Chez Julie Desk, nous prenons la sécurité très au sérieux. Nous avons donc implémenté des mesures pour protéger vos données conformément au RGPD.
Pour en savoir plus sur notre engagement de mise en conformité au RGPD, veuillez consulter notre Politique de confidentialité.
Cette page recense les informations le plus fréquemment demandées par nos clients. Si vous n’avez pas la réponse à vos interrogations ou souhaitez obtenir des informations complémentaires, merci de prendre contact avec nous.
Certifications: Le service Julie Desk est en cours de préparation de la certification ISO 27001.
Datacenters: Les datacenters utilisés par Julie Desk sont gérés par un sous-traitant.
CertificationsLes serveurs Julie Desk sont hébergés sur des infrastructures respectant les normes internationales ISO 27001, SOC 1 and 2 as well as PCI-DSS level 1.
RedondanceTous les serveurs sont alimentés avec  2 accès réseaux indépendants.. Des générateurs de secours assurent l’alimentation en cas de coupure électrique. Les datacenters sont eux même alimentés avec au moins 2 accès réseaux et 2 lignes électriques.
Sécurité sur le siteAccès par badge, vidéosurveillance 24/7, détection de fumée et présence de personnel technique 24/7.
LocalisationLes datacenters sont localisés en France et sont gérés par OVH.
Type d’hébergementLes serveurs, IP et stockages utilisés pour l’hébergement sont dédiés à Julie Desk. Nous utilisons des solutions de virtualisation.
Service Level Agreement (SLA)Notre contrat avec notre hébergeur inclus des SLA qui s’appliquent dès 10 minutes d’indisponibilité. Un système de monitoring automatique est également en place pour détecter les incidents et déclencher le remplacement des ressources en panne.
Centre de Supervision: Un centre de supervision est utilisé pour la supervision des requêtes envoyées au service. Ce centre est géré par un sous-traitant.
Ressources dédiéesLes ressources suivantes sont dédiées à Julie Desk : salle, postes de travail, équipements réseau (y compris firewall), équipes.
Accès physiqueL’accès à la salle dédiée requiert un accès biométrique. De la vidéosurveillance est en place 24/7.
Restrictions logiques Les accès sont limités aux stricts besoins de supervision (pas de compte administrateur sur les postes, désactivation des ports USB, filtrage des accès internet externes, accès uniquement aux requêtes de rendez-vous en cours d’organisation). L’accès aux applications Julie Desk requiert l’utilisation d’un VPN site-to-site accessible uniquement depuis la salle dédiée.
Continuité de service
RedondanceLes services sont répartis sur plusieurs serveurs et stockages physiques présents dans des salles différentes. Une solution de haute-disponibilité est en place pour garantir la continuité de service en cas de défaillance d’un élément.
Plan de continuitéUn plan de continuité a été élaboré pour limiter le temps de reprise d’activité en cas d’incident de disponibilité majeur.
SauvegardesLes données du service sont sauvegardées tous les jours, semaine et mois. La durée maximum de rétention des sauvegardes est de 1 mois.
Recovery Point Objective (RPO)24h
Security.business_continuity.recovery_time_objectiveSecurity.business_continuity.recovery_time_objective.data
Echanges de données et chiffrement
Sollicitation du serviceLes demandes de prise de rendez-vous sont envoyées par email vers une adresse email générique hébergée sur le système d’information Julie Desk ou une adresse email dédiée hébergée sur le système d’information du client. La sécurité de ces échanges est la même que celle d’un échange classique par email.
Synchronisation des donnéesLe système se synchronise en téléchargeant les emails envoyés au service et les éléments de calendrier en se connectant aux systèmes d’information des clients. La communication est uniquement dans le sens Julie Desk => Client et requiert l’utilisation du protocole HTTPS.
Echanges inter-serveursLe système est réparti entre plusieurs services et serveurs. Les échanges de données inter-serveurs sont chiffrés et utilisent, en fonction des cas, les protocoles SSH, SSL ou HTTPS.
StockageLes données du service sont chiffrées en utilisant le protocole AES-256. Des salt et initialization vector sont générés aléatoirement et différents pour chaque entrée stockée en base de données.
Supervision humaineLes accès de supervision humaine requièrent un accès VPN et l’utilisation de HTTPS.
