Politique de sécurité

1er mai 2025

Sommaire exécutif

Streya Technologies Inc. offre une plateforme SaaS sécurisée qui facilite le partage contrôlé de données entre les écosystèmes SaaS tiers et les consommateurs autorisés. Ce document présente notre programme de sécurité complet, conçu pour protéger les données des clients, maintenir l’intégrité du système et assurer la conformité aux normes de l’industrie, notamment SOC 2, RGPD, HIPAA et les lois canadiennes sur la protection de la vie privée (p. ex., Loi 25).

Notre approche de la sécurité repose sur cinq principes fondamentaux :

  1. Architecture à confiance zéro : Nous vérifions chaque demande d’accès, quelle que soit sa source ou son emplacement
  2. Confidentialité des données : Nous ne stockons que les données avec consentement explicite et les protégeons avec des méthodes de sécurité appropriées
  3. Accès au privilège minimal : Nous limitons l’accès basé sur le rôle et le besoin d’en connaître et révisons régulièrement les autorisations
  4. Sécurité dès la conception : Nos contrôles de sécurité sont intégrés dans le développement, de la planification au déploiement
  5. Surveillance continue : Nous surveillons activement les événements de sécurité, analysons les journaux et répondons rapidement aux incidents

De plus, nous voulons que les utilisateurs professionnels comprennent pleinement les mesures de sécurité en place pour protéger leurs données :

  • Contrôle complet des données : Vous décidez exactement quelles données Streya peut consulter. Seules les informations explicitement sélectionnées dans votre espace de travail sont synchronisées. Toute donnée non spécifiquement choisie reste intacte et inaccessible à nos systèmes.
  • Protection intégrée de la vie privée : Notre plateforme identifie automatiquement les champs sensibles pouvant contenir des renseignements personnels identifiables (RPI) et applique des méthodes de protection appropriées : anonymisation, chiffrement ou hachage. Les données brutes non protégées ne sont jamais stockées dans nos systèmes.
  • Vérification indépendante régulière : Notre architecture de sécurité fait l’objet d’audits réguliers par des experts en sécurité certifiés pour valider notre conformité aux normes de l’industrie et garantir que nous suivons les meilleures pratiques.

Cette politique s’applique à tous les employés, clients, utilisateurs, partenaires et utilisateurs finaux de la plateforme Streya. Toutes les parties sont tenues de respecter ces politiques selon leur rôle.

1. Gouvernance et administration

1.1 Parties concernées

Ce document traite de la relation de sécurité entre :

  • Streya Technologies Inc. (« Fournisseur ») : Entité juridique constituée au Canada (4629 Av. Christophe-Colomb, Montréal, Qc, Canada, H2J 3G7)
  • Employés : Personnes employées par Streya Technologies Inc.
  • Clients : Organisations utilisant l’application Streya
  • Utilisateurs : Employés des clients qui utilisent l’application Streya
  • Partenaires : Organisations qui s’intègrent aux instances de Streya des clients
  • Utilisateurs finaux : Employés des partenaires qui interagissent avec l’application Streya

1.2 Direction de la sécurité

Responsable de la sécurité :
Matthew Bélair, PDG
matthew@streya.app
(514) 291-7424

Le responsable de la sécurité est chargé de :

  • Superviser le programme de sécurité
  • Approuver l’accès aux systèmes sensibles
  • Gérer le processus de réponse aux incidents
  • Assurer la conformité à cette politique de sécurité
  • Servir de point de contact principal pour les questions de sécurité

1.3 Application de la politique

Les violations de cette politique peuvent entraîner :

  • Une formation corrective de sensibilisation à la sécurité
  • La révocation de l’accès au système
  • Des mesures disciplinaires pouvant aller jusqu’au licenciement
  • Des poursuites judiciaires, le cas échéant

Toutes les mesures d’application de la politique seront documentées et soumises à un examen approprié.

2. Cadre de protection des données

2.1 Classification des données

Streya traite les types d’informations suivants (« Informations »), le cas échéant :

  • Données client : Coordonnées, informations démographiques, historique de communication, pipeline de vente, détails du compte et autres données fournies via le catalogue d’intégrations de Streya
  • Données de transaction : Registres de vente, informations sur les prix, niveaux d’inventaire et autres données fournies via le catalogue d’intégrations de Streya
  • Données opérationnelles : Informations sur les opérations commerciales, y compris les données financières, les informations sur les employés et autres données fournies via le catalogue d’intégrations de Streya
  • Autres : Toute autre donnée fournie via le catalogue d’intégrations de Streya

Streya déploie des efforts raisonnables pour s’assurer que les renseignements personnels identifiables (RPI) sont correctement hachés, chiffrés ou anonymisés avant d’être stockés dans les bases de données. Cela se fait en identifiant les champs de données susceptibles de contenir des RPI et en bloquant d’autres types de transformation dans l’interface utilisateur. Le Fournisseur ne stocke aucune Information qui n’a pas été explicitement partagée par le Client ou le Partenaire.

