Centre de confiance
Selon l'offre souscrite, les données des utilisateurs sont hébergées dans des centres de données situés en Europe, ou aux Etats-Unis.
La plateforme Klaxoon est administrée et opérée depuis l'Europe.
Pour l'hébergement basé en Europe, la législation européenne en matière de protection des données s'applique (y compris la conformité au RGPD).
Pour l'hébergement basé aux Etats-Unis, les mêmes mesures de protection des données que l'hébergement européen s'appliquent (y compris la conformité CCPA).
Les utilisateurs de Klaxoon activent leur compte via un lien d'activation reçu par email.
Ils protègent l'accès à leurs données en définissant un mot de passe lors de leur première connexion à Klaxoon.
La politique de Klaxoon en matière de mot de passe est conforme aux recommandations du NIST : l'utilisateur doit créer une passphrase ou un mot de passe fort, aidé par un outil de mesure fourni dans l'interface de création de mot de passe. La détection de la force est basée sur la longueur, les dictionnaires, la reconnaissance de motifs ou l'utilisation d'informations personnelles identifiables. Pour plus de clarté, un code couleur représente la force du mot de passe.
Pour faciliter et respecter les normes d'authentification de nos clients, nous proposons l'intégration SSO :
Sur la base des normes ISO, Klaxoon a mis en place une organisation et une gouvernance en matière de sécurité, avec une direction générale de la sécurité, des correspondants sécurité et des experts techniques impliqués dans les opérations quotidiennes.
Nous veillons à ce que tous les nouveaux embauchés soient soumis à l'obligation de confidentialité contractuelle concernant les informations auxquelles ils ont accès dans l'exercice de leur mission. Ils signent un NDA au moment de l'embauche.
Conformément aux lois en vigueur, des contrôles sont effectués pour tous les nouveaux embauchés. Le personnel de la R&D et de l'administration subit un contrôle spécifique avant de pouvoir accéder aux systèmes et aux bureaux à accès restreint de la R&D.
Les contrats des employés Klaxoon comprennent une charte informatique décrivant leurs obligations en matière de protection des données.
Un programme permanent de sensibilisation des employés à la sécurité et à la confidentialité des données est en place.
La sécurité étant la priorité absolue chez Klaxoon, nous appliquons les meilleures pratiques de sécurité dans les développements contribuant à notre approche Security by Design et au principe de Défense en Profondeur.
Pour sa SDLC sécurisée, l'équipe R&D de Klaxoon utilise une méthodologie basée sur SCRUM avec une intégration de la sécurité aux différentes étapes du cycle de développement.
La sécurité étant au cœur de l'application, Klaxoon met en œuvre les meilleures pratiques recommandées par les projets OWASP SDL (Secure Development Lifecycle) et ASVS (Application Security Verification Standard), dès la phase de conception.
Une attention particulière est accordée aux principaux classements de risques applicatifs tels que les projets OWASP Top 10 ou les CWE Tops. Les tests de sécurité et les jalons sont intégrés dans la SDLC, ils sont réalisés par nos spécialistes de la sécurité.
Vos données sont chiffrées en transit et au repos à l'aide des techniques de chiffrement et des algorithmes les plus robustes et les plus fiables.
En transit : Tous les échanges sont effectués en HTTPS. La session est chiffrée via TLS 1.2 ou supérieur. Seuls les chiffrements forts sont supportés, voir le rapport complet du test SSL sur Qualys SSL Labs (A+ rating).
Les certificats serveur sont contresignés par une autorité de certification reconnue.
Au repos : Les données générées par les utilisateurs sont chiffrées au repos avec un chiffrement de volume conforme à la norme FIPS 140. Niveau de chiffrement: AES-256.
Les mots de passe des utilisateurs sont hachés - algorithme utilisé : Bcrypt.
Tous les paiements effectués sur le site sont traités par notre partenaire certifié PCI-DSS. Klaxoon ne conserve à aucun moment les détails des paiements.
La plateforme Klaxoon subit régulièrement des tests de pénétration internes dans le cadre de sa SDLC sécurisée.
Des tests de pénétration externes sont effectués au moins une fois par an par des organismes tiers indépendants certifiés par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Nous nous assurons que l'auditeur suit les méthodologies les plus récentes (comme PTES, NIST).
Le 1er niveau du Support technique est le point d'entrée pour tout incident de sécurité qu'il soit détecté par le client, en interne ou par une source externe comme l'ANSSI. L'incident est tracé dans un outil de gestion d'incident interne et confirmé par nos équipes d'exploitation. Une adresse email dédiée est mise en place pour le signalement d'un incident de sécurité.
