Quelles sont les mesures prises par Keeper Security quant au RGPD ?
Nous avons travaillé en collaboration avec TrustArc, leader mondial du respect des normes de protection de la vie privée, pour identifier les changements nécessaire à effectuer dans nos procédures, pratiques en matière de confidentialité et produits afin de les conformer aux exigences du RGPD.
En tant qu'entreprise à connaissance nulle, nos produits et services centraux sont étroitement alignés sur le RGPD. Le respect des lois internationales et la protection de la confidentialité de nos clients sont primordiaux à nos yeux.
Qu'est-ce que la connaissance nulle ?
Keeper est un fournisseur de services de sécurité basé sur le principe de zero knowledge. L'utilisateur de Keeper est le seul à exercer un contrôle total sur le chiffrement et le déchiffrement de ses données. Avec Keeper, le chiffrement et le déchiffrement se font uniquement sur l'appareil de l'utilisateur, au moment de la connexion au coffre-fort. Chaque archive individuelle stockée dans le coffre-fort de l'utilisateur est chiffrée à l'aide d'une clé AES 256 bits générée de manière aléatoire sur l'appareil. Les clés des archives sont protégées par une clé supplémentaire, appelée clé de données. Dans le cas des utilisateurs qui se connectent à Keeper avec un mot de passe principal, la clé de données est chiffrée par une clé dérivée sur l'appareil à partir du mot de passe principal de l'utilisateur suivant la méthode PBKDF2 avec 1 000 000 d'itérations. Pour les utilisateurs qui se connectent avec l'authentification unique, la clé de données est chiffrée par une clé privée à courbe elliptique. Les données stockées au repos sur l'appareil de l'utilisateur sont également chiffrées par une autre clé AES 256 bits, appelée clé client. La synchronisation sécurisée des archives entre les appareils de l'utilisateur est également chiffrée au niveau de la couche réseau et passe par le coffre-fort sécurisé dans le cloud de Keeper. Ce modèle de chiffrement à plusieurs niveaux offre la protection des données la plus avancée du secteur.
Quels changements Keeper Security a-t-il mis en place pour assurer la conformité avec le RGPD ?
En tant que plateforme à connaissance nulle, les données stockées sur notre produit sont intégralement chiffrées et à la seule disposition de l'utilisateur. Nous avons apporté des modifications à nos systèmes analytiques pour garantir l'anonymat de nos clients. D'autres modifications vous permettent de contrôler votre consentement quant à la façon dont toute donnée à caractère personnel vous concernant et susceptible d'être collectée est utilisée ou stockée.
Keeper est-il sous-traitant ou responsable du traitement des données ?
Le RGPD identifie deux entités pouvant traiter des données à caractère personnel. Un « responsable du traitement des données » décide des données à collecter et contrôle le traitement des données à caractère personnel. Un « sous-traitant » agit sous la direction d'un responsable du traitement et collecte, stocke, extrait et/ou supprime des données à caractère personnel. Keeper Security est un responsable du traitement des données lorsque nous vendons notre gestionnaire de mots de passe directement à des particuliers. Nous sommes un sous-traitant lorsque nous vendons un produit à des entreprises, qui sont alors considérées comme responsables du traitement.
Comment faire pour exporter mes données personnelles ?
Pour exporter vos données, connectez-vous au coffre-fort Internet de Keeper sur https://keepersecurity.com/vault et cliquez sur Plus >> Sauvegarde >> Exporter. Vous pouvez télécharger vos données stockées au format CSV ou PDF. Si votre compte est arrivé à expiration, contactez-nous à l'adresse exportme@keepersecurity.com et notre équipe d'assistance vous aidera pour accéder à votre coffre-fort.
Comment faire pour demander la suppression de mes données ?
Contactez-nous par e-mail à l'adresse deleteme@keepersecurity.com en indiquant l'adresse e-mail associée à votre compte Keeper.
Où sont stockées mes données ?
Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.
Comment faire pour transférer mes données du centre de données américain vers le centre de données européen ?
Contactez-nous à l'adresse exportme@keepersecurity.com pour recevoir des instructions et de l'assistance pour transférer vos données.
