Sécurité

Chez HelloSign, la sécurité et la confidentialité des données de nos clients sont notre priorité.

Illustration représentant un coffre-fort de banque

Confidentialité

Chez HelloSign, nous partons du principe que vous êtes propriétaire de vos données et nous nous engageons à en protéger la confidentialité. Pour comprendre comment nous traitons et protégeons vos informations, nous vous invitons à consulter notre politique de confidentialité. Chaque année, des auditeurs tiers indépendants testent nos contrôles de confidentialité et nous communiquent leurs rapports et recommandations que nous pouvons partager avec vous si vous en faites la demande. Pour signaler un problème de confidentialité, veuillez consulter notre page "Signaler des événements de sécurité".


Voici quelques méthodes que nous utilisons pour protéger vos données :


Suppression/destruction des données

Sur demande, HelloSign effacera de ses systèmes toutes les données des clients et les documents en propriété exclusive. Les documents en conservation légale ou détenus par plusieurs parties seront supprimés à l'issue de la procédure de conservation légale ou à leur suppression par toutes les autres parties, à leur discrétion.

Pour demander la suppression ou la destruction de données, veuillez envoyer un e‑mail à l'adresse support@hellosign.com.


Informations de paiement

Nous traitons tous les paiements par l'intermédiaire de notre prestataire de service de paiement, Stripe, et nous ne stockons pas les données des titulaires de carte sur nos serveurs. HelloSign respecte la norme PCI pour le traitement des paiements.

Nos sous-traitants

HelloSign effectue un examen de ses sous-traitants au moins une fois par an. Si, à la suite de ces examens, nous estimons que des éléments concrets présentent un risque pour HelloSign ou nos clients, nous travaillerons avec le fournisseur de services pour évaluer tout impact potentiel sur les données des clients et nous surveillerons les efforts qu'ils déploient pour y remédier jusqu'à la résolution du problème.

Incidents de sécurité et rapports

Si vous constatez un incident, signalez-le. Si vous souhaitez soumettre un incident de sécurité potentiel à HelloSign, joignez un rapport de synthèse dans votre message adressé à l'équipe de sécurité HelloSign envoyé à l'adresse abuse@hellosign.com. L’équipe chargée de la sécurité des informations évaluera le rapport et vous contactera pour discuter des détails.

Chiffrement

Les documents sont stockés derrière un pare-feu et authentifiés sur la session de l'expéditeur chaque fois qu'une demande est effectuée. Nous appliquons les bonnes pratiques du secteur concernant la transmission des données vers notre plateforme (Transport Layer Security, TLS), et les données sont stockées dans des datacenters certifiés SOC 1 Type II, SOC 2 Type I et ISO 27001. Vos documents sont stockés et chiffrés au repos à l'aide du chiffrement AES 256 bits.

Pistes d'audit

La piste d'audit non modifiable garantit que chaque action sur vos documents est minutieusement consignée et horodatée, afin de fournir une preuve admissible d'accès, de lecture et de signature. Ces enregistrements comprennent une valeur de hachage du document PDF que nous pouvons comparer à celle d'un document PDF douteux afin de déterminer s'il a été modifié ou altéré.

Sécurité des applications

HelloSign a mis en place un programme officiel de sécurité des applications avec des employés dédiés à la sécurité des applications. Nous analysons également notre code pour détecter les éventuels problèmes de sécurité à l'aide d'outils d'analyse statique du code.


Pour renforcer la sécurité de nos applications, nous utilisons un programme de bug bounty et nous engageons, plusieurs fois par an, des équipes de test d'intrusion tierces afin de nous assurer que nos produits sont sécurisés.

Autorisations

Il est impératif que vous puissiez contrôler le rôle et les accès de chacun dans le système. À chaque rôle, des droits d'accès différents : tant dans HelloSign API que dans le produit de l'utilisateur final HelloSign. Pour en savoir plus sur les autorisations de sécurité basées sur les rôles, cliquez sur le lien ci-dessous.

Infrastructure

HelloSign fait appel à Amazon Web Service (AWS) en tant que fournisseur IaaS (infrastructure en tant que service) et les datacenters Amazon hébergent nos données aux États-Unis et dans l'Union européenne. Nous utilisons les fonctionnalités AWS comme Virtual Private Cloud (VPC), les groupes de sécurité, le chiffrement des disques, etc., pour garantir la confidentialité des données de nos clients dans le cloud.

Équipe de sécurité dédiée et expérimentée

Sécurité

HelloSign a mis en place un programme officiel de sécurité de l'information sous la direction du directeur de la sécurité, qui dirige le comité de gestion de l'information et des risques. Ce comité se réunit périodiquement pour examiner les initiatives liées à la sécurité au niveau du produit, de l'infrastructure et de l'entreprise.


Chez HelloSign, les employés font l'objet d'une vérification complète de leurs antécédents et suivent une formation annuelle de sensibilisation à la sécurité.


Nous disposons également d'une politique d'utilisation acceptable et de conditions d'utilisation destinées à nos utilisateurs finaux afin de nous assurer que nos clients ont une vision précise de l'utilisation prévue pour nos produits et des conditions régissant une telle utilisation.