Skip to main content

Je suis Guillaume, responsable de l’équipe sécurité chez Pennylane. Nous sommes conscients que la sécurité des données est une préoccupation majeure pour vous. Vous vous interrogez fréquemment sur la sécurité de vos données, sur le risque de ransomware et plus généralement sur les engagements que prend Pennylane pour sécuriser vos données au quotidien.

Cet article vise à éclaircir ces questions importantes.

Notre engagement est ferme : assurer la sécurité, la confidentialité et la disponibilité de vos données. Nous y parvenons grâce à une série de mesures et de contrôles, élaborés quotidiennement par notre équipe dédiée. Nos processus sont conformes à la norme internationale ISO 27001 et font l'objet d'audits réguliers par des experts indépendants.

 

Les points clés de notre stratégie de sécurité :

 

1️⃣ Nous déployons une multitude de mesures et contrôles, tant techniques qu'organisationnels. Ces derniers sont détaillés dans notre livre blanc ci-joint et dans notre Security Center, offrant une transparence complète.

 

2️⃣ Nous sommes officiellement certifiés ISO 27001 sur l’ensemble de notre produit et de nos systèmes, sur l’ensemble des 114 points de contrôle, auprès de BSI, leader mondial de cette certification, comme en témoigne notre certificat joint.


3️⃣ Nous avons passé avec succès un audit technique complet indépendant de notre application (Pentest) : une équipe de pentesters de XMCO (certifié PASSI par l’ANSSI et ISO 27001) a réalisé les tests d’intrusion sur 4 semaines complètes en novembre 2023, avec accès au code source. Il ressort de ce pentest une confirmation du niveau élevé de la sécurité de nos applications (web et mobile), puisque aucune vulnérabilité permettant d’accéder aux données d’autres entreprises ou de prendre le contrôle des serveurs de Pennylane n’a été identifiée. Nous mettons à votre disposition tous les détails techniques, sous condition préalable de NDA.

4️⃣ Concernant la question des ransomware, Pennylane encadre ce risque très sérieusement, grâce à :

  • notre infrastructure redéployable (IaaC) qui ne contient pas de donnée comptable,
  • notre hébergeur AWS qui déploie des mesures continues contre ce risque parmi les meilleurs de l’industrie,
  • et enfin notre capacité à redéployer un set de data non corrompue sur une infrastructure neuve en quelques minutes.

 

5️⃣ Notre équipe dédiée veille à ce que toutes nos pratiques soient en conformité totale avec le RGPD. Cela inclut des processus rigoureux pour la gestion et la protection des données de nos clients.


6️⃣ Nous sommes toujours disponibles pour discuter de ces sujets cruciaux, de nos engagements comme de nos réalisations auditées par des tiers indépendants. N’hésitez pas à nous poser des questions !

 

Besoin de détails techniques concernant la sécurité chez Pennylane ?

  • Sauvegarde continue des données (chiffrée, auditée, testée) (déploiement en 1 heure, reprise entre 15 minutes et 30 jours dans le passé),
  • Infrastructure as a Code (IaaC), permettant de redéployer l’infrastructure complète de l’application,
  • Redondance de l’hébergement dans 2 data center secondaires, séparés géographiquement du serveur principal, avec failover automatique en quelques secondes vers un serveur secondaire en cas d’incident
  • Log et alerte de tout incident lié au contrôle d’accès applicatif
  • Capacités de blocage de comptes, d’IPs
  • Chiffrement au repos des bases de données et des données en transit (TLS 1.2/1.3 avec HSTS et Perfect Forward Secrecy entièrement activé)
  • Mise à jour automatisée des dépendances
  • Procédure de correction des vulnérabilités, avec SLAs internes
  • Pentest annuel en boîte grise
  • Plan de réponse à incidents et de continuité des opérations conforme à ISO 27001 et audité régulièrement.



Besoin de tous les détails ? Consultez notre Livre Blanc en pièce jointe. 

@Guillaume Gohin 

Merci pour cet article sur un sujet si important !

Bonjour,

J'exerce une profession de santé, et la question concerne la facturation. Pour chaque patient je dois créer un compte pour pouvoir facturer chaque rdv.

Est-ce que les données ont un niveau de sécurité équivalent aux protections des données médicales ?

 

Merci pour votre réponse

Ste

Bonjour @stell29 
Merci de votre question.
Notre hébergeur, AWS en Irlande, est bien certifié Hébergeur de Données de Santé. Cependant, notre application Pennylane n’offre pour autant pas cette certification précise, bien que sa conformité contrôlée par des experts indépendants à ISO 27001, ainsi que les mesures fortes de sécurité détaillées dans l’article, permettent de garantir une sécurité forte de vos données.

Réponse


Code de ConduiteParamétrer les cookies