At Julie Desk, we take security very seriously. As such, we have implemented measures to protect your data in compliance with the European GDPR. For further information on data management, please read our privacy policy.This page lists the most frequently requested information by our customers. If you do not find the answer to your questions or would like more information, please contact us.
Datacenters:    The data centers used by Julie Desk are managed by a subcontractor.
CertificationsLes serveurs Julie Desk sont hébergés sur des infrastructures respectant les normes internationales ISO 27001, SOC 1 and 2 as well as PCI-DSS level 1.
RedondanceTous les serveurs sont alimentés avec  2 accès réseaux indépendants.. Des générateurs de secours assurent l’alimentation en cas de coupure électrique. Les datacenters sont eux même alimentés avec au moins 2 accès réseaux et 2 lignes électriques.
Sécurité sur le siteAccès par badge, vidéosurveillance 24/7, détection de fumée et présence de personnel technique 24/7.
LocalisationLes datacenters sont localisés en France et sont gérés par OVH.
Type d’hébergementLes serveurs, IP et stockages utilisés pour l’hébergement sont dédiés à Julie Desk. Nous utilisons des solutions de virtualisation.
Service Level Agreement (SLA)Notre contrat avec notre hébergeur inclus des SLA qui s’appliquent dès 10 minutes d’indisponibilité. Un système de monitoring automatique est également en place pour détecter les incidents et déclencher le remplacement des ressources en panne.
Supervision Center   A supervision center is used to supervise requests sent to the service. This center is managed by a subcontractor.
Ressources dédiéesLes ressources suivantes sont dédiées à Julie Desk : salle, postes de travail, équipements réseau (y compris firewall), équipes.
Accès physiqueL’accès à la salle dédiée requiert un accès biométrique. De la vidéosurveillance est en place 24/7.
Restrictions logiques Les accès sont limités aux stricts besoins de supervision (pas de compte administrateur sur les postes, désactivation des ports USB, filtrage des accès internet externes, accès uniquement aux requêtes de rendez-vous en cours d’organisation). L’accès aux applications Julie Desk requiert l’utilisation d’un VPN site-to-site accessible uniquement depuis la salle dédiée.
Business continuity
RedondanceLes services sont répartis sur plusieurs serveurs et stockages physiques présents dans des salles différentes. Une solution de haute-disponibilité est en place pour garantir la continuité de service en cas de défaillance d’un élément.
Plan de continuitéUn plan de continuité a été élaboré pour limiter le temps de reprise d’activité en cas d’incident de disponibilité majeur.
SauvegardesLes données du service sont sauvegardées tous les jours, semaine et mois. La durée maximum de rétention des sauvegardes est de 1 mois.
Recovery Point Objective (RPO)24h
Security.business_continuity.recovery_time_objectiveSecurity.business_continuity.recovery_time_objective.data
Data exchange and encryption
Sollicitation du serviceLes demandes de prise de rendez-vous sont envoyées par email vers une adresse email générique hébergée sur le système d’information Julie Desk ou une adresse email dédiée hébergée sur le système d’information du client. La sécurité de ces échanges est la même que celle d’un échange classique par email.
Synchronisation des donnéesLe système se synchronise en téléchargeant les emails envoyés au service et les éléments de calendrier en se connectant aux systèmes d’information des clients. La communication est uniquement dans le sens Julie Desk => Client et requiert l’utilisation du protocole HTTPS.
Echanges inter-serveursLe système est réparti entre plusieurs services et serveurs. Les échanges de données inter-serveurs sont chiffrés et utilisent, en fonction des cas, les protocoles SSH, SSL ou HTTPS.
StockageLes données du service sont chiffrées en utilisant le protocole AES-256. Des salt et initialization vector sont générés aléatoirement et différents pour chaque entrée stockée en base de données.
Supervision humaineLes accès de supervision humaine requièrent un accès VPN et l’utilisation de HTTPS.
System Security
ArchitectureLe service repose sur une architecture multi-tiers et multi-zones de sécurité. Chaque serveur est dédié à une tâche précise. Les communications inter-zone sont filtrées par des firewall.
