JUILLET 2023
Les mesures de sécurité et de protection des données est applicable uniquement pour les données et logiciels AUBEP déployés sur les infrastructures d’AUBEP SA. Si le client désire déployer les solutions AUBEP sur ses propres infrastructures informatique : la sécurité et la protection des données sont sous son entière responsabilité
Les logiciels développés par AUBEP avec leurs données sont tous hébergés en Suisse (Lausanne, Genève, Bâle), y compris les sauvegardes. AUBEP SA travaille avec plusieurs hébergeurs Suisse afin de limiter les risques.
Les clients peuvent néanmoins demander que leur logiciel AUBEP soient déployé sur leur propre infrastructure ou sur une infrastructure d’un prestataire tier : dans ces cas AUBEP SA n’est plus responsable de la sécurité ni de la protection des données qui se font sous l’entière responsabilité du client.
AUBEP SA évalue ses fournisseurs d’hébergements régulièrement et s’assurent qu’ils respectent les normes strictes de sécurité du moment, ainsi que les normes en vigueurs comme par exemple la norme ISO 27001. Chaque fournisseur d’hébergement d’AUBEP SA doit assurer un taux de service des infrastructures de 99,99% avec un contrat SLA correspondant et les couvertures de sécurités et sauvegardes sont régulièrement vérifiés avec un engagement signé du fournisseur.
A partir de juillet 2023 tous les logiciels sous contrats AUBEP de type A3 et A2 sont déployés sur des infrastructures ultra-redondantes, permettant une reprise d’activité par l’hébergeur dans les 12 à 24 heures (RTO) respectivement et avec une perte maximale de données entre 12 et 24 heures (RPO) respectivement. (RTO et RPO plus bas possible sur demande avec la mise en place d’infrastructures complémentaires).
AUBEP SA met en place et test des plans de reprises en cas de panne majeure ou de cyberattaque.
Toutes les plateformes Web développées par AUBEP SA sont sécurisées avec un protocole SSL.
AUBEP SA mène régulièrement des tests d’intrusions de ses infrastructures et du logiciel par des entreprises de sécurité externe afin d’identifier d’éventuelles failles et de les sécuriser.
AUBEP SA a mis en place une stratégie de sauvegarde multisite en Suisse avec une rétention des données variant en fonction des contrats (A1, A2 ou A3) :
- ContratA1 : rétention des données minimum de 7 jours
- ContratA2 : rétention des données minimum de 30 jours + une sauvegarde par mois des 3 derniers mois
- ContratA3 : rétention des données minimum de 30 derniers jours + une sauvegarde par mois des 12 derniers mois
Les sauvegardes contiennent les données de toutes les années d’exploitation du logiciel (ce qui peut représenter de nombreux exercices comptables).
AUBEP SA vérifie très régulièrement les sauvegardes en déployant des serveurs tests afin d’assurer que les données sont toujours lisibles et compatibles avec les nouvelles versions du logiciel AUBEP.
Les sauvegardes des bases de données sont également cryptées sur les nouvelles infrastructures 2023.
Les collaborateurs d’AUBEP SA sont sensibilisés régulièrement aux actualités et problématiques de sécurité et s’engage sur une charte de sécurité sévère dont une copie peut être obtenue sur simple demande par les clients.
Les procédures interne impose une politiques de mot de passe dure, des procédures et bonnes pratiques, l’utilisations d’outils imposés pour la gestion des accès aux infrastructures, assurant une rigueur dans l’exécution des prestations.
AUBEP SA participe régulièrement à des programmes d’information et de formation, notamment de la TrustValley, permettant d’avoir accès au réseau romand de la cybersécurité et d’être conseillé et informé régulièrement sur le sujet afin de participer à la confiance numérique en Suisse romande.
AUBEP SA s’est fait audité par l’association cyber-safe est a obtenu le label cyber-safe en juin 2023.