Les niveaux 2 et 3 sont déclenchés suivant le niveau de sévérité de l'incident. A chaque niveau le RSSI de Klaxoon ou ses adjoints directs supervisent les opérations de correction et de communication avec le client et/ou les autorités.
L'infrastructure Klaxoon utilise les mesures de sécurité les plus avancées proposées par nos fournisseurs de cloud, notamment : pare-feu à base de règles de filtrage, load-balancing, bouclier anti DDoS, gestion des intrusions.
L'administration de l'infrastructure Klaxoon est gérée par une équipe dédiée mettant en œuvre des contrôles de sécurité de la norme ISO 27001. Tout accès d’administration est effectué par tunnel sécurisé en utilisant le MFA dès que celui-ci est disponible.
Les datacenters hébergeant le service répondent aux exigences Tier III, l'accès physique est contrôlé et surveillé. Nos fournisseurs de cloud sont titulaires de plusieurs certifications, notamment l’ISO 27001 ainsi que les exigences SOC.
Tous les événements administratifs (journaux du système d'exploitation) sont surveillés et enregistrés.
Tous les événements d'accès générés par les actions des utilisateurs (journaux d'accès webaccess) sont également surveillés et enregistrés.
Les journaux sont centralisés afin de faciliter l'analyse et la corrélation, et sont archivés et chiffrés pendant 12 mois sur des serveurs sécurisés dédiés.
Des analyses automatiques de vulnérabilité (bibliothèques, middleware, systèmes d'exploitation) sont exécutées sur l'infrastructure Klaxoon. Une politique de gestion des vulnérabilités basée sur des normes reconnues comme CVSS est en place pour garantir l'application de correctifs en temps voulu.
La plate-forme Klaxon est scannée en permanence, 24 heures sur 24, 7 jours sur 7, et chaque fichier téléchargé sur l’application est analysé en temps réel. La base de données des logiciels malveillants est mise à jour quotidiennement.
Par défaut, l'accès à l'application est accordé soit par la fourniture d'un login et d'un mot de passe personnels et nominatifs, soit par les modes d'authentification SSO en ligne disponibles.
Une intégration SSO privée peut être proposée (SAML). Ce mode d'authentification peut être forcé pour les utilisateurs identifiés, interdisant ainsi tout autre mécanisme d'authentification.
Une fois connecté, les données Klaxoon ne sont accessibles que par leur propriétaire/créateur, et ceux à qui elles ont été partagées (par exemple, sur un Network Klaxoon, tous les abonnés ont accès aux données de ce Network).
En fonction de l'offre souscrite, des fonctionnalités de filtrage plus avancées peuvent être proposées aux entreprises (merci de nous contacter pour plus d'informations).
L'application permet à un hôte Klaxoon d'inviter des participants aux activités qu'il crée. Par défaut, chaque activité peut être rejointe via une URL unique. Plusieurs mécanismes sont nativement disponibles pour restreindre l'accès aux activités Klaxoon et aux données associées :
Selon l'offre souscrite, certaines mesures de restriction supplémentaires sont disponibles (veuillez nous contacter pour plus d'informations sur l'éligibilité) :
Klaxoon dispose d'un programme privé de Bug Bounty pour les chercheurs en sécurité qui souhaitent signaler des problèmes de sécurité potentiels à l'équipe Klaxoon.
Cette politique ainsi que le formulaire de déclaration sont disponibles ici.
Le service Klaxoon est disponible et surveillé 24 heures sur 24, 7 jours sur 7. Au cours des 12 derniers mois, la disponibilité mesurée du service est supérieure à 99,5%.
L'infrastructure offre une évolutivité automatique et une résilience élevée: les composants logiciels critiques sont redondés sur différents serveurs.
Lorsqu'il est disponible, chaque déploiement est effectué dans plusieurs "zones de disponibilité".
Des sauvegardes complètes sont stockées chiffrées sur un site distant au moins une fois par jour. Les transactions sont sauvegardées en continu.
Des tests de restauration des sauvegardes sont effectués régulièrement. La rétention des sauvegardes est de 4 semaines.
En cas de sinistre affectant les infrastructures nominales hébergeant le service, le plan de reprise d’activité après sinistre de Klaxoon prévoit la possibilité d'activer des sites de reprise.
Les engagements de niveaux de service sur la reprise après sinistre sont les suivants:
Conditions générales de service
Conditions générales de service — eshop
Conditions générales d'utilisation
API Klaxoon - Conditions d'utilisation
Le site Internet (https://klaxoon.com) est exploité par Wrike, Inc., immatriculée au 550 West B Street, Floor 4, PMB 2305, San Diego, CA 92101, États-Unis.
Directeur de la publication : Monsieur Thomas Scott, CEO.
