Centre de confiance

1.1 Hébergement / résidence des données        

Selon l'offre souscrite, les données des utilisateurs sont hébergées dans des centres de données situés en Europe, ou aux Etats-Unis.

La plateforme Klaxoon est administrée et opérée depuis l'Europe. 

Pour l'hébergement basé en Europe, la législation européenne en matière de protection des données s'applique (y compris la conformité au RGPD).

Pour l'hébergement basé aux Etats-Unis, les mêmes mesures de protection des données que l'hébergement européen s'appliquent (y compris la conformité CCPA).

1.2 Protection des données

1.2.1 Accès à Klaxoon - login et politique de mot de passe

Les utilisateurs de Klaxoon activent leur compte via un lien d'activation reçu par email. 

Ils protègent l'accès à leurs données en définissant un mot de passe lors de leur première connexion à Klaxoon.

La politique de Klaxoon en matière de mot de passe est conforme aux recommandations du NIST : l'utilisateur doit créer une passphrase ou un mot de passe fort, aidé par un outil de mesure fourni dans l'interface de création de mot de passe. La détection de la force est basée sur la longueur, les dictionnaires, la reconnaissance de motifs ou l'utilisation d'informations personnelles identifiables. Pour plus de clarté, un code couleur représente la force du mot de passe.

1.2.2 Normes d'authentification / SSO

Pour faciliter et respecter les normes d'authentification de nos clients, nous proposons l'intégration SSO :

• Fédération d'identité d'entreprise (SSO privé) : intégration SSO spécifique avec tout fournisseur d'identité compatible SAMLv2 ou OIDC.
• Fédération d'identités en ligne (SSO publics) : plusieurs modes d'authentification en ligne sont disponibles pour faciliter l'accès à Klaxoon.

1.2.3 Organisation et gouvernance de la sécurité

Sur la base des normes ISO, Klaxoon a mis en place une organisation et une gouvernance en matière de sécurité, avec une direction générale de la sécurité, des correspondants sécurité et des experts techniques impliqués dans les opérations quotidiennes.

1.2.4 Sécurité des ressources humaines

Nous veillons à ce que tous les nouveaux embauchés soient soumis à l'obligation de confidentialité contractuelle concernant les informations auxquelles ils ont accès dans l'exercice de leur mission. Ils signent un NDA au moment de l'embauche.

Conformément aux lois en vigueur, des contrôles sont effectués pour tous les nouveaux embauchés. Le personnel de la R&D et de l'administration subit un contrôle spécifique avant de pouvoir accéder aux systèmes et aux bureaux à accès restreint de la R&D.

Les contrats des employés Klaxoon comprennent une charte informatique décrivant leurs obligations en matière de protection des données.

Un programme permanent de sensibilisation des employés à la sécurité et à la confidentialité des données est en place.

1.2.5 Security by Design

La sécurité étant la priorité absolue chez Klaxoon, nous appliquons les meilleures pratiques de sécurité dans les développements contribuant à notre approche Security by Design et au principe de Défense en Profondeur.

Pour sa SDLC sécurisée, l'équipe R&D de Klaxoon utilise une méthodologie basée sur SCRUM avec une intégration de la sécurité aux différentes étapes du cycle de développement.

La sécurité étant au cœur de l'application, Klaxoon met en œuvre les meilleures pratiques recommandées par les projets OWASP SDL (Secure Development Lifecycle) et ASVS (Application Security Verification Standard), dès la phase de conception.

Une attention particulière est accordée aux principaux classements de risques applicatifs tels que les projets OWASP Top 10 ou les CWE Tops. Les tests de sécurité et les jalons sont intégrés dans la SDLC, ils sont réalisés par nos spécialistes de la sécurité.

1.2.6 Chiffrement des données

Vos données sont chiffrées en transit et au repos à l'aide des techniques de chiffrement et des algorithmes les plus robustes et les plus fiables.

En transit : Tous les échanges sont effectués en HTTPS. La session est chiffrée via TLS 1.2 ou supérieur. Seuls les chiffrements forts sont supportés, voir le rapport complet du test SSL sur Qualys SSL Labs (A+ rating).

Les certificats serveur sont contresignés par une autorité de certification reconnue.

Au repos : Les données générées par les utilisateurs sont chiffrées au repos avec un chiffrement de volume conforme à la norme FIPS 140. Niveau de chiffrement: AES-256.

Les mots de passe des utilisateurs sont hachés - algorithme utilisé : Bcrypt.

1.2.7 Protection des paiements

Tous les paiements effectués sur le site sont traités par notre partenaire certifié PCI-DSS. Klaxoon ne conserve à aucun moment les détails des paiements.

