Protéger vos données

En tant que service en nuage, la sécurité de vos données est notre priorité absolue. Nous avons décrit ci-dessous des mesures importantes pour préserver la confidentialité de vos données. Nous utilisons un large éventail de garanties et de mesures de protection supplémentaires qui seraient soit (i) trop compliquées à expliquer, soit (ii) peu judicieuses à partager avec le public. N'hésitez pas à nous contacter si vous avez des questions.

Certifié ISO 27001

Leapsome est certifié conforme à la norme ISO/IEC 27001:2013, qui est reconnue mondialement comme la principale norme de système de gestion de la sécurité de l'information (SGSI).

Hébergement

Notre application est hébergée sur des serveurs fournis par Amazon Web Services dans ses centres de données européens. Amazon Web Services est un fournisseur leader de "plateforme en tant que service" qui permet aux clients(notamment Siemens, Novartis, Nasdaq, Vodafone et d'autres) de développer, d'exécuter et de gérer des applications sans la complexité de la construction et de la maintenance de l'infrastructure associée. Il fournit une infrastructure de sécurité de premier ordre et prend en charge les sauvegardes, la journalisation, l'audit et d'autres services liés à l'infrastructure.

Amazon Web Services soumet ses services à un audit permanent et a prouvé qu'il respectait, entre autres, les normes suivantes :

  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 2
  • SOC 3

Parmi les autres sous-traitants utilisés par Leapsome pour fournir son service, on trouve des entreprises de même renommée et certifiées telles que

  • MongoDB, Inc.
  • Zendesk, Inc.
  • Twilio, Inc.
  • Rocket Science Group, LLC (Mailchimp)

Tout transfert de données vers un État qui n'est pas membre de l'Union européenne ou de l'Espace économique européen ne se fera que dans le respect du RGPD et si les exigences spécifiques de l'article 44 et suivants du Règlement général sur la protection des données (RGPD) ont été remplies. Plus précisément, un transfert nécessite un accord contractuel clair entre Leapsome et tout sous-traitant qui garantit au moins le même niveau de protection des données en vertu des clauses contractuelles types (CCS) telles que stipulées par la Commission européenne.

Mots de passe

Vos mots de passe sont toujours cryptés (hachés, avec des sels) et ne sont jamais enregistrés en texte clair. Lorsqu'un utilisateur essaie de se connecter, son mot de passe est crypté de la même manière, et la plateforme compare les versions cryptées pour vérifier si elles correspondent. Cela signifie également que nous ne pouvons pas récupérer un mot de passe pour vous (nous ne conservons que la version cryptée), et que vous devez réinitialiser votre mot de passe si vous le perdez. Pour plus de sécurité, nous imposons une longueur minimale du mot de passe lors de l'inscription d'un utilisateur.

Si votre entreprise utilise GSuite pour la communication interne, vous pouvez également vous connecter avec Google, Okta, Active Directory ou d'autres fournisseurs SSO via une connexion sécurisée. Dans ce cas, vos mots de passe ne sont pas du tout stockés sur nos serveurs. Au lieu de cela, vos utilisateurs sont redirigés vers une page où ils authentifient Leapsome comme un service de confiance, et un jeton est généré (que nous pouvons utiliser pour identifier vos utilisateurs). Vous pouvez révoquer ce jeton à tout moment via les paramètres de votre compte Google.

Cookies et jetons

Notre plateforme utilise des cookies et des jetons pour authentifier les utilisateurs entre les sessions. Les jetons ne contiennent jamais votre mot de passe réel ou d'autres informations sensibles. Tout ce qui est enregistré est un jeton créé de manière aléatoire qui vous permet d'accéder aux fonctionnalités de base. Pour accéder aux fonctionnalités essentielles, comme la modification de votre mot de passe, vous devez saisir à nouveau votre mot de passe.

Cryptage des données

Toutes les communications entre vos utilisateurs et nos serveurs sont cryptées par SSL. SSL (Secure Sockets Layer) est la technologie de sécurité standard pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données transmises entre le serveur web et les navigateurs restent privées et intégrales. SSL est une norme industrielle et est utilisé par des millions de sites web pour la protection de leurs transactions en ligne avec leurs clients.

En outre, nous utilisons le cryptage au repos pour crypter toutes les données de notre base de données avec l'algorithme AES-256, la norme industrielle. Cela signifie que vos données sont cryptées avant et après l'accès à la base de données et qu'elles ne se trouvent jamais en clair.

Cadres sécurisés

Outre un environnement d'hébergement sécurisé, nous nous appuyons sur des bibliothèques logicielles établies pour garantir que vos données sont sécurisées et que vos utilisateurs ne sont pas exposés à des vulnérabilités.

