Sécurité standard suisse. Directement intégré.

Nos centres de données sont situés exclusivement en Suisse et sont soumis aux lois de protection des données les plus strictes au monde. La stabilité politique et la neutralité de la Suisse garantissent la sécurité à long terme des données critiques de votre entreprise.

• Centres de données conformes aux objectifs de niveau III de l'Uptime Institute
• Surveillance et contrôle d'accès 24h/24 et 7j/7
• Alimentation électrique et climatisation redondantes
• Traitement des données conformément au FADP suisse et au RGPD de l'UE

Nos contrôles de sécurité sont conformes à la norme PCI DSS v4.0 afin de protéger les données des titulaires de cartes. Nous effectuons des analyses de vulnérabilité externes trimestrielles par un fournisseur de solutions d'analyse agréé (ASV) et procédons à de nouveaux audits après des corrections ou des modifications importantes. Notre programme de sécurité inclut le chiffrement en transit, le renforcement du système, les contrôles d'accès et la surveillance continue pour répondre aux exigences PCI.

• Scans ASV trimestriels avec confirmation
• Re-scans après corrections et modifications importantes
• Principe de l'attribution minimale des droits et du MFA pour l'accès administratif

Nous sommes certifiés ISO 27001:2022, la dernière norme internationale pour les systèmes de gestion de la sécurité de l'information. Cette certification souligne notre engagement en faveur de normes de sécurité de pointe et d'une amélioration continue.

‍

• Audits de surveillance accrédités annuels et recertification tous les trois ans
• Mise en œuvre de toutes les exigences de la norme 2022
• Documentation complète sur la gestion des risques
• Audits internes et externes réguliers
• Mise en œuvre des contrôles étendus de l'audit de 2022

‍

Vous pouvez trouver plus d'informations sur nos certifications ici.

Nous protégeons les données de connexion de A à Z grâce à de puissants algorithmes de hachage, à des secrets chiffrés et à des flux de travail administratifs traçables.

• Mots de passe : stockage haché (Argon2ID ou bcrypt) avec des sels individuels par utilisateur ; pas de stockage en texte brut ; vérification et ajustement réguliers des paramètres de hachage.
• Secrets d'application et jetons : chiffrés au repos (par exemple, AES-256) avec une gestion des clés, une rotation et des contrôles d'accès stricts ; les jetons de courte durée sont préférés avec révocation lors de la déconnexion ou dans des scénarios de risque.
• Accès administratif : modifications signées par validation, succursales protégées et approbations par quatre yeux pour les flux de travail d'identification sensibles.

Nous concevons pour une haute disponibilité avec une redondance active, un basculement rapide et une communication d'état transparente.

• Conception redondante avec basculement automatique pour les services critiques
• Disponibilité cible : jusqu'à 99,99 %
• Aucun point de défaillance unique sur les chemins critiques
• Objectif : basculement automatique < 30 secondes pour les composants ausgewählte
• Tableau de bord du statut public : https://securesafe.site24x7statusiq.com/

Nous proposons des mécanismes de défense continus en amont au niveau du réseau et des applications, soutenus par une surveillance 24h/24 et 7j/7 et des temps de réponse rapides.

• Protection multicouche au niveau du réseau (L3/L4) et au niveau des applications (L7) avec nettoyage en amont
• Analyse automatique du trafic et filtrage intégrés via le pare-feu/équilibreur de charge de l'application
• Capacité du fournisseur de plusieurs térabits (aucun point d'atténuation unique)
• Surveillance 24h/24 et 7j/7 et réponse aux incidents sur appel

‍

Nous mettons en œuvre les principes du moindre privilège avec des contrôles d'accès finement gradués et basés sur des politiques qui s'adaptent au contexte.

