Les systèmes sont conçus de manière redondante : si un système tombe en panne pendant les tests, une nouvelle instance est déployée.
• Les composants critiques du système sont situés dans l'environnement d'hébergement hautement disponible d'IONOS.

8. Procédures d'examen, d'appréciation et d'évaluation réguliers

• Mises à jour régulières et contrôles de sécurité des systèmes par l'opérateur.
• Si les activités de traitement changent, les mesures techniques et organisationnelles seront revues et, si nécessaire, ajustées.
• Les journaux relatifs à la sécurité sont vérifiés régulièrement (par exemple, tentatives de connexion, utilisation de l'API).
• Les changements critiques (par exemple l’implication de développeurs externes) sont documentés.

Ces mesures techniques et organisationnelles sont basées sur des opérations réelles et peuvent être adaptées en cas de changement. Elles ne font pas partie d'une certification ISO, mais servent à respecter l'article 32 du RGPD.