Certifications et déclarations de conformité d’Evidos

Evidos est leader sur le marché de la fourniture de solutions de signature numérique et de vérification d’identité électronique, mises à disposition sous la forme des plateformes Ondertekenen.nl et Signhost.com (ou Sign.fr en France). Evidos place la protection des informations qui y sont publiées parmi ses priorités. Nous mettons ainsi tout en œuvre pour éviter que toute personne non autorisée n’ait accès aux informations confidentielles de nos clients et pour veiller à ce que celles-ci soient exactes et accessibles au moment voulu. À cette fin, nous appliquons une politique de sécurité proactive.

Les méthodes de signature numérique proposées doivent être fiables et sécurisées. Pour ce faire, nous surveillons en permanence la qualité et la fiabilité de nos services, lesquels répondent en outre aux normes les plus strictes en vigueur, et ce à tous les niveaux de sécurité. Vous pouvez ainsi nous faire confiance pour la signature numérique de tous vos documents, notamment en format PDF. Evidos veille par ailleurs à ce que ses procédures et processus soient élaborés et mis en place conformément aux normes généralement admises (bonnes pratiques), telles que les normes ISO 27001 et COBIT.

Certifications et déclarations de conformité d’Evidos

Evidos dispose des certifications et des déclarations de sécurité suivantes :

  • Certification ISO/IEC 27001:2013
  • Déclaration en vertu de la norme Service Organization Control (SOC 2)
  • Déclaration TPM DigiD
  • iDIN – Digital Identity Service Provider (DISP)
dekra
Evidos veut pouvoir prouver à ses clients que la protection de leurs informations est parfaitement assurée. C’est pourquoi, depuis mars 2007, nous répondons à toutes les conditions de l’ISO/IEC 27001, norme de référence en matière de sécurité des informations.

Ces conditions concernent la commercialisation, le développement, la gestion et l’accueil d’un service de signature et d’authentification hébergé sur le cloud, intitulé Ondertekenen.nl et Signhost.com (ou Sign.fr en France).

Chaque année, l’organisme indépendant DEKRA Certification vérifie que nous respectons toujours les critères de la norme, tandis qu’un audit ISO complet a lieu tous les trois ans.

SOC2

Evidos répond aux exigences fixées par la norme SOC2. Cette déclaration offre à nos clients la garantie que les services d’Ondertekenen.nl (Sign.fr en France) ainsi que les produits développés respectent les règles les plus strictes. La déclaration en vertu de SOC 2 porte sur l’infrastructure, les logiciels, les procédures, les personnes et les données qui interviennent dans la livraison d’un service en ligne. Avec cette certification, nos clients néerlandais et étrangers savent d’emblée qu’Evidos respecte la norme la plus sévère à l’échelle internationale.

soc2
logius

Déclaration TPM DigiD

Logius – le service numérique du ministère néerlandais de l’Intérieur – requiert l’exécution d’un audit annuel visant à évaluer la sécurité informatique du service DigiD. Cet audit est mené par un auditeur en traitement informatique (EDP) reconnu issu d’un organisme indépendant agréé, qui rédige une déclaration de tiers (TPM) à la suite de l’audit.

Chaque année, Evidos communique cette TPM à ses clients qui ont recours au service DigiD.

iDIN – Digital Identity Service Provider (DISP)

Evidos est fournisseur de services d’identification numérique (Digital Identity SErvice Provider – DISP) pour la solution d’identification bancaire iDIN. L’organisation néerlandaise Betaalvereniging Nederland a décerné à Evidos la certification officielle l’autorisant à aider ses clients à installer iDIN sur leur propre site Internet. En tant que DISP, Evidos peut donc proposer directement les solutions iDIN, sans passer par l’intermédiaire d’une banque. Les bénéficiaires de ces services peuvent être des boutiques en ligne ou des services publics qui ont recours à iDIN pour l’identification d’utilisateurs ou de clients.

idin
iso

Hébergement

Le portail Signhost est hébergé dans un centre de données sécurisé aux Pays-Bas, qui répond également aux critères des normes ISO/IEC 27001:2013 et NEN 7510:2011.