1.2.8 Audit de sécurité

La plateforme Klaxoon subit régulièrement des tests de pénétration internes dans le cadre de sa SDLC sécurisée.

Des tests de pénétration externes sont effectués au moins une fois par an par des organismes tiers indépendants certifiés par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Nous nous assurons que l'auditeur suit les méthodologies les plus récentes (comme PTES, NIST).

1.2.9 Gestion des incidents

Le 1er niveau du Support technique est le point d'entrée pour tout incident de sécurité qu'il soit détecté par le client, en interne ou par une source externe comme l'ANSSI.  L'incident est tracé dans un outil de gestion d'incident interne et confirmé par nos équipes d'exploitation. Une adresse email dédiée est mise en place pour le signalement d'un incident de sécurité.

Les niveaux 2 et 3 sont déclenchés suivant le niveau de sévérité de l'incident. A chaque niveau le RSSI de Klaxoon ou ses adjoints directs supervisent les opérations de correction et de communication avec le client et/ou les autorités.

1.3 Infrastructure

1.3.1 Infrastructure sécurisée

L'infrastructure Klaxoon utilise les mesures de sécurité les plus avancées proposées par nos fournisseurs de cloud, notamment : pare-feu à base de règles de filtrage, load-balancing, bouclier anti DDoS, gestion des intrusions.

L'administration de l'infrastructure Klaxoon est gérée par une équipe dédiée mettant en œuvre des contrôles de sécurité de la norme ISO 27001. Tout accès d’administration est effectué par tunnel sécurisé en utilisant le MFA dès que celui-ci est disponible.

Les datacenters hébergeant le service répondent aux exigences Tier III, l'accès physique est contrôlé et surveillé. Nos fournisseurs de cloud sont titulaires de plusieurs certifications, notamment l’ISO 27001 ainsi que les exigences SOC.

1.3.2 Traçabilité

Tous les événements administratifs (journaux du système d'exploitation) sont surveillés et enregistrés.

Tous les événements d'accès générés par les actions des utilisateurs (journaux d'accès webaccess) sont également surveillés et enregistrés.

Les journaux sont centralisés afin de faciliter l'analyse et la corrélation, et sont archivés et chiffrés pendant 12 mois sur des serveurs sécurisés dédiés.

1.3.3 Gestion des vulnérabilités

Des analyses automatiques de vulnérabilité (bibliothèques, middleware, systèmes d'exploitation) sont exécutées sur l'infrastructure Klaxoon. Une politique de gestion des vulnérabilités basée sur des normes reconnues comme CVSS est en place pour garantir l'application de correctifs en temps voulu.

1.3.4 Anti-malware/anti-virus

La plate-forme Klaxon est scannée en permanence, 24 heures sur 24, 7 jours sur 7, et chaque fichier téléchargé sur l’application est analysé en temps réel. La base de données des logiciels malveillants est mise à jour quotidiennement.

1.4 Fonctionnalités de sécurité standard et optionnelles

1.4.1 Authentification & SSO

Par défaut, l'accès à l'application est accordé soit par la fourniture d'un login et d'un mot de passe personnels et nominatifs, soit par les modes d'authentification SSO en ligne disponibles. 

Une intégration SSO privée peut être proposée (SAML). Ce mode d'authentification peut être forcé pour les utilisateurs identifiés, interdisant ainsi tout autre mécanisme d'authentification.

Une fois connecté, les données Klaxoon ne sont accessibles que par leur propriétaire/créateur, et ceux à qui elles ont été partagées (par exemple, sur un Network Klaxoon, tous les abonnés ont accès aux données de ce Network).
En fonction de l'offre souscrite, des fonctionnalités de filtrage plus avancées peuvent être proposées aux entreprises (merci de nous contacter pour plus d'informations).

1.4.2 Accès aux données

L'application permet à un hôte Klaxoon d'inviter des participants aux activités qu'il crée. Par défaut, chaque activité peut être rejointe via une URL unique. Plusieurs mécanismes sont nativement disponibles pour restreindre l'accès aux activités Klaxoon et aux données associées :

• Verrouillage des activités : l'hôte peut désactiver la possibilité de rejoindre une activité via une URL ou un code de session. Ainsi, il gère les participants directement via l'interface Klaxoon. Le verrouillage peut être effectué à tout moment de la vie de l'activité
• Gestion des droits d'accès dans Board : réglage des possibilités d'interaction des participants au sein des Boards
• Les Networks Klaxoon : un ensemble d'activités Klaxon regroupées dans un espace dont l'accès est géré par le créateur du Network via des invitations. Les invitations sont envoyées par email, elles sont personnelles, non transférables et valables une seule fois.

