Centre de confiance
Sécurité & Confiance
Upstone LLC s'engage à protéger les données de ses clients et à exploiter ses produits avec rigueur. Cette page résume les contrôles, processus et engagements qui régissent notre infrastructure et notre livraison logicielle.
1. Protection des données
Toutes les données clients sont chiffrées en transit avec TLS 1.2 ou supérieur et au repos avec AES-256. Les sauvegardes de bases de données sont chiffrées selon le même standard et stockées dans des régions géographiquement séparées. L'accès aux données de production est restreint par rôle et revu chaque trimestre.
2. Hébergement et infrastructure
Nos produits sont hébergés sur une infrastructure cloud durcie, avec réseau redondant, bascule automatique et surveillance continue. Les systèmes de production sont isolés des environnements de développement et de pré-production par des politiques réseau strictes.
3. Authentification et contrôle d'accès
Les comptes clients prennent en charge le hachage des mots de passe avec des algorithmes standards (bcrypt/argon2) et l'authentification à deux facteurs en option. L'accès administratif interne est protégé par une 2FA matérielle et journalisé pour audit.
4. RGPD et confidentialité
Upstone LLC traite les données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) de l'UE et aux cadres équivalents. Nous agissons en tant que sous-traitant pour le compte de nos clients entreprises dans le cadre d'un Accord de Traitement des Données signé. Les clients peuvent demander l'export ou la suppression de leurs données personnelles à tout moment en écrivant à privacy@upstone.io.
5. Paiements et PCI
Tout le traitement des paiements est géré exclusivement par Stripe (prestataire certifié PCI-DSS Niveau 1). Upstone LLC ne stocke jamais de numéros de carte bruts ni de codes CVV sur sa propre infrastructure.
6. Sous-traitants
Nous nous appuyons sur un petit nombre de sous-traitants tiers de confiance pour l'hébergement, l'envoi d'emails, l'analytics et les paiements. La liste actuelle et leurs rôles dans le traitement des données sont disponibles sur demande pour les clients dans le cadre d'un Accord de Traitement des Données.
7. Continuité d'activité
Les services critiques sont sauvegardés quotidiennement, avec restauration à un instant donné disponible pour les bases de données transactionnelles. Les procédures de restauration sont testées périodiquement et les objectifs de reprise après sinistre sont définis par produit.
8. Divulgation de vulnérabilités
Nous accueillons favorablement la divulgation responsable de la communauté sécurité. Si vous pensez avoir trouvé une vulnérabilité de sécurité dans l'un de nos produits ou services, écrivez à security@upstone.io. Nous visons à accuser réception des rapports sous 5 jours ouvrés.
9. Feuille de route conformité
Notre programme de conformité monte activement en maturité. Nous suivons notre préparation aux référentiels SOC 2 Type II et ISO 27001 et priorisons les contrôles selon la demande client et l'exposition réglementaire.
Besoin de notre réponse au questionnaire de sécurité ?
Les clients entreprises et les équipes achats peuvent demander notre questionnaire de sécurité standard, notre Accord de Traitement des Données et la liste de nos sous-traitants en écrivant à security@upstone.io.