Forum Aux Questions (FAQ) sur la sécurité de Zoho

  • Zoho respecte-t-il les normes de sécurité des informations ? 

    Nous avons mis en place un système de gestion de la sécurité des informations (ISMS) dérivé des normes ISO. Celui-ci tient compte de nos objectifs de sécurité ainsi que des risques et atténuations concernant toutes les parties intéressées. Nous avons obtenu les certifications ISO 27001, ISO 27017 et ISO 27018 qui témoignent de notre conformité aux normes 

  • Où mes données sont-elles stockées ? Puis-je choisir l'emplacement de mon compte et de mes données ?

    Le centre de données dans lequel vos données sont stockées est sélectionné automatiquement en fonction du pays que vous avez choisi lors de votre inscription aux services Zoho.  Les informations concernant le centre de données sélectionné s'affichent juste en dessous de la liste déroulante des Pays, dans le formulaire d'inscription.

    À tout moment, vous pouvez savoir dans quel centre de données vos données sont hébergées en consultant l'URL affichée sur le navigateur lorsque vous êtes connecté à Zoho et que vous utilisez nos applications.

    • 1. Si l'URL est au format *.zoho.com (où [astérisque] indique le nom d'une application Zoho telle que CRM, People, One), vos données sont stockées dans le centre de données des États-Unis. 
    • 2. Si l'URL est au format *.zoho.eu, vos données sont stockées dans le centre de données européen.
    • 3. Si l'URL est au format *.zoho.in, vos données sont stockées dans le centre de données indien.
    • 4. Si l'URL est au format *.zoho.com.au, vos données sont stockées dans le centre de données australien.
  • Les employés de Zoho ont-ils accès à nos données et à quelles données peuvent-ils accéder ?

     Seul un nombre très restreint d'employés a accès aux serveurs pour effectuer des opérations d'urgence telles qu'un dépannage. De plus, cet accès est strictement surveillé, consigné et contrôlé afin de minimiser le risque d'exposition des données.

  • Les données stockées sur des produits cloud Zoho sont-elles chiffrées ?

    Nous chiffrons les données client en transit et au repos. Les données au repos sont chiffrées à l'aide du protocole standard AES-256. Toutes les données client en transit, sur des réseaux publics, sont chiffrées à l'aide de Transport Layer Security (TLS) 1.2/1.3 avec la technologie Perfect Forward Secrecy (PFS) pour les protéger contre toute divulgation ou modification non autorisée. Pour en savoir plus sur le chiffrement chez Zoho, cliquez ici.

  • Comment sont gérées les clés de chiffrement ? Les clients peuvent-ils charger leurs propres clés ?

    Nous possédons et gérons les clés à l'aide de notre service de gestion des clés (KMS) interne. Actuellement, les clients ne peuvent pas charger leurs propres clés.

  • Comment les mots de passe des services cloud Zoho sont-ils stockés ?

    Les mots de passe que vous utilisez pour accéder aux services Zoho sont stockés dans un schéma de chiffrement non réversible. Nous utilisons l'algorithme de hachage bcrypt de type per-user-salt. Ainsi, même en cas de vol de notre base de données de connexion, il serait trop coûteux de rétroconcevoir les mots de passe.

  • Comment la segmentation des données client est-elle appliquée dans les services cloud Zoho ?

    Notre structure distribue et gère l'espace cloud pour nos clients. Les données de plusieurs clients sont logiquement séparées les unes des autres. De plus, notre structure garantit qu'aucune donnée de service d'un client n'est accessible à un autre client.

  • Comment Zoho se protège-t-il contre les attaques DDos ?

    Nous utilisons les technologies de fournisseurs de services fiables et bien établis, qui offrent de nombreuses fonctionnalités de protection contre les attaques DDoS, afin d'éviter les perturbations causées par ces attaques.

  • Zoho effectue-t-il des tests de pénétration et des analyses de code ?