Selon l'offre souscrite, certaines mesures de restriction supplémentaires sont disponibles (veuillez nous contacter pour plus d'informations sur l'éligibilité) :

• Restreindre l'accès aux membres de toute une organisation: interdit l'accès aux activités de votre organisation par des utilisateurs externes
• Restriction des téléchargements de fichiers : supprime la possibilité de télécharger des fichiers pendant les activités pour les utilisateurs déclarés, ainsi que la récupération de contenu Klaxoon en format fichier local
• Restrictions réseau/IP : restreint l'accès à Klaxoon à l'aide de filtres au niveau réseau et IP.  

1.5 Politique de divulgation coordonnée des vulnérabilités

Klaxoon dispose d'une politique de divulgation coordonnée des vulnérabilités pour les chercheurs en sécurité qui souhaitent signaler des problèmes de sécurité potentiels à l'équipe Klaxoon.

Cette politique est disponible ici.

2.1 Disponibilité & évolutivité

Le service Klaxoon est disponible et surveillé 24 heures sur 24, 7 jours sur 7. Au cours des 12 derniers mois, la disponibilité mesurée du service est supérieure à 99,5%.

L'infrastructure offre une évolutivité automatique et une résilience élevée: les composants logiciels critiques sont redondés sur différents serveurs.

Lorsqu'il est disponible, chaque déploiement est effectué dans plusieurs "zones de disponibilité".

2.2 Sauvegarde

Des sauvegardes complètes sont stockées chiffrées sur un site distant au moins une fois par jour. Les transactions sont sauvegardées en continu. 

Des tests de restauration des sauvegardes sont effectués régulièrement. La rétention des sauvegardes est de 4 semaines.

2.3 Reprise d'activité

En cas de sinistre affectant les infrastructures nominales hébergeant le service, le plan de reprise d’activité après sinistre de Klaxoon prévoit la possibilité d'activer des sites de reprise.

Les engagements de niveaux de service sur la reprise après sinistre sont les suivants:

• Temps de rétablissement du service (RTO) : 72 heures
• Perte de données maximale admissible (RPO) : 24 heures.

3.6 Mentions légales

Le site Internet (https://klaxoon.com) est exploité par Klaxoon, société par actions simplifiées immatriculée au RCS de Rennes sous le numéro 511 962 219 dont le siège social est situé au 3 avenue Belle Fontaine 35510 Cesson-Sévigné, France et dont le numéro de TVA intracommunautaire est FR18511962219.

Directeur de la publication : Monsieur Hervé Simonin, CEO.
Numéro de téléphone : +33 (0)2 22 74 06 70
Adresse email : legal@klaxoon.com

Le site Internet (https://klaxoon.com) est hébergé par Webflow, Inc. 398 11th Street, 2nd Floor, San Francisco, CA 94103, contact@webflow.com et pour certaines pages par Amazon Web Services (AWS) dont l’adresse est Clonshaugh Road, Clonshaugh, Dublin 17 Ireland (+1 844-902-4700).

4.1 Conformité des données personnelles

La gestion des données personnelles est conforme aux lois applicables en matière de protection des données, telles que le Règlement Général européen sur la Protection des Données Regulation (RGPD) ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Pour plus d'informations sur la manière dont nous traitons les données personnelles, veuillez  lire notre politique de confidentialité et notre contrat de traitement des données à caractère personnel.

Les données personnelles sont hébergées sur une infrastructure certifiée ISO 27018. L'utilisateur est informé de ses droits lors de sa première connexion par la lecture des conditions générales d'utilisation.

4.2 Réglementations, certifications et standards

4.2.1 Exploitation et hébergement cloud certifiés

Klaxoon est conforme au standard SOC2 Type2 (Service Organization Control 2, Type 2). Un audit annuel est réalisé, portant sur l'adéquation de la conception et l'efficacité opérationnelle des contrôles Klaxoon. Le rapport Type2 atteste de l'excellence des contrôles dans les domaines de la sécurité, de la disponibilité et de la confidentialité.

L'administration de l'infrastructure Klaxoon est gérée par une équipe d'exploitation dédiée et certifiée ISO 27001.

Les fournisseurs d'hébergement du cloud Klaxoon détiennent plusieurs certifications, notamment ISO 27001, ISO 27017 & 27018, ISO 9001, HDS / HDA, PCI DSS, SOC 1 & 2, entre autres.