Hébergement

Notre fournisseur d’hébergement produit chaque année un rapport ISAE 3402 de type II reflétant la fiabilité de ses services.

isae

Politique de divulgation responsable

Nous appliquons une politique de divulgation responsable (Responsible Disclosure), qui contribue à la protection de nos systèmes et de nos clients. Si vous rencontrez des problèmes de sécurité, nous vous prions de nous le signaler dans les plus brefs délais afin que nous puissions prendre les mesures adéquates.

Cryptage de données

Toute connexion établie avec le portail Signhost ou par l’intermédiaire de l’API se déroule sous la forme d’une connexion sécurisée SSL. Celle-ci veille au cryptage des données, une méthode notamment utilisée pour les opérations bancaires en ligne.

Centre de données sécurisé

Le portail Signhost est hébergé dans un centre de données sécurisé aux Pays-Bas, Notre partenaire d’hébergement sécurisé répond aux critères de la norme ISO 27001 relative à la sécurité des informations. Par ailleurs, notre fournisseur d’hébergement fait l’objet d’une déclaration ISAE 3402 de type 2.

Validité juridique

Signhost répond à toutes les conditions de signature électronique avancée, conformément à l’article 3:15a du Code civil néerlandais et au règlement européen eIDAS. Consultez notre page relative à la validité juridique.

Contrôle continu

L’application Signhost est en permanence protégée contre tout acte malveillant grâce au recours à des outils internes et externes. Pour l’évaluation des problèmes de sécurité, nous appliquons la directive OWASP.

zerocopter

Tests d’intrusion

Dans le cadre de l’évaluation de la sécurité informatique du service DigiD menée conformément au manuel d’évaluation DigiD 2.0 de l’organisation professionnelle d’auditeurs néerlandais NOREA, des tests d’intrusion sont effectués au moins une fois par an au niveau des environnements en ligne de Signhost. Ces tests sont effectués par alternance par différents organismes externes.

Déclaration de respect de la vie privée

Notre déclaration de respect de la vie privée et d’utilisation de cookies établit notamment le type de données à caractère personnel que nous collectons et les fins auxquelles nous les traitons. Cette déclaration fournit également des informations sur les cookies auxquels nous avons recours. Il est pour nous très important d’informer nos clients de façon claire et transparente sur ces sujets. Pour toute question éventuelle concernant le traitement de données à caractère personnel ou cette déclaration, n’hésitez pas à nous contacter.

Contrat de sous-traitance

Afin de veiller à ce que nos activités soient conformes à la législation actuelle et à venir en matière de respect de la vie privée, il est important que le traitement de données à caractère personnel fasse l’objet d’un accord contractuel. Evidos met ainsi à la disposition de ses clients un contrat de sous-traitance standard pour leur permettre d’agir en tous points dans le cadre de la loi. Ce contrat type tient compte des exigences découlant du Règlement général sur la Protection des données.

Plan d’intervention d’urgence en cas de fuite de données

Parallèlement à l’établissement avec nos clients d’accords (contractuels) sur le signalement de toute fuite de données, il est aussi essentiel que nous mettions tout en œuvre pour respecter ces accords. C’est pourquoi Evidos a mis au point des processus internes destinés à identifier de manière précoce toute fuite de données et à en assurer le suivi. Evidos dispose d’un plan d’intervention d’urgence décrivant les mesures prises en cas de fuite, que vous pouvez consulter sur demande.

Protection des données à caractère personnel

Conformément à l’article 13 de la loi néerlandaise relative à la protection des données personnelles, et, depuis le 25 mai 2018, à l’article 32 du Règlement général sur la protection des données, Evidos a mis en place des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre toute perte ou tout traitement illégitime. Evidos tient ce faisant compte des règles instituées par l’Autorité néerlandaise de protection des données, parmi lesquelles les « Règles relatives à la protection des données à caractère personnel (2013) ».

Règlement général sur la protection des données (RGPD)

Depuis le 25 mai 2018, la loi néerlandaise relative à la protection des données personnelles a été remplacée par le RGPD. Ce Règlement impose des obligations supplémentaires aux entreprises, parmi lesquelles la tenue d’un registre des activités de traitement, l’élargissement des droits des personnes concernées et l’obligation, dans certains cas, d’effectuer une analyse d’impact relative à la protection des données. Evidos s’est parfaitement informé sur tous ces changements et a veillé à ce que toutes ses activités soient conformes au RGPD dès son entrée en vigueur le 25 mai 2018.

Testez dès aujourd’hui la signature numérique de vos documents.
Faites un essai gratuit !