2.2 Demandes de suppression de données

Les clients peuvent demander la suppression définitive de toutes les données associées à toute intégration provenant du catalogue d’intégrations de Streya. Dès réception d’une telle demande, Streya supprimera les données spécifiées de tous les systèmes actifs et des sauvegardes, dans les délais légalement autorisés, sous réserve des exigences réglementaires ou contractuelles applicables en matière de conservation. Les actions de suppression sont consignées et vérifiées par le Responsable de la sécurité.

2.3 Contrôles d’accès aux données

  1. Streya met en œuvre des contrôles d’accès basés sur le principe du privilège minimal. Les employés ne reçoivent que l’accès nécessaire à l’exécution de leurs fonctions.

  2. Tout accès à la base de données nécessite :

    • Une authentification via le VPN sécurisé de l’entreprise
    • Une authentification multifactorielle (AMF)
    • Une approbation explicite du responsable de la sécurité
    • Une justification professionnelle

  3. Les droits d’accès aux systèmes de production sont révisés trimestriellement pour s’assurer qu’ils demeurent appropriés.

  4. L’accès aux systèmes sensibles est automatiquement révoqué lorsque le statut d’un employé change (p. ex., cessation d’emploi, changement de rôle).

  5. Les journaux d’accès aux bases de données sont conservés et régulièrement examinés pour détecter les tentatives d’accès non autorisées.

2.4 Chiffrement des données

  1. Toutes les données sont chiffrées au repos à l’aide du chiffrement AES-256 de norme industrielle dans toutes les bases de données.

  2. Toutes les données en transit sont chiffrées à l’aide de TLS 1.3 ou supérieur.

  3. Les clés de chiffrement sont gérées à l’aide d’un système sécurisé de gestion des clés avec rotation régulière et contrôles d’accès stricts.

  4. Les renseignements personnels identifiables (RPI) sont chiffrés, hachés ou anonymisés avant le stockage en fonction de la sensibilité des données et des préférences du client.

  5. L’implémentation du chiffrement est révisée annuellement par des professionnels qualifiés en sécurité.

2.5 Prévention des fuites de données

  1. Tout accès aux bases de données de production nécessite une connexion via le VPN sécurisé de Streya.

  2. L’exposition d’informations dans les journaux et les systèmes de surveillance est strictement interdite. Le contenu des journaux est automatiquement analysé pour prévenir l’inclusion de données sensibles.

  3. Les demandes API non autorisées déclenchent des notifications immédiates au responsable de la sécurité qui peut ajouter des adresses IP inconnues à la liste noire de l’entreprise.

  4. Après 5 tentatives de connexion infructueuses, les comptes utilisateur sont automatiquement verrouillés et le responsable de la sécurité est notifié.

  5. Des outils automatisés de prévention de la perte de données (DLP) analysent les expositions potentielles de données dans les systèmes de l’entreprise.

  6. Des tests réguliers de pénétration et d’analyse des vulnérabilités vérifient l’efficacité des contrôles de protection des données.

  7. Les tentatives d’accès à des informations en dehors du champ d’autorisation d’un utilisateur déclenchent des alertes immédiates et le blocage de l’accès.

3. Gestion des accès

3.1 Exigences d’authentification

  1. La plateforme Streya impose des exigences de mot de passe robustes pour tous les utilisateurs :

    • Minimum 8 caractères
    • Une force minimale de mot de passe est appliquée avec un score de 3 ou plus
    • Pas de mots ou de modèles courants du dictionnaire, alimenté par HaveIBeenPwned
    • Pas de réutilisation de mot de passe pendant 24 cycles de mot de passe

  2. L’authentification multifactorielle (AMF) est requise pour :

    • Tout accès des employés aux systèmes de l’entreprise
    • Les comptes administratifs des clients
    • L’accès aux données ou fonctions sensibles

  3. L’authentification unique (SSO) est disponible et recommandée pour les clients d’entreprise.

  4. La plateforme comprend une détection des robots et des attaques par force brute avec blocage automatique des activités suspectes.

  5. La protection contre les fuites de mots de passe alerte les utilisateurs si leurs identifiants apparaissent dans des bases de données connues de violation.

3.2 Contrôles d’autorisation

  1. Le contrôle d’accès basé sur les rôles (RBAC) régit l’accès au système, avec des rôles prédéfinis pour différents types d’utilisateurs.

  2. L’accès aux données des clients est limité aux utilisateurs autorisés au sein de l’organisation du client et aux partenaires explicitement autorisés.

