Sécurité et conformité

ScreenshotCenter maintient un programme de sécurité fondé sur les risques, axé sur la confidentialité, l’intégrité et la disponibilité des données clients et des services.

• • Principe du moindre privilège pour les systèmes internes.
• • Contrôles d’accès par rôles pour les fonctions opérationnelles.
• • Authentification multifacteur pour les comptes d’administration lorsque c’est possible.
• • Révisions périodiques des accès et procédures de sortie du personnel.

• • Infrastructure cloud avec environnements segmentés.
• • Filtrage réseau et accès d’administration restreint.
• • Référentiels de durcissement pour les hôtes et services.
• • Supervision et alertes pour les activités anormales et la santé des systèmes.

• • Protection des données en transit par TLS.
• • Protection des données au repos via les contrôles de la plateforme et des fournisseurs.
• • Gestion des secrets et identifiants dans des mécanismes de stockage contrôlés.
• • Accès aux éléments secrets limité aux systèmes et personnels autorisés.

• • Pratiques de développement sécurisé (conception, mise en œuvre, déploiement).
• • Gestion des dépendances et des correctifs.
• • Validation des entrées et gestion centralisée des erreurs dans les services API.
• • Journaux et observabilité pour la détection et la réponse.

• • Analyses régulières et suivi des vulnérabilités identifiées.
• • Priorisation selon la gravité et l’exploitabilité.
• • Délais de correction alignés sur le niveau de risque.
• • Vérification des correctifs par les tests et les contrôles de déploiement.

Nous maintenons des procédures de réponse aux incidents incluant identification, confinement, analyse, atténuation et revue post-incident. Le cas échéant, les clients concernés sont informés conformément aux obligations légales et contractuelles.

• • Sauvegarde et reprise pour les données critiques des services.
• • Supervision opérationnelle pour la disponibilité et les performances.
• • Files d’attente et mécanismes de nouvelle tentative pour un traitement résilient des tâches.
• • Amélioration continue après incident.

Le traitement et la conservation sont régis par les paramètres produit, les conditions de la formule souscrite et les obligations légales. Les clients doivent configurer les sorties et intégrations selon leurs propres exigences de conformité.

Nous faisons appel à des fournisseurs tiers de confiance pour l’infrastructure et les fonctions opérationnelles. Ils sont sélectionnés et suivis selon des critères de sécurité et de fiabilité adaptés à leur rôle.

ScreenshotCenter ne stocke, ne traite ni ne transmet les numéros de carte bancaire sur sa propre infrastructure. L’ensemble du traitement des paiements est assuré par Braintree (service PayPal), prestataire PCI DSS de niveau 1.

• • Les données de carte ne transitent pas par les serveurs ScreenshotCenter : elles sont saisies et tokenisées dans le navigateur via les champs hébergés de Braintree.
• • Braintree est certifié PCI DSS niveau 1, le plus haut niveau d’exigence de l’industrie des cartes de paiement.
• • Braintree applique des mesures de sécurité des données incluant chiffrement, tokenisation et détection de fraude.
• • La documentation sécurité et conformité de PayPal est disponible sur paypal.com/us/legalhub.
• • La politique de confidentialité de Braintree : braintreepayments.com/legal/braintree-privacy-policy.

En confiant entièrement le traitement des cartes à Braintree, ScreenshotCenter réduit fortement son périmètre PCI DSS et le risque d’exposition des données de paiement. Pour la conformité de Braintree, voir leur documentation développeur ou l’assistance Braintree.

• • Protéger les clés API, identifiants et comptes du tableau de bord.
• • Configurer correctement les contrôles d’accès et les intégrations.
• • Examiner les livrables contenant des données sensibles ou réglementées avant diffusion.
• • Respecter vos obligations internes pour les contenus capturés.

Pour toute question de sécurité : security@screenshotcenter.com.