Comment Keeper Security peut nous aider à nous conformer au RGPD ?
Architecture à connaissance nulle et sécurité: le gestionnaire de mots de passe Keeper est conçu de A à Z sur le principe qu'un utilisateur individuel est la seule personne à avoir accès à ses données. Ce principe s'accorde parfaitement avec les principes et obligations de protection des données du RGPD. Tous les chiffrements sont effectués sur le ou les appareils de la personne. Les données sont chiffrées à l'aide du protocole Transport Layer Security (TLS) lors de leur transfert et sont stockées sous forme de ciphertext chiffré AES-256. La séparation des données et clés de chiffrement garantit qu'aucun employé de Keeper n'a accès aux données du coffre-fort d'un client. Conformément à l'Article 34, si les données d'un coffre-fort Keeper venaient à être violées, le contenu chiffré (ciphertext) serait inutile aux pirates responsables de l'attaque et il n'y aurait donc pas besoin de prévenir le client.
En plus d'analyses et tests de sécurité réguliers, Keeper est certifié SOC 2 Type 2 et ISO27001 annuellement.
Keeper utilise l'infrastructure Cloud renforcée d'Amazon AWS dans différentes régions géographiques pour l'hébergement et le fonctionnement du coffre-fort Keeper. Les données stockées et en transit sont localisées en intégralité sur le centre de données global choisi par l'utilisateur. Autrement dit, les données européennes restent en Union européenne. Cette solution fournit aux clients le stockage dématérialisé le plus rapide et sécurisé possible.
Aucun traitement supplémentaire: Keeper n'exploite en aucune circonstance les données des coffres-forts de ses clients. Tout d'abord, une politique établie aux plus hauts niveaux hiérarchiques de Keeper assure que nous garantissons la protection de la confidentialité de nos clients. De plus, grâce à notre architecture à connaissance nulle, une telle exploitation serait techniquement impossible. Cela suit les principes du RGPD en matière de politiques techniques et d'entreprise pour la protection des données à caractère personnel.
Contrôle des données: les clients peuvent exporter leurs données (au format CSV et PDF), modifier ou supprimer les archives de leur coffre-fort à tout moment. Cela permet de respecter les obligations du RGPD concernant le transfert ou la suppression des données à caractère personnel dès que l'utilisation visée est terminée, que le consentement est retiré ou que l'objectif de l'entreprise légitime change. Étant donné que les personnes concernées utilisent leur coffre-fort Keeper en libre-service, les obligations de respect du RGPD sont considérablement allégées pour le responsable du traitement des données. Les données sont chiffrées de manière à ce qu'elles soient uniquement accessibles à la personne concernée, aucun employé ne peut donc les voir, ni n'a aucun besoin de les voir.
Contrôle d'accès en fonction du rôle: le principe de sécurité de moindre privilège signifie que les collaborateurs d'une entreprise devraient avoir accès uniquement aux données nécessaires à leur travail. Ce principe est le plus souvent mis en pratique avec le contrôle d'accès en fonction du rôle (RBAC).
Keeper fonctionne avec Microsoft Active Directory (AD) afin de synchroniser nœuds (unités d'organisation), équipes et utilisateurs. Une fois connecté, Keeper propose la fonction de contrôle d'accès en fonction du rôle (RBAC) sur n'importe quel nœud. Ces contrôles peuvent être appliqués en cascade aux nœuds de niveau inférieur au besoin. Ces contrôles des coffres-forts Keeper incluent : complexité du mot de passe principal, délai de rotation, application de l'authentification à deux facteurs, liste verte d'adresses IP, etc. Keeper verrouille les comptes clôturés dans AD et permet de transférer ces comptes à des administrateurs de confiance. Les administrateurs informatiques contrôlent ainsi les biens et comptes de données sur toute l'entreprise.
Analyse et auditing: Keeper Enterprise permet d'analyser la complexité et la réutilisation des mots de passe des collaborateurs, ainsi que l'utilisation de l'authentification à deux facteurs. Keeper propose des journaux d'audit avec horodatage et des options de filtre pour effectuer des recherches rapides d'anomalies, mauvais comportement, procédures d'analyses ou signalement de non-respect.