  3. L’accès des partenaires nécessite une autorisation explicite du client et se limite aux données spécifiques nécessaires.

  4. Les tentatives d’accès en dehors du champ d’autorisation d’un utilisateur déclenchent des alertes immédiates et sont bloquées.

  5. L’accès aux comptes privilégiés est limité au personnel essentiel et soumis à une surveillance accrue.

4. Gestion des risques liés aux tiers

4.1 Évaluation des sous-traitants

  1. Tous les sous-traitants font l’objet d’une évaluation de sécurité complète avant l’engagement, comprenant :

    • Examen des certifications de sécurité (SOC 2, ISO 27001, etc.)
    • Évaluation des politiques et capacités de protection des données
    • Évaluation des procédures de réponse aux incidents
    • Vérification de la conformité aux lois et réglementations applicables

  2. Les sous-traitants doivent satisfaire ou dépasser les exigences de sécurité de Streya et s’engager contractuellement à maintenir ces normes.

  3. Les sous-traitants actuels comprennent :

    • Amazon Web Services (AWS) : Fournisseur d’hébergement (conforme SOC 2 Type 2, HIPAA, CCPA)
    • Nango : Gestion des connexions API (conforme SOC 2 Type 2, RGPD)
    • Clerk : Services d’authentification (conforme SOC 2 Type 2, HIPAA, CCPA)

4.2 Gestion continue des sous-traitants

  1. Tous les sous-traitants sont formellement révisés au moins une fois par an pour vérifier leur conformité continue.

  2. Les clients sont avisés 30 jours à l’avance de tout changement important dans les relations avec les sous-traitants.

  3. Les sous-traitants sont contractuellement obligés de signaler les incidents de sécurité qui pourraient affecter les données des clients.

  4. Une liste à jour des sous-traitants est maintenue et disponible pour les clients sur demande.

5. Sécurité du personnel

5.1 Obligations des employés

  1. Tous les employés doivent suivre une formation de sensibilisation à la sécurité :

    • À l’embauche
    • Annuellement par la suite
    • Après des changements importants dans la politique de sécurité

  2. Les employés doivent activer et utiliser l’AMF sur tous les systèmes de l’entreprise et les systèmes tiers. Le responsable de la sécurité vérifie la conformité mensuellement.

  3. Les employés doivent maintenir une politique de « bureau propre », garantissant que :

    • Les ordinateurs sont verrouillés lorsqu’ils sont sans surveillance
    • Les informations sensibles ne sont pas laissées visibles
    • Les appareils mobiles sont sécurisés lorsqu’ils ne sont pas utilisés

  4. Des mots de passe forts et uniques doivent être utilisés pour tous les systèmes de l’entreprise conformément à la section Exigences d’authentification.

  5. Des vérifications des antécédents sont effectuées pour tous les employés avant qu’ils ne reçoivent l’accès aux systèmes ou données sensibles.

5.2 Pratiques de travail sécurisées

  1. Les visiteurs de l’entreprise doivent être escortés en tout temps par des employés autorisés et leur accès limité aux zones appropriées.

  2. Le partage d’informations est limité aux systèmes et canaux de communication approuvés par l’entreprise.

  3. Les travailleurs à distance doivent prendre des précautions supplémentaires, notamment :

    • Travailler dans des lieux privés
    • Utiliser le VPN de l’entreprise pour toutes les activités de travail
    • Sécuriser les appareils lorsqu’ils ne sont pas utilisés
    • Utiliser uniquement des appareils approuvés pour accéder aux systèmes de l’entreprise

  4. Les employés doivent immédiatement signaler les préoccupations de sécurité au responsable de la sécurité, notamment :

    • Appareils perdus ou volés
    • Soupçons de violations de données
    • Violations potentielles de la politique
    • Vulnérabilités de sécurité

5.3 Procédures de cessation d’emploi

  1. Les employés dont l’emploi prend fin doivent :

    • Retourner tout l’équipement de l’entreprise
    • Retourner tous les documents contenant des informations sensibles
    • Voir tous leurs accès aux systèmes révoqués immédiatement

  2. Les obligations légales concernant la confidentialité survivent à la cessation d’emploi.

6. Réponse aux incidents

6.1 Catégories d’incidents

Les incidents de sécurité sont classés comme suit :

  • Critique : Violation confirmée de données, compromission du système ou autre événement ayant un impact commercial significatif
  • Majeur : Exposition présumée de données, perturbation significative du système ou activité de menace persistante avancée
  • Mineur : Violation isolée de la politique, logiciel malveillant contenu ou autre événement à portée limitée

6.2 Processus de réponse aux incidents

  1. Détection et signalement : Tous les employés doivent immédiatement signaler les incidents de sécurité suspectés au responsable de la sécurité.

  2. Évaluation et classification : Le responsable de la sécurité évaluera et classifiera les incidents signalés.

