Sommaire
- Article 1 - Protection des données
- Article 2 - Accès et authentification
- Article 3 - Habilitations et accès internes
- Article 4 - Accès bancaire
- Article 5 - Sécurité de l'hébergement
- Article 6 - Sécurité applicative
- Article 7 - Journalisation et détection
- Article 8 - Gestion des incidents et des violations
- Article 9 - Continuité et sauvegardes
- Article 10 - Sécurité des sous-traitants
- Article 11 - Rôle de l'Utilisateur
- Article 12 - Signalement des vulnérabilités
- Article 13 - Sécurité des paiements
- Article 14 - Sécurité des communications et lutte contre l'hameçonnage
- Article 15 - Sécurité et intelligence artificielle
- Article 16 - Sécurité physique des infrastructures
- Article 17 - Sensibilisation et confidentialité
- Article 18 - Cloisonnement des environnements
- Article 19 - Évaluation et amélioration continue
- Article 20 - Limites
La protection des données financières des Utilisateurs constitue une priorité d'Evorax Technologies. La présente politique décrit, de manière détaillée, les mesures techniques et organisationnelles mises en oeuvre afin d'assurer la sécurité, l'intégrité, la confidentialité et la disponibilité du service Noryo (ci-après le « Service ») et des données qui y sont traitées. Elle complète la Politique de confidentialité.
Article 1 - Protection des données
1.1 Chiffrement en transit
Les échanges entre les applications, les serveurs et les prestataires sont chiffrés au moyen de protocoles de transport sécurisés (TLS), afin de prévenir toute interception ou altération.
1.2 Chiffrement au repos
Les documents importés par l'Utilisateur sont stockés de manière chiffrée au repos chez le prestataire de stockage.
1.3 Cloisonnement des données
Des règles d'accès strictes, appliquées au niveau de la base de données, garantissent que chaque Utilisateur n'accède qu'à ses propres données.
1.4 Minimisation
Le Service est conçu de manière à limiter les données traitées à ce qui est nécessaire, et à privilégier, lorsque cela est possible, un traitement sur l'appareil de l'Utilisateur.
Article 2 - Accès et authentification
2.1 Connexion
La connexion s'effectue par identifiant et mot de passe, ou par l'intermédiaire de fournisseurs d'identité tiers, au choix de l'Utilisateur.
2.2 Authentification à deux facteurs
Une authentification à deux facteurs est disponible et recommandée afin de renforcer la protection du compte.
2.3 Verrouillage biométrique
Sur les applications mobiles, un verrouillage par biométrie peut être activé par l'Utilisateur, ajoutant une protection au niveau de l'appareil.
2.4 Gestion des sessions
Les sessions sont gérées au moyen de jetons sécurisés et peuvent être révoquées, notamment lors de la déconnexion.
Article 3 - Habilitations et accès internes
L'accès aux données par les personnes habilitées est limité au strict nécessaire, selon le principe du moindre privilège, et soumis à des engagements de confidentialité.
Article 4 - Accès bancaire
L'accès aux comptes s'effectue en lecture seule, par l'intermédiaire d'un prestataire agréé ; les identifiants bancaires ne sont jamais conservés par l'Éditeur (voir les Conditions d'accès aux comptes).
Article 5 - Sécurité de l'hébergement
Le Service s'appuie sur des prestataires d'hébergement sélectionnés en considération des garanties qu'ils présentent, dont l'infrastructure principale de base de données est localisée au sein de l'Union européenne et le stockage des documents en France. La liste figure dans le Registre des sous-traitants.
Article 6 - Sécurité applicative
6.1 Développement
Le Service est développé selon des pratiques visant à prévenir les vulnérabilités courantes et à intégrer la sécurité dès la conception.
6.2 Dépendances
Les composants tiers utilisés font l'objet d'un suivi afin d'appliquer les correctifs de sécurité pertinents.
Article 7 - Journalisation et détection
Des journaux de sécurité et d'audit sont tenus afin de détecter et de prévenir les abus et les accès non autorisés, dans le respect des durées de conservation indiquées dans la Politique de confidentialité.