Notre framework frontal Vue, combiné à l'utilisation de jetons d'utilisateur uniques, protège vos utilisateurs contre les menaces courantes telles que les scripts intersites (CSS / XSS) et la falsification des requêtes intersites (CSRF / XSRF).

Nous utilisons MongoDB comme magasin de données, ce qui signifie que notre application n'est pas vulnérable aux injections SQL. L'utilisation d'un intergiciel établi et l'assainissement de toutes les entrées ajoutent une protection supplémentaire.

Comme mentionné ci-dessus, notre application fonctionne sur des serveurs AWS. AWS maintient le logiciel du serveur à jour en permanence et corrige immédiatement toute nouvelle faille de sécurité.

Empêcher l'accès de l'intérieur

Même un utilisateur authentifié (connecté) peut tenter d'exploiter les vulnérabilités - quelqu'un pourrait, par exemple, s'inscrire à un compte de démonstration et essayer d'accéder aux informations d'autres clients.

Bien que les cadres logiciels énumérés ci-dessus protègent déjà le système contre cette menace, le code de l'application contrôle en outre chaque demande et vérifie que l'identifiant de la société de l'objet de la base de données correspond à celui de l'utilisateur. Chaque objet de la base de données est étiqueté avec un identifiant de société, et toute tentative potentielle de violation de ces identifiants déclenche des notifications immédiates à nos administrateurs.

Nous appliquons également un modèle strict basé sur les rôles à toutes les demandes et vues de la plateforme. Cela empêche les employés d'accéder à des fonctionnalités (comme la modification des données des utilisateurs, l'édition des informations de facturation, etc.) qui devraient être réservées aux administrateurs.

Restrictions d'accès au code et à la base de données

Notre application et notre base de données sont hébergées dans un centre de données sécurisé où un personnel professionnel veille à la sécurité physique des serveurs.

L'accès à distance est égalementstrictement limité. Au sein de notre équipe, chaque déploiement d'un nouveau code doit être approuvé par l'une des deux personnes qui y ont accès. La même limitation d'accès s'applique à nos bases de données et à notre zone d'administration interne. L'accès aux bases de données, à notre dépôt central de code et à notre environnement d'hébergement est en outre protégé par une authentification à deux facteurs. Nous mettons régulièrement à jour les mots de passe et les jetons de sécurité.

Dans nos données d'administration internes, nous n'affichons que des statistiques agrégées et des données au niveau de l'entreprise (telles que les informations relatives à la facturation), et non le contenu des commentaires réels, des évaluations, etc. Nous ne consultons pas les données brutes des clients, sauf si nous en avons reçu l'autorisation pour corriger un bug. Cela dit, la plupart des bogues peuvent être corrigés en analysant les journaux du serveur et en reproduisant le problème avec des données factices.

Accord de traitement des données (DPA)

Lorsque vous commencerez à utiliser Leapsome, vous signerez avec nous un accord de traitement des données. Il expose la manière dont nous pouvons traiter vos données, explique les mesures de sécurité déployées, énonce vos droits, et est nécessaire pour être pleinement conforme au GDPR.

Politiques de sécurité interne

Notre équipe est très attentive à la sécurité. Pour éviter d'être la proie de fraudeurs extérieurs, nous organisons régulièrement des séances d'information internes sur la sécurité, nous n'utilisons que des navigateurs modernes et à jour, nous utilisons des gestionnaires de mots de passe et des mots de passe différents pour tous les sites, nous mettons régulièrement à jour les mots de passe et nous cryptons les disques durs de nos appareils.

Disponibilité et reprise après sinistre

Notre application et nos bases de données sont distribuées et répliquées sur plusieurs serveurs. En cas de panne de l'un de ces serveurs, une autre instance prendrait le relais pour servir l'application, généralement sans que l'utilisateur final s'en aperçoive.

Les bases de données sont sauvegardées en permanence et peuvent être restaurées en cas de défaillance importante du logiciel ou du serveur. Les sauvegardes sont stockées dans différentes zones de disponibilité pour une sécurité supplémentaire.

Surveillance

Nous surveillons étroitement les performances de notre application et de nos bases de données via les outils de surveillance intégrés d'AWS et NewRelic. Toute erreur interne ou défaillance potentielle de nos diverses intégrations est enregistrée et déclenche des notifications à notre équipe de développement, ce qui nous permet généralement d'identifier le problème en quelques minutes et de remédier rapidement à la situation.