AntivirusUn antivirus est déployé sur l’infrastructure.
ProtectionDDoSUn système de mitigation des attaques DDoS est en place.
Updates
ApplicationsLes applications sont développées en interne et sont mises à jour suivant un processus de déploiement continu (plusieurs fois par jour). Chaque modification est testée (automatiquement et manuellement) sur un environnement différent de la production avant déploiement.
SystèmesLes systèmes sont mis à jour au minimum une fois par mois en condition normale, dès que possible en cas de publication de failles critiques.
Monitoring
Détection d’intrusionLes logs de l’infrastructure sont envoyés en temps réel vers un serveur centralisé et un Security Incident Event Manager (SIEM) permettant de corréler les événements et alerter.
ExceptionsLes exceptions se produisant lors de l’exécution des applications génèrent des alertes.
Utilisation des ressourcesDes métriques d’utilisation des ressources sont suivies afin de prévoir la capacité future du système.
Incident Management
DétectionDes alertes et suivi de métriques ont été configurées pour détecter les incidents.
ProcédureUne procédure de gestion des incidents a été préparée.
NotificationsLes clients concernés sont notifiés dès que possible de la survenance d’un incident de sécurité. La notification des autorités compétentes y compris les autorités de protection des données a été inclus dans la procédure de gestion des incidents.
Processors
Vérification des sous-traitantsNous effectuons une due diligence des sous-traitants avec lesquels nous travaillons afin de vérifier qu’ils respectent nos exigences de sécurité. Cela inclut notamment des vérifications de certifications, de conformité aux lois applicables (ex. RGPD européen) et de gestion de la sécurité.
Sous-traitants pour le serviceNous utilisons des sous-traitants pour assurer l’hébergement et la supervision humaine du service de prise de rendez-vous. Tout changement de sous-traitant est notifié aux clients.
Autres sous-traitantsNous utilisons d’autres sous-traitants notamment pour la gestion de la relation commerciale avec nos clients (comme CRM, système de ticketing support, emailing) ou la gestion de la sécurité (consultants externes, analyse automatisée, alerting).
Human Resources Management
RecrutementDes procédures de vérification des compétences, de l’identité et des références des candidats ont été mis en place dans les processus de recrutement.
Contrats de travailTous les contrats de travail incluent des clauses de confidentialité.
Charte d’utilisation des systèmesUne charte d’utilisation des systèmes informatique a été mise en place.
SensibilisationDes procédures de sensibilisation à la sécurité et au traitement des données personnelles ont été mises en place. Sensibilisation initiale à l’arrivée puis sensibilisation hebdomadaire (5-10 min).
Authentication
AccèsLes accès utilisateurs sont nominatifs.
Single-sign on (SSO)Un système de SSO a été déployé pour les applications internes.
2-factorNous utilisons du 2-factor pour l’authentification aux applications et systèmes internes (VPN avec certificat personnel et One Time Password).
Mots de passe Mots de passe
Suppression des accèsLes accès des employés quittant la société sont supprimés dès leur départ. Lors d’un changement de fonction, les accès qui ne sont plus nécessaires sont révoqués.
Principle of least privilegesPrinciple of least privileges
Audit & tests
Revue des accèsTous les 3 mois.
Test de vulnérabilitéTous les 3 mois ou lors de modifications importantes du système
Test des sauvegardesTous les 3 mois
Test du plan de continuitéTous les ans
Test du plan de réaction aux incidentssecurity.audit_&_tests.incident_plan_test.data
Transparency
security.transparency.reporting_and_documentationsecurity.transparency.reporting_and_documentation.data
Question de sécurité Grands ComptesNous pouvons remplir des questionnaires de sécurité spécifiques dans le cas d’intégration Grands Comptes. Un interlocuteur dédié à la sécurité est alors mis à disposition. Contactez nous pour en savoir plus.
AuditLe service est auditable par ses clients. Contactez nous pour en savoir plus.