• Contrôle d'accès basé sur les rôles (RBAC) avec les droits minimaux nécessaires
• Règles de séquence automatiques et basées sur le temps en cas d'inactivité
• Administration des délégués pour les comptes clés
• Step-up/MFA pour les opérations sensibles (contrôlées par des directives)

Nous développons nos systèmes pour un fonctionnement continu et les validons grâce à une surveillance synthétique, à un basculement automatique et à des scénarios de reprise après sinistre (DR) pratiqués afin de répondre aux RTO/RPO testés.

• Objectifs et portée : Protéger d'abord les personnes, définir des processus décisionnels clairs et rétablir les services essentiels dans des délais définis.
• Surveillance et détection : Zabbix (interne) et Site24x7 (externe) avec des composants synthétiques de bout en bout ; basculement automatique des composants via un équilibreur de charge/un pare-feu d'application ; le basculement de base de données est contrôlé pour maintenir la cohérence.
• Objectifs de rétablissement (par scénario) :
  • Panne du centre de données :
    • RTO ≈ 2 heures + temps de détection (passage du DNS vers le site secondaire ou reconstruction sur le site principal).
    • RPO : restauration ponctuelle au cours des 10 derniers jours (base de données WAL) ; statuts hebdomadaires pendant 3 mois ; statuts mensuels pendant 1 an. Couche de fichiers avec copies en miroir et suppression différée en cas de reprise après sinistre pour annuler les suppressions accidentelles.
  • Défaillance d'un composant principal :
    • RTO ≈ 30 minutes + temps de détection (équilibreur de charge en mode veille chaude)
    • RPO : 0 heures
  • Erreur humaine (perte de données) :
    • RTO ≈ 2 heures + temps de détection (restauration à partir d'une sauvegarde).
    • RPO : jusqu'à 0 heure, s'il est détecté pendant la fenêtre de sauvegarde/stockage.
• Tests et exercices : tests de sauvegarde et de restauration complets réguliers (tous les 1 à 2 mois) dans le cadre des tests de version ; exercices de reprise après sinistre au moins une fois par an ; changements de production périodiques pour des mises à niveau majeures ; exercices sur les processus de basculement DNS.
• Points forts de l'architecture : conception multisite avec clusters d'applications actifs/actifs, réplication de base de données en mode veille, mise en miroir de configuration et de transactions, et mise en miroir de sauvegarde/écriture vers DR

Nous proposons des pistes d'audit inviolables avec détection en temps réel, rétention contrôlée et intégrations compatibles SIEM.

• Journaux d'audit protégés par l'intégrité et accessibles uniquement
• Surveillance et alerte en temps réel en cas d'incidents critiques
• Stockage à long terme conformément aux directives et aux exigences réglementaires
• Exportation/intégrations SIEM disponibles pour les entreprises clientes

Nous garantissons une restauration fiable grâce à des sauvegardes géo-redondantes automatisées en Suisse et à des contrôles réguliers des processus de restauration.

• Sauvegardes fréquentes et automatisées avec des répliques géographiquement réparties en Suisse
• Protection de l'intégrité des sauvegardes (immuabilité et accès restreint)
• Tests de restauration réguliers et validation des procédures de restauration

‍

Nous renforçons la protection des accès grâce à une authentification adaptative à plusieurs niveaux, y compris l'authentification multifacteur en standard, le SSO basé sur des normes, des facteurs biométriques et une authentification renforcée basée sur les risques pour les actions sensibles.

• L'authentification multifacteur (MFA) est disponible par défaut ; les politiques de l'entreprise peuvent appliquer l'authentification multifacteur aux utilisateurs/rôles
• Authentification unique (SSO) pour les entreprises (SAML 2.0/OpenID Connect)
• Compatible avec la biométrie des appareils (par exemple Face ID/Touch ID) en tant que deuxième facteur
• Authentification renforcée basée sur les risques pour les actions sensibles (si activée)

Nous protégeons vos données à l'aide d'un cryptage robuste, à la fois pendant la transmission et au repos.

