Sécurité

La sécurité est essentielle pour le service du recommandé digital, non seulement pour obtenir la valeur juridique requise, mais aussi pour garantir la confidentialité des messages et des documents. L’équilibre entre le degré de sécurité, d’une part, et la convivialité, d’autre part, est une considération importante que nous prenons constamment en compte. Les risques potentiels sont exclus et/ou atténués autant que possible grâce à une multitude de mesures prises et à une surveillance étroite du service afin d’en assurer le bon fonctionnement. Le service est régulièrement testé par des parties indépendantes, qu’elles soient ou non mandatées par nos partenaires commerciaux ou nos clients (entreprises).

Certaines mesures ont été mises en évidence :

Sécurité

  •  Prestataire de services de confiance qualifié ; Aangetekend BV et IPEX S.A. figurent sur la liste de confiance de l’UE en tant que prestataires de services de confiance qualifiés fournissant un service de confiance qualifié, Registered Mailing Plus, et se sont vu accorder le statut de prestataire qualifié par l’organe de surveillance conformément au règlement eIDAS. Les exigences applicables aux prestataires de services de confiance qualifiés sont strictes et vont bien au-delà, par exemple, de la certification ISO27001 décrite à l’article 24 du règlement eIDAS. La liste de confiance de l’UE : https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/FR et https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/BE
  • ISO27001:2013 certifiée par Lloyds Register ; ISO27001 est une norme internationale qui traite de la sécurité de l’information. La norme décrit les exigences relatives à la conception, à la mise en œuvre, au contrôle, à l’évaluation, à la maintenance et à l’amélioration des systèmes de gestion de la sécurité de l’information documentés. Tous les 12 mois, cette norme fait l’objet d’un examen externe, ce qui permet de garantir la sécurité de l’information. Aangetekend BV exige également la même norme de la part de ses fournisseurs.
  • Des processus de gestion des risques opérationnels, de sécurité et d’architecture (OSA) ont été mis en place pour et par les banques et les assureurs.
  • Des pirates informatiques éthiques testent régulièrement la sécurité du service (tests PEN), qu’ils soient ou non mandatés par des entreprises clientes.

Notre agent belge IPEX S.A. se conforme aux exigences ci-dessus

  • Système de gestion de la qualité ISO 9001:2015 pour l’ensemble de ses processus. Ce système d’assurance qualité aide le groupe IPEX à répondre aux exigences et aux attentes de ses clients ainsi qu’aux exigences légales et réglementaires. Ainsi, ce système favorise la satisfaction des clients et l’amélioration continue de notre organisation et de nos processus. La norme ISO 9001 couvre la vente, la livraison, le service à la clientèle, l’assistance technique, la gestion et la maintenance des produits, des systèmes et des réseaux pour les solutions informatiques et d’externalisation destinées aux entreprises.
  • ISO14001:2015 Système de gestion environnementale pour tous les processus. Ce système garantit à nos clients une amélioration continue des performances et la protection de l’environnement (par exemple en prévenant la pollution de l’environnement). La norme nous aide à gérer les risques environnementaux associés à toutes nos activités.
  • ISO 27001:2013 Système de sécurité de l’information pour tous les processus. La sécurité de l’information (information interne et information provenant de nos clients) est l’une de nos principales préoccupations. Ce système de gestion garantit une méthode structurée et sécurisée de traitement de l’information et de protection contre les menaces potentielles.

La mise en œuvre effective des systèmes de gestion susmentionnés est contrôlée et certifiée par :

  • SGS ISO9001:2015, ISO14001:2015 et ISO27001:2013

Les données restent en Europe

  • Les centres de données utilisés par Aangetekend Mailen sont certifiés ISO27001 et sont situés sur le territoire néerlandais (donc également dans l’EEE).
  • La protection des données est convenue dans les accords de traitement conformément à la directive AVG/GDPR.
  • Une fois que le courrier recommandé a été collecté/rejeté ou que la période de collecte a expiré, le contenu proprement dit est supprimé du serveur de courrier recommandé, seules les métadonnées relatives à la communication sont conservées.

Connexion sécurisée entre l’expéditeur et le destinataire

  • Par organisation/processus, un serveur de courrier recommandé dédié est mis en place avec un certificat SSL afin qu’une connexion sécurisée (Secure SMTP – TLS) puisse être établie entre d’autres serveurs de courrier et des pages web (https://).
  • Les courriers recommandés sont conservés dans un environnement crypté jusqu’à ce que le courrier soit récupéré/rejeté ou que la période de récupération fixée ait expiré.
  • Les clés de chiffrement sont conservées séparément de l’environnement spécifique du client.

Retrait d’un courrier recommandé par le destinataire

  • Avant que le serveur d’envoi recommandé ne libère le courrier, un CE-ID (32 bits) est demandé ; si trois tentatives échouent, l’adresse IP est bloquée.
  • Un code de hachage (SHA256) est calculé sur toutes les pièces jointes envoyées avec le courrier d’annonce. Le destinataire peut éventuellement utiliser ce code pour vérifier l’authenticité du message.

Sauvegarde et correctifs des serveurs de courrier recommandé

  • Les sauvegardes sont effectuées automatiquement tous les jours et écrites dans une colocation.
  • Les correctifs de sécurité sont analysés quotidiennement et installés automatiquement.

Mise à jour et gestion du serveur de courrier recommandé

  • Le développement ultérieur se fait selon le principe de la “sécurité par la conception”, en consultant l’OWASP.
  • Les mises à jour sont développées et livrées dans un environnement OTAP.
  • La gestion est effectuée de manière préventive par du personnel qualifié et contrôlé à l’aide d’un système de surveillance qui garde un œil sur le bon fonctionnement de chaque serveur d’envoi recommandé en 32 points.
  • Mots de passe sécurisés pour l’accès SSH via des adresses IP connues uniquement pour les développeurs.
  • Les mesures anti-spam sont continuellement renforcées à l’aide de Reverse DNS, SPF, SSMTP, DKIM, DMARC et DANE, entre autres.

Des mesures de sécurité supplémentaires ont été prises en ce qui concerne le service d’envoi par courrier recommandé, qui est considéré comme confidentiel. De plus amples informations sur la sécurité peuvent être communiquées sur demande, après signature d’un accord de confidentialité et sur le site d’Aangetekend BV.

Back To Top