  3. Confinement : Des actions immédiates seront prises pour contenir l’incident et prévenir d’autres dommages.

  4. Enquête : Une enquête approfondie sera menée pour déterminer l’étendue et l’impact.

  5. Correction : Des mesures seront prises pour traiter la cause première et prévenir la récurrence.

  6. Notification : Les parties concernées seront notifiées conformément aux obligations contractuelles et aux exigences réglementaires.

  7. Documentation : Tous les incidents et les actions de réponse seront documentés de façon exhaustive.

7. Conformité et audit

7.1 Évaluations de sécurité

  1. Streya effectue régulièrement des évaluations de sécurité, notamment :

    • Tests de pénétration annuels
    • Analyse trimestrielle des vulnérabilités
    • Surveillance continue automatisée de la sécurité
    • Révisions régulières de la sécurité du code

  2. Les résultats des évaluations de sécurité sont examinés par le responsable de la sécurité et traités selon le niveau de risque.

8. Continuité des activités

8.1 Sauvegarde et récupération des données

  1. Les données des clients sont sauvegardées quotidiennement avec une rétention conforme aux exigences de classification des données.

  2. Les systèmes de sauvegarde sont chiffrés et soumis aux mêmes contrôles de sécurité que les systèmes de production.

  3. La restauration des sauvegardes est testée trimestriellement pour garantir la récupérabilité.

8.2 Reprise après sinistre

  1. Streya maintient des capacités de reprise après sinistre conçues pour :

    • Reprendre les opérations critiques dans les 4 heures
    • Restaurer le service complet dans les 24 heures
    • Prévenir la perte de données grâce à des systèmes redondants

  2. Le plan de reprise après sinistre est testé annuellement et mis à jour au besoin.

9. Utilisation de l’intelligence artificielle (IA)

Streya peut utiliser des technologies d’intelligence artificielle (IA) et d’apprentissage automatique (AA) pour améliorer les fonctionnalités de la plateforme, renforcer la surveillance de la sécurité et soutenir les processus opérationnels. Toute utilisation de l’IA respecte les mêmes exigences de sécurité, de confidentialité et de conformité énoncées dans la présente politique.

  1. Protection des données des clients

    • Les données des clients ne sont jamais utilisées pour entraîner ou affiner des modèles d’IA, sauf autorisation écrite explicite du client.
    • Tout traitement par IA impliquant des données de clients est effectué dans l’environnement sécurisé de Streya et est soumis à des mesures de chiffrement, de contrôle d’accès et de surveillance.

  2. Services d’IA tiers

    • Lorsqu’il est fait appel à des services d’IA tiers, ceux-ci doivent répondre ou dépasser les normes de sécurité de Streya, y compris la conformité SOC 2, et signer des accords contractuels visant à protéger les données.

  3. Gouvernance et supervision

    • Tous les cas d’utilisation de l’IA sont examinés et approuvés par le Responsable de la sécurité afin d’assurer leur conformité aux lois, règlements et accords clients applicables.
    • Les résultats générés par l’IA sont soumis à une validation humaine avant toute utilisation dans des processus décisionnels ayant un impact sur les clients ou leurs données.

  4. Transparence

    • Les clients seront informés si des technologies d’IA modifient de manière significative la façon dont leurs données sont traitées, analysées ou présentées.

10. Gestion de la politique

10.1 Révision de la politique

Cette politique sera révisée :

  • Au moins une fois par an
  • À la suite d’incidents de sécurité importants
  • Lorsque requis par des changements dans les pratiques commerciales ou les réglementations

Glossaire

  • AES-256 : Advanced Encryption Standard avec une longueur de clé de 256 bits, un algorithme de chiffrement puissant utilisé pour protéger les données
  • AMF : Authentification Multi-Facteur - nécessitant deux méthodes de vérification ou plus pour accorder l’accès
  • RPI : Renseignements Personnels Identifiables - données pouvant être utilisées pour identifier une personne
  • RBAC : Contrôle d’Accès Basé sur les Rôles - restriction de l’accès au système basée sur les rôles des utilisateurs individuels
  • SOC 2 : Service Organization Control 2 - une norme d’audit pour les organisations de services
  • SSO : Authentification Unique (Single Sign-On) - un schéma d’authentification qui permet à un utilisateur de se connecter avec un seul identifiant à plusieurs systèmes
  • TLS : Transport Layer Security - protocoles cryptographiques conçus pour assurer la sécurité des communications sur un réseau informatique
  • VPN : Réseau Privé Virtuel - étend un réseau privé à travers un réseau public, permettant un accès sécurisé aux ressources privées

Pour toute question concernant ce document, veuillez contacter le responsable de la sécurité.

Matthew Bélair, PDG
matthew@streya.app
(514) 291-7424