Article 8 - Gestion des incidents et des violations
8.1 Procédure
L'Éditeur met en oeuvre des procédures de gestion des incidents permettant de détecter, d'analyser et de remédier aux événements de sécurité.
8.2 Notification
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes, l'Éditeur procède aux notifications requises par la réglementation, notamment auprès de l'autorité de contrôle dans les délais légaux et, le cas échéant, des personnes concernées.
Article 9 - Continuité et sauvegardes
Des sauvegardes sécurisées sont réalisées afin d'assurer la résilience des données et la continuité du Service. Elles sont conservées pour une durée limitée et glissante, dans les conditions décrites dans la Politique de stockage.
Article 10 - Sécurité des sous-traitants
Les sous-traitants auxquels recourt l'Éditeur sont liés par des engagements contractuels imposant des garanties appropriées en matière de sécurité et de confidentialité, conformément à l'article 28 du Règlement général sur la protection des données.
Article 11 - Rôle de l'Utilisateur
La sécurité est partagée. L'Utilisateur est invité à choisir un mot de passe robuste et unique, à activer l'authentification à deux facteurs, à protéger l'accès à ses appareils et à les maintenir à jour. Evorax Technologies ne demande jamais le mot de passe d'un Utilisateur ; toute sollicitation en ce sens doit être considérée comme frauduleuse. Tout accès suspect doit être signalé sans délai à legal@noryo.fr.
Article 12 - Signalement des vulnérabilités
Toute vulnérabilité présumée doit être signalée conformément à la Politique de divulgation responsable.
Article 13 - Sécurité des paiements
Les paiements effectués sur le site sont traités par un prestataire de paiement spécialisé, soumis aux standards de sécurité applicables au secteur des paiements par carte. L'Éditeur ne stocke aucun numéro complet de carte bancaire ni aucune donnée de sécurité associée. Les opérations peuvent faire l'objet d'une authentification forte du client.
Article 14 - Sécurité des communications et lutte contre l'hameçonnage
L'Éditeur communique avec l'Utilisateur par des canaux maîtrisés, principalement depuis le domaine noryo.fr. Il ne demande jamais le mot de passe de l'Utilisateur, ni la communication d'identifiants bancaires, ni de données de carte par courrier électronique ou par téléphone. Toute sollicitation en ce sens doit être considérée comme une tentative d'hameçonnage et signalée sans délai à legal@noryo.fr.
Article 15 - Sécurité et intelligence artificielle
Les traitements faisant appel à l'intelligence artificielle privilégient, lorsque cela est possible, une exécution sur l'appareil de l'Utilisateur et la transmission des seules informations nécessaires à la réponse. Les garanties associées sont décrites dans la Politique de transparence de l'IA.
Article 16 - Sécurité physique des infrastructures
Le Service s'appuie sur des prestataires d'hébergement dont les centres de données mettent en oeuvre des mesures de sécurité physique, telles que le contrôle des accès, la surveillance et la redondance. L'Éditeur ne gère pas directement ces infrastructures, mais sélectionne ses prestataires en considération de telles garanties.
Article 17 - Sensibilisation et confidentialité
Les personnes habilitées à accéder aux données sont tenues à une obligation de confidentialité et sont sensibilisées aux exigences de sécurité et de protection des données.
Article 18 - Cloisonnement des environnements
Les environnements de développement, de test et de production sont distingués. L'accès aux données de production est restreint aux personnes habilitées et journalisé.
Article 19 - Évaluation et amélioration continue
L'Éditeur procède à des revues de sécurité, tient compte des signalements reçus au titre de la Politique de divulgation responsable et fait évoluer ses mesures afin de maintenir un niveau de protection adapté à l'état de l'art et aux risques.
Article 20 - Limites
Aucun dispositif de sécurité ne peut garantir une protection absolue. L'Éditeur met en oeuvre des mesures proportionnées à l'état de l'art et aux risques, et les fait évoluer régulièrement.