    Nous effectuons régulièrement des tests de pénétration automatisés et manuels. Nous utilisons une combinaison d'outils d'analyse tiers certifiés et d'outils internes pour examiner les codes.

  • J'ai trouvé une vulnérabilité dans l'un de vos produits. Comment la signaler ?

    Si vous avez découvert une vulnérabilité dans l'un de nos produits, nous vous serions reconnaissants de nous en informer afin que nous puissions la corriger le plus rapidement possible. Nous avons mis en place une politique de divulgation responsable et un programme de récompenses pour signalement de bugs (« Bug Bounty »). Pour plus d'informations, rendez-vous sur https://bugbounty.zoho.com/

  • Zoho dispose-t-il d'un programme de réponse aux incidents ?

    Nous disposons d'une équipe dédiée d'intervention en cas d'incident, qui est chargée de la détection, de l'évaluation, de l'analyse et du confinement des incidents, ainsi que des activités de reprise. Dans le cas où nous sommes les responsables du traitement, si un incident entraîne une violation de données, les clients concernés seront avertis dans les 72 heures suivant la découverte de l'incident. Dans le cas où nous sommes les sous-traitants des données, si un incident entraîne une violation de données, les responsables du traitement respectifs seront informés sans délai. 

    Pour les incidents généraux, nous informerons les utilisateurs par le biais de nos blogs, forums et médias sociaux. Pour les incidents spécifiques à un utilisateur ou à une organisation, nous informerons la partie concernée par e-mail (via son adresse e-mail principale). Le rapport complet sera fourni aux clients sur demande dans un délai de 5 à 7 jours ouvrables.

  • Quelles sont les responsabilités de Zoho lors d'un incident de sécurité ?

    Nous vous informons des incidents qui vous concernent, ainsi que des mesures appropriées que vous devez prendre, si nécessaire. Nous assurons le suivi et la clôture des incidents grâce aux mesures correctives appropriées. Le cas échéant, nous vous fournirons les preuves nécessaires liées aux incidents qui vous concernent. L'analyse des causes premières sera fournie sur demande.

  • Zoho est-il conforme à la norme PCI DSS ? 

    Parmi les services Zoho, les services suivants sont conformes à la norme PCI DSS : tous les produits Zoho Finance Plus (c'est-à-dire Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout et Zoho Commerce). Le service de paiement utilisé par les clients pour acheter des abonnements Zoho est également conforme à la norme PCI.

    Les autres services de Zoho ne transmettent ou ne stockent jamais vos informations de carte de crédit.

  • En tant que client de Zoho, quelles sont les options de sécurité supplémentaires dont j'ai besoin pour protéger mes données ?

    Des fonctions de sécurité supplémentaires peuvent être utilisées par les clients :

    • Authentification multifacteur
    • Stratégie de mot de passe configurable
    • Restrictions d'adresses IP
    • Contrôle d'accès basé sur les rôles
    • Chiffrement des champs personnalisés
    • Audit des activités du compte
  • Si un client résilie le service Zoho, pendant combien de temps les données sont-elles conservées ?

    Nous conservons les données dans votre compte tant que vous choisissez d'utiliser Zoho Services. Lorsque vous résiliez votre compte utilisateur Zoho, vos données sont finalement supprimées de la base de données active lors du prochain nettoyage qui a lieu une fois tous les 6 mois. Les données supprimées de la base de données active sont supprimées des sauvegardes au bout de 3 mois.

  • Qu'est-ce que le plan de continuité d'activité et de reprise après sinistre de Zoho ?

    Nous disposons d'un plan de continuité des activités pour nos principales opérations, telles que l'assistance et la gestion de l'infrastructure. Pour la redondance, les données du centre de données principal (DC) sont répliquées dans le centres de données secondaire. En cas de défaillance du centre de données principal, le centre de données secondaire prend le relais et les opérations continuent sans heurt, avec une perte de temps minimale ou nulle.

