| |
| — | securitypolicy [2025/10/15 10:32] (Version actuelle) – créée - modification externe 127.0.0.1 |
|---|
| | <html><!-- nomoodle --></html>{{ :blocks:logo-apl.png?nolink |}}<html><!-- /nomoodle --></html> |
| |
| | ===== Politiques de confidentialité et sécurité des données clientes ===== |
| | |
| | ==== Localisation des serveurs ==== |
| | |
| | Toutes les infrastructures utilisées par ActiveproLearn sont garanties implantées en France métropolitaine, sur les sites de Roubaix, Strasbourg. |
| | |
| | ==== Accès serveurs ==== |
| | |
| | === Accès serveurs mutualisés === |
| | |
| | Les accès serveurs sur des infrastructures mutualisées entre plusieurs opérateurs ne sont pas permis pour les opérateurs ou leur délégation technique. |
| | |
| | === Accès serveurs dédiés === |
| | |
| | Sur demande des accès par les services techniques de l'opérateur de l'application peuvent être accordés, sur la base d'une co-administration raisonnée de l'infrastructure. Dans ce cas, le catalogue des manœuvres que s'autorise l'opérateur doit être spécifié. |
| | |
| | Ces accès ne sont pas attribués par défaut. |
| | |
| | === Accès de serveurs tiers à compte d'opérateur pour infogérance === |
| | |
| | Lorsque ActiveProLearn est mandaté pour infogérer les aspects système ou techniques d'une infrastructure à compte du client opérateur, nous préconisons la mise en place d'un accès unique à travers une machine "bastion" de notre infrastructure. |
| | |
| | ==== Modes opératoires de applicatifs moodle hébergés ==== |
| | |
| | Nous appliquons une recommandation forte d'usage d'un accès en HTPS avec mise en place d'un certificat. Si le client opérateur n'en dispose pas, nous mettons en place par défaut des certificats Let'sEncrypt pour le domaine visé. |
| | |
| | ==== Cohabitation d'applicatifs autres (que moodle) ==== |
| | |
| | Seuls les hébergement en serveur dédié peuvent accepter l'intégration d'applicatifs Web autres ue moodle. Cette possibilité n'est pas autorisée sur nos infrastructures mutualisées et optimisées pour moodle. |
| | |
| | ==== Cryptage des données physiques ==== |
| | |
| | Pour des raisons de performance, et parce que les données à nature pédagogique ne représentent pas de caractère critique de confidentialité, nous ne mettons pas en place de cryptage physique des données lors de leur stockage sur les disques durs ou les bases de données, en dehors de politiques de cryptages intégrées dans les modules applicatifs eux-mêmes (authentification par exemple) |
| | |
| | ==== Protection des serveurs ==== |
| | |
| | Nos infrastructures sont conçue pour exposer le moins possible les éléments d'infrastructure à l'internet public. La règle générale est la mise en place de proxies d'entrée sur les protocoles "nécessaires et suffisants" pour assurer l'exploitation des applicatifs. |
| | |
| | Les services sont protégés par fail2ban. |
| | |
| | Les ports sont protégés par la politique firewall de l'opérateur d'infrastructure. |
| | |
| | |
| | ==== Transmission de données, échantillons en avant vente ==== |
| | |
| | Les phases de test ou d'expérimentation sur données clientes peuvent conduire ActiveProLearn à disposer de données réelles, anonymisées ou non. La confidentialité de ces échantillions doit être assurée en respectant les règles suivantes : |
| | |
| | * Lors de la transmission vers ActiveProLearn, ne pas utiliser de dépôt ou de méthodes d'accès ouvertes au public |
| | * Lors de la transmission vers ActiveProLearn d'échantillons de grande taille, utiliser des sites de transmission d'archives sécurisés par mot de passe. |
| | * Lors de la transmission vers ActiveProLearn d'échantillions de petite taille, ne pas insérer les données comme pièce attachée d'une diffusion de groupe. Adresser directement le fichier à son opérateur technique. |
| | * Les collaborateurs techniques d'ActiveProLearn s'engagent à ne pas réutiliser ces données sur d'autres environnements (autres plates-formes, projets, environnements clients), à moins d'une autorisation explicite du fournisseur initial des données. |
| | * Les données fournies ne peuvent être installées QUE sur des environnements locaux de développement et de test, non diffusés en ligne. |
| | * Les données fournies doivent être détruites (ainsi que toutes leurs copies, et sur tous les supports) à l'issue de la période d'avant-vente, si le marché n'est pas conclu. |
| | |
| | ==== Usage des données fournies pour exploitation ==== |
| | |
| | Toutes les données fournies pour, ou constituées pendant l'exploitation appartiennent au client. ActiveProLearn a pour mission de protéger l'accès à ces données ou à des copies de ces données qu'aux personnes "ayant un droit légitime" sur ces données. |
| | |
| | Les données peuvent être à tout moment restituées au client, sous forme d'exports de base de données et d'archive de fichiers. |
| | |
| | Les données d'origine (données de chargement) pourront être conservées un certain temps par ActiveProLearn, notamment pendant la période de vérification de service régulier (VSR). Au bout d'un certain temps de fonctionnement, ces données seront détruites (bases de données temporaires, archives SQL, archives). La disponibilité des données est alors basée sur les dernières sauvegardes du site. |
| | |
| | En dehors des périodes contractuelles d'exploitation une plate-forme opérationnelle peut être laissée à disposition du client, uniquement pour ses comptes administrateur, afin de récupérer et archiver des données. La durée de maintien peut varier selon les accords contractuels entre ActiveProLearn et son client. |
| | |
| | ==== Confidentialité des données pendant l'exploitation ==== |
| | |
| | ActiveProLearn préserve la confidentialité des données en s'interdisant : |
| | |
| | * La diffusion à des tiers de données, même anonymisée, hormis dans le cadre d'une demande de service du propriétaire des données. |
| | * L'attribution d'accès tiers autres que l'équipe opérationnelle d'ActiveProLearn |
| | * L'export et la réutilisation de matériel pédagogique (autres que ceux mis à disposition par ActiveProLearn comme documentation ou tutorialisation de la plate-forme). Il peut y avoir exception sur sur accord formel du client. La mention explicite figure dans ce cas sur la page publique du démonstrateur.<html><!-- nomoodle --></html> [[http://demo.formation-enligne.com/course/view.php?id=80|Voir un exemple]].<html><!-- nomoodle --></html> |
| | |
| | Si des demandes d'observation des pratiques sont adressées à ActiveProLearn, alors le client doit donner son approbation et être pleinement informé du périmètre de la communication qui est demandée. |
| | |
| | ==== Usage des données d'archive ==== |
| | |
| | |
| | ==== Usage des données en fin de contrat ou de service ==== |
| | |
| | Les sauvegardes et archives détenues par ActiveProLearn peuvent être conservées pendant un temps de garde par nos soins, et ce afin de prévoir : |
| | |
| | * Une reprise de l'exploitation en cas de changement de décision du client. |
| | * Une reprise de la réversibilité, en cas d'incident technique de réintégration des données sur un système externe. |
| | |
| | Cette durée est en général comprise entre 6 mois et 1 an. Cette conservation n'est pas obligatoire. |
| | |
| | |
| | <html><!-- nomoodle --></html> |
| | ---- |
| | [[start|Revenir au catalogue des services]] - [[plugins|Aller à l'index des plugins]] - [[faq|Guide de démarrage/FAQ sur Moodle]] |
| | <html><!-- nomoodle --></html> |