Sécurité des systèmes
ArchitectureLe service repose sur une architecture multi-tiers et multi-zones de sécurité. Chaque serveur est dédié à une tâche précise. Les communications inter-zone sont filtrées par des firewall.
AntivirusUn antivirus est déployé sur l’infrastructure.
ProtectionDDoSUn système de mitigation des attaques DDoS est en place.
Mise à jour
ApplicationsLes applications sont développées en interne et sont mises à jour suivant un processus de déploiement continu (plusieurs fois par jour). Chaque modification est testée (automatiquement et manuellement) sur un environnement différent de la production avant déploiement.
SystèmesLes systèmes sont mis à jour au minimum une fois par mois en condition normale, dès que possible en cas de publication de failles critiques.
Monitoring
Détection d’intrusionLes logs de l’infrastructure sont envoyés en temps réel vers un serveur centralisé et un Security Incident Event Manager (SIEM) permettant de corréler les événements et alerter.
ExceptionsLes exceptions se produisant lors de l’exécution des applications génèrent des alertes.
Utilisation des ressourcesDes métriques d’utilisation des ressources sont suivies afin de prévoir la capacité future du système.
Gestion des incidents
DétectionDes alertes et suivi de métriques ont été configurées pour détecter les incidents.
ProcédureUne procédure de gestion des incidents a été préparée.
NotificationsLes clients concernés sont notifiés dès que possible de la survenance d’un incident de sécurité. La notification des autorités compétentes y compris les autorités de protection des données a été inclus dans la procédure de gestion des incidents.
Sous-traitants
Vérification des sous-traitantsNous effectuons une due diligence des sous-traitants avec lesquels nous travaillons afin de vérifier qu’ils respectent nos exigences de sécurité. Cela inclut notamment des vérifications de certifications, de conformité aux lois applicables (ex. RGPD européen) et de gestion de la sécurité.
Sous-traitants pour le serviceNous utilisons des sous-traitants pour assurer l’hébergement et la supervision humaine du service de prise de rendez-vous. Tout changement de sous-traitant est notifié aux clients.
Autres sous-traitantsNous utilisons d’autres sous-traitants notamment pour la gestion de la relation commerciale avec nos clients (comme CRM, système de ticketing support, emailing) ou la gestion de la sécurité (consultants externes, analyse automatisée, alerting).
Gestion des ressources humaines
RecrutementDes procédures de vérification des compétences, de l’identité et des références des candidats ont été mis en place dans les processus de recrutement.
Contrats de travailTous les contrats de travail incluent des clauses de confidentialité.
Charte d’utilisation des systèmesUne charte d’utilisation des systèmes informatique a été mise en place.
SensibilisationDes procédures de sensibilisation à la sécurité et au traitement des données personnelles ont été mises en place. Sensibilisation initiale à l’arrivée puis sensibilisation hebdomadaire (5-10 min).
Authentification
AccèsLes accès utilisateurs sont nominatifs.
Single-sign on (SSO)Un système de SSO a été déployé pour les applications internes.
2-factorNous utilisons du 2-factor pour l’authentification aux applications et systèmes internes (VPN avec certificat personnel et One Time Password).
Mots de passe Mots de passe
Suppression des accèsLes accès des employés quittant la société sont supprimés dès leur départ. Lors d’un changement de fonction, les accès qui ne sont plus nécessaires sont révoqués.
Principle of least privilegesPrinciple of least privileges
Audit & Tests
Revue des accèsTous les 3 mois.
Test de vulnérabilitéTous les 3 mois ou lors de modifications importantes du système
Test des sauvegardesTous les 3 mois
Test du plan de continuitéTous les ans
Test du plan de réaction aux incidentssecurity.audit_&_tests.incident_plan_test.data
Transparence
Rapports et documentationNous pouvons fournir des documents complémentaires sur nos process et notre gestion de la sécurité. Cette communication peut nécessiter la signature d’une clause de confidentialité (NDA). Contactez nous pour en savoir plus.
Question de sécurité Grands ComptesNous pouvons remplir des questionnaires de sécurité spécifiques dans le cas d’intégration Grands Comptes. Un interlocuteur dédié à la sécurité est alors mis à disposition. Contactez nous pour en savoir plus.
AuditLe service est auditable par ses clients. Contactez nous pour en savoir plus.