Sécurité

Sécurité

Sur Flo, la sécurité de vos données personnelles est notre priorité absolue. Nous sommes tout à fait conscients que, dans l'application, votre profil peut contenir des données personnelles très sensibles. C'est pourquoi nous nous efforçons chaque jour de mettre en œuvre les meilleures pratiques et normes de l'industrie.

Conformité légale

Flo s'engage à assurer la sécurité et la protection de vos données personnelles conformément aux exigences du Règlement général de l'UE sur la protection des données, du California Consumer Privacy Act et d'autres réglementations.

Audits avec des tiers

Assistés d'agences tierces reconnues, nous effectuons régulièrement des audits, afin d'analyser et d'améliorer nos processus et politiques de sécurité interne.

Sécurité physique et environnementale

Flo se conforme aux normes les plus élevées de l'industrie en matière de contrôles physiques, environnementaux et d'hébergement. Les centres de données de Flo, gérés par Amazon Web Services (AWS), bénéficient des toutes dernières stratégies en matière d'architecture et d'ingénierie.

Sécurité des produits

Serveurs et réseautage

Nous utilisons Amazon Web Services pour l'hébergement de tous les environnements de nos produits. AWS est conçu pour nous aider à concevoir une infrastructure sécurisée, hautement performante, résiliente et efficace pour notre application. De par leur conception même, les centres de données d'AWS sont sécurisés et ils sont certifiés SOC 1, SOC 2 et SOC 3. Tous nos serveurs de produits sont des systèmes basés sur les conteneurs Docker constamment mis à jour et inaltérables. Nous utilisons également des services supplémentaires d'AWS, tels que VPC (Virtual Private Cloud), l'infrastructure multi-comptes d'AWS et EKS (Elastic Kubernetes Service). Pour sécuriser les communications sur le réseau, nous utilisons le protocole HTTPS crypté à l'aide de TLS (Transport Layer Security).

Chiffrement

Nous utilisons AWS KMS (Key Management Service) pour créer et gérer les clés de chiffrement et en contrôler l'utilisation sur un grand nombre de services d'AWS et de notre application.

Stockage des données

Flo stocke toutes les données telles que les métadonnées, les activités, les fichiers d'origine et les données des clients à différents endroits. Toutes les données sont cryptées par KMS quel que soit leur emplacement.

Les données sensibles de l'utilisatrice finale sont supprimées des journaux et les ingénieurs de Flo n'ont aucun accès à ces données.

Environnements isolés

Le réseau de production est isolé des autres environnements de préparation, de développement et d'infrastructure. Chaque environnement est situé sur un compte AWS distinct et sur un réseau VPC distinct.

Données de paiement des clients

Tous les paiements sont traités soit par l'App Store, par Google Play ou Stripe, qui assument l'entière responsabilité de la sécurité des paiements. Flo ne conserve aucune information sur les cartes de crédit.

Conception sécurisée

Les ingénieurs de Flo ont recours aux meilleures technologies de développement de produits qui répondent aux normes de l'industrie, telles que le développement documenté et les processus d'assurance qualité. Guidés par les principes de confidentialité, d'intégrité et de disponibilité, nous concevons notre application de manière à réduire les risques d'erreur entraînant la vulnérabilité à la pénétration.

Niveaux de service et sauvegardes

L'infrastructure de Flo utilise de nombreuses techniques de couches pour permettre une amélioration constante de la disponibilité, dont le recours à la mise à l'échelle automatique, l'équilibrage des charges, les files d'attente de tâches et les déploiements progressifs. Nous effectuons quotidiennement des sauvegardes automatisées complètes de nos bases de données. Toutes les sauvegardes sont cryptées.

Surveillance du système et alertes

Chez Flo, la démarche de production et les composants d'infrastructure sous-jacents sont surveillés 24 heures sur 24, 7 jours sur 7 et 365 jours par an par des systèmes de surveillance dédiés. Les alertes critiques générées par ces systèmes sont envoyées aux propriétaires de services de surveillance 24 heures sur 24, 7 jours sur 7 et 365 jours par an, et sont transmises de manière appropriée à la direction des opérations.

Test de vulnérabilité (aux pénétrations)

Flo effectue régulièrement des tests de pénétration en collaboration avec des sociétés de cybersécurité de pointe pour la configuration du réseau, l'infrastructure et les couches de l'application. Ces tests de vulnérabilité incluent l'utilisation de kits d'outils et d'analyseurs de sécurité d'applications Web connus pour identifier les vulnérabilités des applications avant leur mise en production.

Gestion du trafic

Cloudflare Security Suite permet à l'application Flo de bloquer automatiquement le trafic malveillant et d'assurer la fiabilité de l'application. Peu importe où se trouvent nos utilisatrices, Flo fonctionne sans problème sur leurs smartphones grâce à un routage intelligent du trafic et le contenu de l'application est désormais téléversé à l'utilisatrice à partir du serveur Cloudflare le plus proche d'elle.

Réactions aux incidents et notification de violation de données

Flo a mis en place un processus décrivant les actions à entreprendre dès que Flo Health a connaissance de tout type d'événement classé comme incident, y compris une violation de données personnelles, conformément aux directives et réglementations internationales.

La question de la sécurité dans la culture d'entreprise de Flo

Au moins une fois par an, le personnel et les sous-traitants de Flo Health reçoivent une formation de sensibilisation à la sécurité et sont formés pour s'acquitter de leurs tâches et responsabilités liées à la sécurité de l'information conformément aux politiques, procédures et accords connexes. L'équipe de sécurité de Flo examine, met à jour, teste, maintient et améliore en permanence les programmes de sécurité et de confidentialité de l'entreprise.