Adresse email : [email protected]
Le site Internet (https://klaxoon.com) est hébergé par Webflow, Inc. 398 11th Street, 2nd Floor, San Francisco, CA 94103, [email protected] et pour certaines pages par Amazon Web Services (AWS) dont l’adresse est Clonshaugh Road, Clonshaugh, Dublin 17 Ireland (+1 844-902-4700).
La gestion des données personnelles est conforme aux lois applicables en matière de protection des données, telles que le Règlement Général européen sur la Protection des Données Regulation (RGPD) ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
Pour plus d'informations sur la manière dont nous traitons les données personnelles, veuillez lire notre politique de confidentialité et notre contrat de traitement des données à caractère personnel.
Les données personnelles sont hébergées sur une infrastructure certifiée ISO 27018. L'utilisateur est informé de ses droits lors de sa première connexion par la lecture des conditions générales d'utilisation.
Contrat de traitement des données à caractère personnel
Klaxoon est conforme au standard SOC2 Type2 (Service Organization Control 2, Type 2). Un audit annuel est réalisé, portant sur l'adéquation de la conception et l'efficacité opérationnelle des contrôles Klaxoon. Le rapport Type2 atteste de l'excellence des contrôles dans les domaines de la sécurité, de la disponibilité et de la confidentialité.
L'administration de l'infrastructure Klaxoon est gérée par une équipe d'exploitation dédiée et certifiée ISO 27001.
Les fournisseurs d'hébergement du cloud Klaxoon détiennent plusieurs certifications, notamment ISO 27001, ISO 27017 & 27018, ISO 9001, HDS / HDA, PCI DSS, SOC 1 & 2, entre autres.
Dès sa conception, l'application Klaxoon met en œuvre des normes de sécurité et des bonnes pratiques basées sur la SDL de l'OWASP, ainsi que sur les référentiels de l'ANSSI et du NIST.
Klaxoon effectue des tests de pénétration réalisés par un auditeur tiers indépendant certifié par l'ANSSI.
Chez Klaxoon, nous voulons offrir une expérience collaborative où chacun peut facilement participer, où l’information est claire et accessible, où les décisions sont faites grâce à des résultats concrets, où nous avançons tous en équipe, que l’on soit sur site ou en distanciel.
Pour cela, nous faisons en sorte de fournir des activités accessibles à tous les individus, y compris aux utilisateurs qui ont besoin d’aide via des logiciels de reconnaissance du langage ou de lecture d’écran.
Dans notre roadmap, notre objectif est d’atteindre graduellement un plus haut niveau d’accessibilité sur l’application Klaxoon ainsi que notre site web.
Klaxoon prend les mesures suivantes pour assurer l'accessibilité de l'application et de notre site internet :
Les directives d'accessibilité au contenu Web (WCAG) définissent les exigences pour les concepteurs et les développeurs afin d'améliorer l'accessibilité pour les personnes en situation de handicap. Elles définissent trois niveaux de conformité : Niveau A, Niveau AA et Niveau AAA.
Klaxoon est partiellement conforme aux normes WCAG 2.1 niveau AA et RGAA 4.1. Une conformité partielle signifie que certaines parties du contenu ne sont pas entièrement conformes à la norme d'accessibilité.
Le dernier audit porte sur le processus de connexion, la page d'accueil, le menu du profil et certaines fonctionnalités communes utilisées dans les activités Klaxoon, en mettant l'accent sur les activités "Board" et "Aventure". Notre score moyen de conformité aux critères WCAG 2.1 niveau AA est actuellement de 87 % pour ce champ d'application.
L'accessibilité de Klaxoon repose sur les technologies suivantes, qui fonctionnent avec une combinaison du navigateur web et de technologies d'assistance ou de plugins installés sur votre terminal :
La conformité aux normes d'accessibilité utilisées repose sur ces technologies.
Navigateurs pris en charge : veuillez consulter la liste mise à jour.
Lecteurs d'écran testés : VoiceOver (meilleure expérience utilisateur avec le navigateur Apple Safari), NVDA
Malgré tous nos efforts pour assurer l'accessibilité de Klaxoon, il existe des limitations identifiées. Dans le cadre de notre engagement d'accessibilité, nous consacrons un effort constant pour améliorer l'accessibilité et combler les lacunes restantes.
Vous pouvez nous contacter à l’adresse [email protected] si vous observez un problème qui limite votre utilisation du site web Klaxoon ou de l'application ou que vous avez la moindre question.
Si vous souhaitez nous faire part de vos commentaires ou aider nos équipes à faire de Klaxoon un produit encore plus accessible, veuillez nous contacter à : [email protected]
Dernière mise à jour de cette déclaration : mars 2024.