Mesures de sécurité

Nous décrivons ici comment nous travaillons avec la sécurité et le RGPD, et commençons par ce dernier. La majeure partie de notre Accord de Service concerne le traitement des données personnelles et contient donc également des aspects de confidentialité et de sécurité. En plus de ce qui est stipulé dans l'accord, nous tenons un registre du traitement des données personnelles, qui comprend, entre autres, quelles données sont stockées par support de stockage et pendant combien de temps. Nous effectuons des examens réguliers pour garantir notre conformité au RGPD, dans le but de limiter le stockage des données personnelles et de le rendre plus sûr.

Notre environnement de production est maintenu avec des mises à jour régulières du système d'exploitation (Debian) et des logiciels serveurs tels qu'Apache, MariaDB, Tomcat et Java. Nous ne partageons pas de serveur avec d'autres entreprises. Les mots de passe des utilisateurs sont stockés chiffrés (hachés) avec un sel. Les fichiers des utilisateurs sont stockés chiffrés sur le serveur à condition que l'utilisateur ait défini un mot de passe lors du téléchargement.

Notre logiciel contient des mécanismes pour détecter le spam et limiter l'envoi d'e-mails et de fichiers.

Dans le développement de notre logiciel, nous suivons des règles courantes pour prévenir l'injection SQL et le Cross-site scripting (XSS). Les entrées utilisateur sont validées à la fois côté client et côté serveur. Tous les ordinateurs des employés ont des disques durs chiffrés.

Mesures prévues

Nous prévoyons de mettre en œuvre les améliorations et mesures suivantes.

1. Moins de données personnelles dans les e-mails sortants : L'expéditeur devrait pouvoir décider quelles données personnelles sont envoyées dans l'e-mail au destinataire. Il devrait également être possible d'exiger que le destinataire s'identifie par e-mail, par mobile ou avec BankID suédois.
2. Aucun sous-traitant américain : Sprend devrait remplacer les fournisseurs en dehors de l'UE par des alternatives suédoises ou basées dans l'UE.
3. Effectuer des tests de pénétration : Nous devrions tester régulièrement notre environnement de production afin de détecter les vulnérabilités connues.
4. Contrôle antivirus : Sprend devrait offrir une analyse antivirus automatique des fichiers envoyés.
5. Sécurité accrue lors de la connexion : Une authentification multifacteur pour les comptes utilisateurs devrait être proposée.

Arne Evertsson, 2026-02-05