  • Quelle est votre politique de sauvegarde des données ?

    Nous effectuons des sauvegardes complètes une fois par semaine et des sauvegardes supplémentaires tous les jours. Les données de sauvegarde d'un centre de données sont stockées au même emplacement et chiffrées au repos, comme les données d'origine. En outre, nous restaurons et validons les sauvegardes chaque semaine. Un délai de conservation de 3 mois est applicable à toutes les données sauvegardées. En cas de demande d'un client spécifique, nous restaurerons ses données à partir de la sauvegarde et les mettrons à sa disposition.

  • Quels contrôles avez-vous mis en place lors de l'accès aux données client ?

    Nous utilisons des contrôles d'accès techniques et des règles internes pour empêcher les employés d'accéder arbitrairement aux données utilisateur. Nous adhérons aux principes du moindre privilège et des autorisations basées sur les rôles, afin de minimiser le risque d'exposition des données.  L'accès aux environnements de production est facilité grâce à un réseau séparé doté de règles plus strictes et d'appareils renforcés. Le contrôle d'accès est géré par un répertoire central et authentifié à l'aide d'une combinaison de mots de passe fort, de l'authentification à deux facteurs et de clés SSH protégées par une phrase de sécurité.

  • Quel est votre engagement concernant le SLA pour la disponibilité ?

    Notre engagement en matière de SLA pour la disponibilité est de 99,9 % du temps de disponibilité mensuel. Nous avons mis en œuvre des redondances à différents niveaux, de l'infrastructure aux fournisseurs d'accès Internet, afin de respecter cet engagement. Les données du centre de données principal sont répliquées dans le centre de données secondaire, et une version en lecture seule des applications Zoho est toujours fournie par le centre de données secondaire.

  • Quel est votre processus d'évaluation des risques ? À quelle fréquence l'évaluation des risques est-elle effectuée ?

    Nous disposons d'une politique et d'une procédure d'évaluation des risques permettant d'identifier, d'analyser et d'atténuer les risques en mettant en œuvre les contrôles appropriés. Nous effectuons une évaluation des risques pour chaque changement majeur qui se produit dans notre environnement. Les risques globaux sont examinés et mis à jour une fois par an. 

  • Quelle est votre politique de vérification des antécédents de l'employé ?

    Chaque employé est soumis à un processus de vérification des antécédents. Nous employons des agences externes réputées pour effectuer cette vérification en notre nom. Nous procédons ainsi pour vérifier le casier judiciaire, les dossiers d'emploi précédents, le cas échéant, ainsi que le niveau de formation. Tant que cette vérification n'a pas été effectuée, un employé ne sera jamais affecté à des tâches susceptibles de présenter des risques pour les utilisateurs.

  • Quelles certifications Zoho possède-t-il pour prouver sa conformité aux normes ?

    Nous possédons les certifications ISO 27001, ISO 27017 et ISO 27018.  Par ailleurs, Zoho se conforme à la norme SOC 2 Type II en matière de sécurité, de confidentialité, d'intégrité de traitement, de disponibilité et de confidentialité. Les audits ISO et SOC sont réalisés chaque année, couvrant tous les contrôles importants et essentiels. Zoho Corporation participe et certifie sa conformité aux règles de l'E.U.-U.S. Privacy Shield (bouclier de protection des données UE-États-Unis).

    Cliquez ici pour plus d'informations.

  • Partagerez-vous mes données aux fins de l'application de ma loi ?

    Nous accordons toujours la plus grande importance à la confidentialité des clients. Lorsque nous recevons des demandes de la part des autorités chargées de l'application de la loi, nous examinons ces demandes pour déterminer si la procédure juridique applicable a été suivie dans le but d'obtenir un ordre valide et contraignant. Nous nous opposons à des demandes trop nombreuses ou inappropriées. À moins que la loi ne l'interdise, nous informons nos clients avant de divulguer leurs données afin qu'ils puissent se protéger de cette divulgation.