Confidentialité des données

Sécurité des données

Nous appliquons une approche multicouche des meilleures pratiques pour sécuriser notre plateforme et les informations de votre entreprise

Infrastructure cloud

Notre sélection de Google Cloud Platform (GCP) comme fournisseur cloud offre plusieurs avantages en matière de sécurité pour les données de nos clients :

Sécurité des données: Les centres de données Google mettent en œuvre des mesures de sécurité physique de pointe, notamment des systèmes d'accès restreint, de vidéosurveillance et de détection d'intrusion avancés. Ces mesures sont rigoureusement auditées et respectent les normes internationalement reconnues comme la norme ISO 27001 pour la sécurité physique.

Cryptage des données: Google Cloud utilise par défaut un chiffrement transparent, chiffrant les données au repos et en transit avec des algorithmes standard du secteur comme AES-256. De plus, Google Key Management Service (KMS) fournit un contrôle centralisé des clés de chiffrement, en respectant les meilleures pratiques en matière de rotation des clés et de contrôle d'accès.

Conformité: Google Cloud est soumis à des audits indépendants rigoureux pour assurer le respect des diverses normes et réglementations de l’industrie, notamment ISO 27001, SOC 2, HIPAA et PCI DSS. Cette vérification indépendante fournit une assurance supplémentaire à nos clients concernant la posture de sécurité de Google infrastructure cloud.

Gestion de l'identité et des accès client (IAM): Google Cloud IAM fournit des contrôles d'accès granulaires aux ressources, garantissant le respect du principe du moindre privilège. Les clients peuvent définir des rôles et des autorisations en fonction de leurs besoins spécifiques, conformément à la politique de gestion des identités et des accès de Google.

Sécurité des réseaux: Le réseau privé de Google offre un chemin sécurisé pour vos données, protégé par les mesures de sécurité physiques et opérationnelles de Google.

Cryptage des fichiers et des bases de données

Toutes les données clients, y compris les fichiers et les bases de données, sont chiffrées au repos et en transit à l'aide d'algorithmes de chiffrement robustes.

Gestion des clés externes. Pour garantir un contrôle et une souveraineté des données maximum, nous exploitons la gestion des clés externes (EKM). Cela signifie que les clés de chiffrement utilisées pour protéger vos données résident dans un système distinct et sécurisé que vous contrôlez, et non dans l'infrastructure de notre fournisseur de cloud. Cette approche protège contre tout accès non autorisé, même en vertu de mandats légaux de certaines juridictions.

Avantages:

  • Sécurité des données: Le cryptage rend vos données illisibles sans les clés de déchiffrement, renforçant considérablement leur protection contre les accès non autorisés ou les violations.
  • Souveraineté des données: Puisque vous contrôlez les clés de chiffrement, vos données restent soumises à vos contrôles et exigences réglementaires, même si elles sont situées dans des centres de données géographiquement distincts.
  • La protection de la vie privée: La gestion externe des clés protège vos données contre une éventuelle divulgation forcée, garantissant qu'elles restent sous votre contrôle.

Sauvegardes

Nous accordons la priorité à la sécurité et à la disponibilité des données grâce à une solide stratégie de sauvegarde et de reprise après sinistre.

  • Stockage de fichiers: Nous exploitons un stockage cloud redondant et géographiquement distribué pour garantir que vos données sont automatiquement répliquées sur plusieurs centres de données. Cela minimise le risque de perte de données due à une panne matérielle ou à des pannes régionales.
  • Sauvegardes continues de la base de données: Nous utilisons un processus de sauvegarde continue de la base de données, capturant les modifications en temps réel. Cela garantit une perte de données minimale en cas de panne du système et nous permet de restaurer rapidement vos données à leur état le plus récent.
  • Stockage de sauvegarde sécurisé: Nous stockons en toute sécurité les sauvegardes dans des centres de données géographiquement séparés, atténuant ainsi davantage l'impact des événements imprévus comme les catastrophes naturelles ou les perturbations localisées.
  • Plan de reprise après sinistre: Nous maintenons un plan complet de reprise après sinistre qui décrit les procédures de restauration rapide de notre plateforme et de vos données en cas d'incident majeur.