4.2.2 Normes de conception et de tests sécurisés

Dès sa conception, l'application Klaxoon met en œuvre des normes de sécurité et des bonnes pratiques basées sur la SDL de l'OWASP, ainsi que sur les référentiels de l'ANSSI et du NIST.

Klaxoon effectue des tests de pénétration réalisés par un auditeur tiers indépendant certifié par l'ANSSI.

Chez Klaxoon, nous voulons offrir une expérience collaborative où chacun peut facilement participer, où l’information est claire et accessible, où les décisions sont faites grâce à des résultats concrets, où nous avançons tous en équipe, que l’on soit sur site ou en distanciel. 

Pour cela, nous faisons en sorte de fournir des activités accessibles à tous les individus, y compris aux utilisateurs qui ont besoin d’aide via des logiciels de reconnaissance du langage ou de lecture d’écran.

Dans notre roadmap, notre objectif est d’atteindre graduellement un plus haut niveau d’accessibilité sur l’application Klaxoon ainsi que notre site web. 

5.1 Les mesures que nous prenons pour favoriser l'accessibilité

Klaxoon prend les mesures suivantes pour assurer l'accessibilité de l'application et de notre site internet :

• Inclure l'accessibilité dans notre mission ;
• Nommer un responsable de l'accessibilité et former régulièrement nos équipes à l'accessibilité ;
• Inclure les personnes handicapées dans nos personas de conception ;
• Définir une roadmap claire dédiée à l'accessibilité avec des objectifs et des responsabilités clairs ;
• Réaliser des audits par une tierce partie.

5.2 Statut de conformité

Les directives d'accessibilité au contenu Web (WCAG) définissent les exigences pour les concepteurs et les développeurs afin d'améliorer l'accessibilité pour les personnes en situation de handicap. Elles définissent trois niveaux de conformité : Niveau A, Niveau AA et Niveau AAA. 

Klaxoon est partiellement conforme aux normes WCAG 2.1 niveau AA et RGAA 4.1. Une conformité partielle signifie que certaines parties du contenu ne sont pas entièrement conformes à la norme d'accessibilité.

Le dernier audit porte sur le processus de connexion, la page d'accueil, le menu du profil et certaines fonctionnalités communes utilisées dans les activités Klaxoon, en mettant l'accent sur les activités "Board" et "Aventure". Notre score moyen de conformité aux critères WCAG 2.1 niveau AA est actuellement de 87 % pour ce champ d'application.

5.3 Principes généraux d'accessibilité et caractéristiques de l'application Klaxoon

• Mode contraste élevé :

1. Un bouton “augmenter les contrastes” est disponible à partir du formulaire de connexion ainsi que dans le profil de l’utilisateur
2. Dans “Board”: Mode "contraste élevé", mode "nuit" et niveau de zoom réglable pour améliorer encore plus la lisibilité.

• Navigation au clavier : touche de tabulation, touches de raccourci
• Lecteur d'écran : toutes les pages sont lisibles par les outils de lecture d'écran
• Accéder au contenu : pour activer le mode "Accéder au contenu", vous devez appuyer sur la touche TAB comme première action lorsque vous accédez à la page
• Heading : cohérence des titres de pages HTML (H1, H2...) dans toutes les pages
• Utilisation d'ARIA : attributs spécifiques ajoutés aux pages HTML pour améliorer la lecture à l'écran.

5.4 Spécifications techniques, compatibilité avec les navigateurs et les technologies d'assistance

L'accessibilité de Klaxoon repose sur les technologies suivantes, qui fonctionnent avec une combinaison du navigateur web et de technologies d'assistance ou de plugins installés sur votre terminal :

• HTML
• WAI-ARIA
• CSS
• JavaScript

La conformité aux normes d'accessibilité utilisées repose sur ces technologies.

Navigateurs pris en charge : veuillez consulter la liste mise à jour.

Lecteurs d'écran testés : VoiceOver (meilleure expérience utilisateur avec le navigateur Apple Safari), NVDA

5.5 Limitations et alternatives

Malgré tous nos efforts pour assurer l'accessibilité de Klaxoon, il existe des limitations identifiées. Dans le cadre de notre engagement d'accessibilité, nous consacrons un effort constant pour améliorer l'accessibilité et combler les lacunes restantes.

Vous pouvez nous contacter à l’adresse accessibility@klaxoon.com si vous observez un problème qui limite votre utilisation du site web Klaxoon ou de l'application ou que vous avez la moindre question.

5.6 Feedback

Si vous souhaitez nous faire part de vos commentaires ou aider nos équipes à faire de Klaxoon un produit encore plus accessible, veuillez nous contacter à : accessibility@klaxoon.com

Dernière mise à jour de cette déclaration : mars 2024.