Sécurité et confidentialité

La sécurité de vos informations au centre de nos préoccupations

Rationalk est un logiciel professionel utilisable depuis un navigateur web comme Internet Explorer () ou Chrome ().

Le logiciel RationalK a été développé suivant les standards actuels de sécurité appliqués aux logiciels d'entreprise :

• Toutes les données qui transitent sont cryptées (TLS/SSL) car nous utilisons uniquement des échanges sous le protocole HTTPS. Les informations transmisent entre votre navigateur et le cloud sont protégées contre les interceptions.
• Pare feu applicatif (Cloudflare WAF)
• Protection DDoS (Cloudflare DDoS)
• Les pages sont protégées par mot de passe haute sécurité : bcrypt
• Les tentatives de hacking de mot de passe sont detectées et les comptes automatiquement mis à l'abris
• Les mots de passe choisis par les utilisateurs doivent respecter une complexité pour être acceptés
• Il est possible de forcer les utilisateurs à changer leurs mots de passe tous les X jours
• Il est possible de régler le nombre de jours après lequel l'utilisateur doit saisir à nouveau son mot de passe (délai d'expiration du cookie de connexion)
• Aucun mot de passe ne transite en clair dans l'application
• Authentification à double facteur
• Il est possible de restreindre la création de nouveaux utilisateurs par domaine d'adresse email (example : ma-societe.ch, masociete.com)
• Rationalk peut authentifier vos utilisateurs par le protocole SAML 2.0 SSO (en option)
• Rationalk peut se connecter au serveur LDAP/Active Directory de votre entreprise pour gérer les comptes et mots de passes utilisateurs (en option)
• Nous appliquons les mises à jour de sécurité de linux régulièrement
• Nos serveurs sont derrière des firewalls de dernière génération
• Backup de nos serveurs en Suisse avec Acronis intégré à Swiss Backup de Infomaniak
• Backup de nos serveurs en Suisse avec rsync.net
• Nous pouvons proposer des backups à intervalles réguliers de vos données. Les backups peuvent être faits sur le lieu de votre choix (un ftp, sur dropbox, ...). Le transfert des données lors du backup se fait par un outil sécurisé (scp)
• Le logiciel en lui-même ne contient quasiment aucune donnée confidentielle (seules les données nécessaires à l'affichage du navigateur)
• Nous avons confié la gestion de nos serveurs à des sociétés de rang 1 : Infomaniak (CH), Exoscale (CH) et Hetzner (DE). Nos serveurs ne sont en effet pas dans nos locaux mais dans des bunkers sécurisés
• Une gestion des rôles permet de contrôler les droits de chaque utilisateur de manière très précise
• Traçabilité complète de toutes les actions faîtes dans le logiciel (audit trail)
• En option : Chiffrement sécurisé de la base de donnée (Encrypted at rest)

Cloud hybride sécurisé

La base de données (vos données) à laquelle Rationalk se connecte peut se trouver à différents endroits :

• Sur un de nos serveurs cloud loué par RationalK à l'extérieur de nos murs :
  • Suisse : Exoscale ou Infomaniak (tous deux : ISO/IEC 27001 (Information security management systems)). En savoir plus sur la sécurité Exoscale
  • Allemagne : Hetzner
  • France : OVH
• Chez vous :
  • Sur un de vos serveurs en interne à l'entreprise managé par votre IT (dans ce cas nous vous donnons un script d'installation).
  • Sur un de vos serveurs loués par vos soins à l'extérieur de vos murs. Vous être libre de choisir.

Nous pouvons mettre en place des applications replica (aussi appellées staging) pour vos essais.

Audits de sécurité et tests

• Des stress tests
• Un enregistrement (log), anonymisé ou non, de tous les appels aux fonctions (et de leur résultats)
• Quota de consultations et/ou de kb téléchargés
• Couverture complète de tests logiciel sur les fonctions critiques : accès, confidentialité des données projets, ...
• Tests de vérification des données transmises au client (le navigateur de l'utilisateur)
• Tests de singe (Monkey testing)
• Outil d'auto-diagnostic : une méthode d’exploration de la base avec un profile utilisateur fictif et vérification des données reçues
• Tests d'intrusion

Confidentialité

• Rationalk est compatible avec la nouvelle legislation RGPD
  • En tant que fournisseur de solutions cloud à ses clients, Rationalk est un sous-traitant de données
  • Rationalk met à disposition de ses clients une checklist RGPD
  • Des contrats spécifiques RGPD sont signés entre Rationalk et ses clients et Rationalk et ses sous-traitants
  • Rationalk limite le nombre de ses sous-traitants au strict minimum : les fournisseurs de serveur (Infomaniak, ...), des experts IT et sécurité
• Si notre aide est nécessaire pour vous aider à utiliser Rationalk, nous signons un accord de confidentailité (NDA) et venons sur votre application

Contrat de service (SLA)

• Si nos conditions générales ne vous suffisent pas, nous établissons avec vous un contrat de service sur-mesure.
• RTO (recovery time objective) : durée maximale d’interruption admissible. Nous définissons ensemble la criticité de notre logiciel dans votre business. En cas d'interruption majeure de service, nous pouvons rétablir votre application sous 30 minutes.
• RPO (recovery point objective) : durée maximale de perte de données acceptée en cas de panne. Nous définissons ensemble la stratégie de sauvegarde de vos données.

Pérennité de la solution logicielle

• Retro-compatibilité assurée à 100% entre les changements de version du logiciel ; même avec les modules sur-mesures. Les développements sur-mesure seront toujours compatible avec les mises à jour Rationalk.
• En cas de cessation d'activité de Rationalk SARL :
  • Le client peut continuer d'utiliser le logiciel Rationalk indéfiniment
  • Le code source du logiciel sera fourni au client qui pourra ensuite reprendre le développement du logiciel ou le confier à une société de développement logiciel (les technologies utilisées par Rationalk sont des technologies standard dans le monde du logiciel)
• Un contrat avec option d'achat est possible
• Vous avez la possibilité de récupérer vos données :
  • Export xlsx des tâches, des projets, des journaux projets, des formulaires en base de données
  • Export pdf des PV de réunions (aussi xlsx)
  • Sur demande, nous pouvons vous fournir un export de la base de donnée complète (format mongoDB)
  • Sur demande, nous pouvons vous fournir une archive de l'ensemble des fichiers uploadés
  • Sur demande, nous organisons tout type d'exports et pouvons automatiser ces exports sur votre infrastructure