Politique d’utilisation des fichiers témoins sur les produits InServio
Nous utilisons un seul fichier témoin pour garder la session des utilisateurs du portail active.
Le témoin se nomme « session_id » et contient uniquement un ID de session permettant l’identification de la session active sur le serveur. Aucune donnée personnelle n’est dans ce témoin.
Il s’agit d’un témoin sécurisé, disponible uniquement sur HTTPS, et dont l’accès est retreint au domaine voulu.
Voici un exemple de fichier témoin que nous utilisons sur l’un de nos produits :
Journaux collectés
Pour le fonctionnement des rapports d’utilisation que nous générons, différentes actions prises par les utilisateurs connectés, ayant accepté les termes et conditions à la création de leur compte, sont enregistrées dans la base de données.
Ils servent uniquement à des fins statistiques et comprennent des informations d’identification aidant au débogage, incluant leur « user_id », leur IP, leur navigateur utilisé (user agent), leur page de provenance (HTTP_REFERER), ainsi que le type d’action prise (ex: mise à jour de profil, connexion, validation du compte, déconnexion, etc.) et les informations pertinentes au débogage (ex: si mise à jour de profil, données avant la mise à jour et données après).
Demande d’acceptation des témoins
En ce moment, à notre connaissance, au Canada et au Québec, il n’est pas obligatoire d’obtenir un consentement pour la collecte de fichiers témoins qui ne sont pas destinés au pistage des utilisateurs / à des fins marketing.
Nos fichiers témoins étant requis pour le fonctionnement de notre système, nous recommandons simplement de mentionner leur utilisation dans les termes et conditions.
Le développement d’une bannière informative peut être réalisé sur demande (frais supplémentaires).
Offrir l’option de refuser les fichiers témoins impliquerait un grand développement supplémentaire étant donné que notre plateforme repose sur l’utilisation de ces fichiers.
La plupart des grands sites web utilisent désormais une approche avec bannière et « opt-in » pour les fichiers témoins. Ces sites ne le font pas pour respecter la loi canadienne/québécoise mais bien la loi GDPR européenne, qui, en Europe, requiert un consentement (opt-in) avant toute utilisation de fichier témoin. Ce n’est pas le cas ici.
Mesures de sécurité en place
Nous utilisons au minimum l’ensemble des mesures de sécurité ci-dessous :
- Protocole SSL (Secure Sockets Layer)
- Gestion des accès
- Logiciel de surveillance du réseau
- Sauvegarde informatique
- Développement de certificat numérique
- Identifiants/mots de passe
- Pare-feu
- 2FA – authentification à deux facteurs (certains projets seulement)
À noter que le protocole SSL/certificat HTTPS est non seulement disponible mais requis (obligatoire) pour l’utilisation des sites web que nous développons.
Les requêtes non-sécuritaires (HTTP) sont redirigées vers des points d’entrée HTTPS.
L’ensemble de vos données, de la BDD et du code source seront hébergées sur un serveur de la compagnie OVH à Beauharnois, sauf dans le cas de quelques ressources statiques hébergées sur S3 (voir paragraphe suivant pour les détails) à des fins de rapidité.
Des sauvegardes de serveur sont faites à chaque nuit sur des serveurs de la compagnie Amazon AWS situé à Montréal, via le service S3.
Seul InServio a accès à ce compte Amazon S3, et les données ne sont pas accessibles publiquement.
Chacun de nos serveurs est équipé d’une suite de logiciels de protection incluant en effet un pare-feu, une protection contre les attaques DDoS, de la surveillance de réseau, des listes de blocage, des antivirus, des outils d’analyse de requêtes, et un journal complet de toutes les actions prises par l’un ou l’autre de ces logiciels. Ces logiciels sont tous mis à jour très fréquemment.