Demandes des utilisateurs et rapports de bogue

Cela dit, ce sont parfois les utilisateurs qui remarquent un problème ou qui tombent sur un bogue dans le logiciel. Nous vous encourageons à nous contacter via notre formulaire d'assistance (accessible via le bouton dans le coin inférieur droit de l'écran) ou par courrier électronique à l'adresse support@leapsome.com - nous apprécions grandement tout conseil ou commentaire. Si vous le pouvez, veuillez inclure une capture d'écran et une description exacte de la situation que vous avez rencontrée. Les problèmes critiques font l'objet d'une attention immédiate et sont généralement résolus dans les deux heures. Nous nous efforçons de traiter les demandes non critiques dans les 24 heures.

Vous avez trouvé une menace pour la sécurité ?

Nous effectuons régulièrement des tests de pénétration/audits externes avec des spécialistes de la sécurité de premier plan pour détecter les vulnérabilités potentielles et protéger vos données.

Si vous pensez toujours avoir trouvé une menace pour la sécurité de notre système, veuillez nous contacter immédiatement via security@leapsome.com ou +49 160 9798 2209. Vos informations resteront confidentielles et nous traiterons votre demande immédiatement.

Politique de divulgation complète

Si quelque chose de grave se produit et que vos données sont affectées, nous vous fournirons des informations complètes pour vous permettre de prendre des précautions et de minimiser les dommages. Notre expérience antérieure dans des entreprises telles que Funding Circle nous a appris que la transparence est primordiale pour gagner et conserver votre confiance, si jamais la sécurité devait être menacée.


UNE PLATEFORME SIMPLE, FLEXIBLE ET PUISSANTE

Ce que vous pouvez faire avec Leapsome

Icône de boîte inversée violette et transparente avec coche.

Performance &
Examens à 360

Réalisez des évaluations de performance, des évaluations à 360°, des évaluations de projet ou des évaluations de leadership efficaces et indolores, faciles à mettre en place et à réaliser, et très bénéfiques.

En savoir plus
Une ligne violette et deux lignes transparentes plus courtes centrées et situées l'une en dessous de l'autre.

Objectifs et gestion des OKR

Suivez, collaborez et alignez les objectifs de l'entreprise, de l'équipe et de l'individu afin de renforcer la responsabilité et la transparence au sein de votre organisation.

En savoir plus
Icône de trois points violets et transparents.

Engagement
Sondages

Mesurez facilement le pouls de la culture de votre entreprise grâce aux enquêtes sur l'engagement des employés et utilisez des informations puissantes pour orienter vos actions.

En savoir plus
Icône violette inversée de notification/éclair.

Réactions instantanées
et louanges

Promouvoir une culture de développement et d'apprentissage rapide en partageant les commentaires et les éloges instantanés avec n'importe qui dans l'organisation.

En savoir plus
Icône de messages de chat violet et inversé.

Réunions 1:1 et équipe

Menez des entretiens individuels et des réunions d'équipe productifs et efficaces avec tous les membres de votre organisation, en vous appuyant sur un ordre du jour et des sujets de discussion bien structurés.

En savoir plus
Icône d'ampoule violette et inversée.

Apprentissage et
Embarquement

Développez et engagez vos talents grâce à une expérience d'apprentissage et d'intégration hautement personnalisée, évolutive et automatisée.

En savoir plus
Icône de boîte inversée blanche et transparente avec coche.

Performances et
Revues 360

Mettez en place des processus d'évaluation de la performance, de l'évaluation à 360°, des projets ou de la direction qui soient faciles à mettre en place, faciles à réaliser et bénéfiques pour tous.

Icône de but blanc inversé transparent.

Objectifs et gestion des OKR

Suivre, collaborer et s'aligner sur les objectifs de l'entreprise, de l'équipe et des individus afin de créer un alignement, une responsabilité et une transparence dans toute l'organisation.

En savoir plus
Icône de blocs empilés blancs.

Engagement
Sondages

Mesurez le pouls de la culture de votre entreprise grâce à des enquêtes faciles à mettre en place sur l'engagement des employés et utilisez des informations puissantes pour orienter vos actions.

En savoir plus
Icône de notification inversée, blanche et transparente.

Réactions instantanées
et louanges

Facilitez une culture de développement et d'apprentissage rapide en donnant et en recevant un feedback instantané et des éloges avec n'importe qui dans l'organisation.

En savoir plus
Icône blanche inversée de messages de chat.

Réunions d'équipe en tête-à-tête et

Organisez des réunions individuelles efficaces et productives avec n'importe quel employé de votre organisation, en vous appuyant sur un ordre du jour et des sujets de discussion bien structurés.

En savoir plus
Icône d'ampoule inversée blanche.

Apprentissage et intégration

Développez et engagez vos talents grâce à une expérience d'apprentissage et d'intégration hautement personnalisée, évolutive et automatisée.

En savoir plus