Pile logicielle

Nous accordons la priorité à un cycle de vie de développement sécurisé en utilisant des piles de logiciels open source. Cette approche nous permet de :

  • Gardez une longueur d'avance sur les menaces: Les logiciels open source bénéficient de l’expertise collective d’une vaste communauté de développeurs. Un examen constant de la part des développeurs permet d'identifier et de corriger rapidement les vulnérabilités, protégeant ainsi notre plateforme contre les menaces émergentes.
  • Transparence: La nature ouverte du code permet des audits et des vérifications de sécurité indépendants. Cette transparence favorise la confiance dans la posture de sécurité de notre plateforme.
  • Integrate Best Practices: Les bibliothèques et frameworks de sécurité open source répondent facilement aux problèmes de sécurité courants tels que le cross-site scripting (XSS), la falsification de requêtes intersites (CSRF), l'injection SQL, le détournement de clics, la validation d'en-tête d'hôte et la sécurité de session. Ces solutions intégrées rationalisent le développement tout en renforçant une solide posture de sécurité.

Tests de sécurité

Pour démontrer un haut niveau de sécurité, nous nous engageons à effectuer un test d'intrusion tiers externe au moins une fois par an.

Ces tests sont effectués par des experts en piratage indépendants et éthiques qui simulent des scénarios d’attaque réels. Cette approche proactive nous aide à identifier et à corriger les vulnérabilités avant qu'elles ne puissent être exploitées par des acteurs malveillants.

Confidentialité

Résidence des données

Contrôle des données amélioré et conformité réglementaire pour les clients européens.

  • Résidence des données en France: Nous priorisons la sécurité et la souveraineté de vos données en les stockant exclusivement dans des datacenters situés en France. Cette restriction géographique s'aligne sur les réglementations européennes strictes en matière de confidentialité des données, telles que le RGPD, garantissant que vos données restent soumises à votre contrôle et aux exigences réglementaires.
  • Chiffrement par clé externe: Pour une couche supplémentaire de sécurité et de contrôle, nous exploitons la gestion des clés externes (EKM). Cela signifie que les clés de cryptage utilisées pour protéger vos données résident dans un système distinct et sécurisé que vous contrôlez, et non dans nos centres de données. Même avec des données stockées en France, EKM vous permet de maintenir une gouvernance complète sur vos données.

Conforme au RGPD

INGREEN AI s'engage fermement à protéger la confidentialité de vos données et à se conformer au Règlement Général sur la Protection des Données (RGPD). Nous comprenons que vous avez le contrôle de vos informations personnelles et nous vous permettons d'exercer vos droits en vertu du RGPD.

Plus de détails sur https://fingreen.ai/privacy

Vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse Privacy@fingreen.ai, afin d'exercer ces droits.

Contrôle d'accès et gouvernance

Notre plateforme vous permet de gérer l'accès aux données avec une granularité exceptionnelle. Vous pouvez définir des droits d'accès distincts pour des utilisateurs individuels au sein du portail, garantissant ainsi que seul le personnel autorisé a accès à des ensembles de données spécifiques. Ce contrôle granulaire minimise le risque d'accès non autorisé et de violations de données, favorisant ainsi un environnement plus sécurisé pour vos informations précieuses.

IA & LLMs

FINGREEN AI utilise les services LLM fournis dans le cloud. Afin de garantir la confidentialité des données de nos clients, tout au long de l'utilisation de LLM tiers, voici nos pratiques.

Modèle et contrôles d'accès:

  • Nos fournisseurs de cloud ont de solides pratiques de confidentialité LLM. Nous ne faisons pas appel à des fournisseurs qui entraînent leurs modèles à l'aide des données fournies par les clients. Cela garantit que les données des clients ne « fuiront » pas dans les réponses publiques LLM.
  • Nous mettons en œuvre des contrôles d'accès pour restreindre qui peut consulter les résultats générés par le LLM. Cela garantit que seul le personnel autorisé voit les informations potentiellement sensibles.

Surveillance et audit:

  • Nous suivons la manière dont vos données sont utilisées au sein du LLM. Cela permet d’identifier tout risque potentiel en matière de confidentialité ou toute utilisation abusive de vos données.
  • Nous effectuons des audits réguliers des pratiques de sécurité LLM de votre fournisseur de cloud pour garantir qu'elles respectent vos exigences en matière de confidentialité des données.