Conformité

Les applications sont développées dans le respect des réglementations afférentes à leur périmètre fonctionnel.

Instruction codificatrice 06-031-ABM du 21 avril 2006 relatives à l’organisation, au fonctionnement et au contrôle des régies des collectivités territoriales et de leurs établissements publics.

Article 286, 3° bis, I du Code Général des Impôts et son corolaire le bulletin officiel des Impôts BOI-TVA-DECLA-30-10-30-20160803 relatifs aux conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données des logiciels d’encaissements.

Article 50, sexies B du Code Général des Impôts et son corolaire, l’arrêté du 8 mars 1993 relatif aux conditions d’utilisation de systèmes informatisés de billetterie.

Protection des données à caractère personnel

Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

De mesures techniques, physiques et opérationnelles sont mis en œuvre, permettant d’assurer en permanence la sécurité, la confidentialité, l’intégrité des données stockées ainsi que tout accès frauduleux ou non autorisé. Les données sont stockées et traitées exclusivement sur le territoire français sur des serveurs sécurisés et ne font l’objet d’aucun transfert en dehors du territoire national.

Des données sensibles ou d’autres catégories particulières de données telles que définies par la législation applicable aux données personnelles ne sont ni traitées ni hébergées. Le site utilisateur confie l’hébergement, le traitement et la protection de celles-ci mais reste maitre de leur modification, suppression ou anonymisation.

Intégrité des données

Les bases de données et les fichiers de chaque site utilisateur sont isolées. Les enregistrements, modifications et suppressions des données sont tracés dans le respect des règles de la comptabilité publique. L’enregistrement des données d’encaissement fait l’objet d’un chainage cryptographique. Tout import de données dans les applications est soumis à la validation explicite d’un référent habilité.

Sauvegardes

Des sauvegardes multiples, isolées et identifiables par site utilisateurs, sont réalisées quotidiennement. Une sauvegarde complémentaire des données garantie un point de restauration horaire destiné à l’assistance utilisateur. Des tests de restauration sont régulièrement effectués.

Sécurité des interfaces web

Les applications sont utilisables par des navigateurs sans module d’extension. Les connexions utilisent systématiquement un protocole sécurisé afin d’authentifier la source et chiffrer les communications. Les cookies de session sont marqués afin de prévenir le vol ou l’exploitation de sessions déjà ouvertes. Toutes les requêtes sollicitent l’activation des protections des navigateurs par l’emplois d’entête de sécurité.

Protection des comptes utilisateurs

L’authentification des utilisateurs et des fournisseurs de données est obligatoire. Elle est réalisée au moyen d’un identifiant et d’un mot de passe. En cas d’échec d’authentification répété, le compte est bloqué. Chaque utilisateur peut consulter son journal des connexions. La complexité des mots de passe est vérifiée avant la création ou la modification d’un accès. De façon régulière, les comptes utilisateurs inutilisées sont inactivés.

Sécurité des infrastructures

La société OVH héberge les applications et s’engage sur une sécurité optimale en mettant en place une politique de sécurité des systèmes d’information qui répond aux exigences de plusieurs normes et certifications.

Technologies

Le socle technique s’appuie sur les versions les plus récentes de Linux Debian, Apache, PHP et Maria DB (MySQL). Le choix de technologies Open Source répandues garantit la pérennité des applications et facilite le maintien en condition opérationnelle et en condition de sécurité.

Supervision

Les matériels et les réseaux sont supervisés par la société OVH avec un temps de rétablissement garanti de 4 heures. La supervision couvre en permanence les services et les applicatifs, ainsi que l’activité des serveurs web, des bases de données et de leurs capacités de réplication.

Mesures de protection

Les requêtes web sont filtrées pour prévenir des attaques applicatives dangereuses. Les journaux des services sont analysés afin de détecter et de bloquer les adresses IP dont le comportement anormal. Un pare-feu limite l’exposition aux réseaux. L’accès, l’exploitation et l’administration des serveurs sont uniquement réalisés au travers de protocoles chiffrés.

Maintien en condition de sécurité

Les composants logiciels et leurs dépendances sont systématiquement mis à jour. Seules les versions supportées sont déployées. Les correctifs des failles de sécurité sont mis en œuvre sans délai.

Résilience

Des chaines de production distantes et autonomes sont déployées sur les sites de Strasbourg et Roubaix. La réplication des bases de données est instantanée, celle des fichiers quotidienne. Des tests de vie réguliers entre les sites garantissent un temps de bascule minimal et transparent. L’impact des attaques de type DDoS est atténué par mitigation.