• Chiffrement du contenu côté serveur (architecture à connaissance nulle)
• AES-256 pour les données stockées et le contenu crypté
• TLS 1.3 avec Perfect Forward Secrecy pour tout le trafic réseau
• Gestion du cycle de vie des clés (génération, rotation, révocation)
• Contrôles et mises à jour cryptographiques réguliers conformément aux meilleures pratiques en vigueur

Nous chargeons régulièrement des experts indépendants en sécurité de vérifier les vulnérabilités de nos systèmes. Cette approche proactive garantit les normes de sécurité les plus strictes.

• Tests d'intrusion réguliers par des tiers
• Simulation de scénarios d'attaque réalistes
• Assainissement en fonction de la priorité de criticité
• Communication transparente des résultats critiques
• Résumés exécutifs disponibles pour les entreprises clientes dans le cadre de la NDA

Nous utilisons un chiffrement côté serveur avec des algorithmes conformes aux normes de l'industrie et une gestion stricte des clés. Le déchiffrement s'effectue exclusivement dans un environnement de service sécurisé et surveillé et uniquement pour répondre à votre demande. Le cas échéant, les clés sont protégées via un KMS (Key Management Service) basé sur HSM et n'existent en texte brut que pendant les opérations actives, avec un déchiffrement immédiat, des contrôles d'accès stricts et une journalisation complète. Cette architecture permet de bénéficier de fonctionnalités essentielles (gestion du patrimoine numérique, performances de l'entreprise et compatibilité universelle des appareils) sans compromettre la sécurité.

• Chiffrement côté serveur avec déchiffrement interne contrôlé
• Gestion des clés compatible HSM le cas échéant ; accès aux clés juste à temps et réduction rapide de la mémoire
• Pas de « clé principale » universelle ni d'options d'accès non documentées
• Des audits indépendants réguliers et approfondis et un ISMS certifié ISO/IEC 27001:2022
• Protection contre les menaces internes et externes

Chez DSwiss, la sécurité n'est pas un ajout, c'est un élément fondamental de notre architecture. Chaque composant a été développé selon le principe « la sécurité d'abord ».

• Stratégie de défense en profondeur avec plusieurs niveaux de sécurité
• Mises à jour de sécurité automatiques sans interruption de service
• Systèmes redondants pour une fiabilité maximale
• Des sites de sauvegarde géographiquement répartis en Suisse, y compris un ancien bunker militaire au cœur des Alpes suisses

Nous maintenons une séparation stricte entre le développement, la mise en scène et la production afin de réduire les risques et de prévenir la contamination croisée.

• Comptes/clients séparés et segmentation du réseau par environnement
• Aucune donnée de production dans les environnements de test ou de développement
• Différents contrôles d'accès et rôles de moindre privilège par environnement
• Pipelines de déploiement automatisés et vérifiables avec processus d'approbation

Nous avons mis en place des processus complets d'assurance qualité pour garantir que chaque version répond à nos normes de sécurité et de fiabilité.

• Couverture de tests automatisés élevée (tests unitaires, d'intégration et de bout en bout) avec contrôles de qualité CI
• Pipelines CI/CD avec contrôles des délais de construction et de déploiement
• Tests d'intrusion réguliers par des tiers ; évaluations de sécurité avant les versions comportant des modifications importantes
• Analyses de vulnérabilité des infrastructures et des services avec Nessus ; rapports consolidés via Scanmeter
• Analyse de la composition logicielle (SCA) et numérisation d'images de conteneurs avec JFrog Xray ; vérification des règles de dépendance dans CI

Nous nous appuyons sur des évaluations obligatoires par les pairs afin que chaque modification de code soit soumise à un contrôle de sécurité avant le déploiement.

• Principe à deux personnes (quatre yeux) avec branches protégées
• Règles de protection des branches : vérifications de statut requises, propriétaires du code, historique linéaire et absence de pression forcée sur les branches principales
• Les commits signés cryptographiquement sur des branches protégées (par exemple GPG) sont obligatoires
• Contrôles SAST/DAST automatisés, analyse de la composition logicielle (SCA) et numérisation des secrets
• Analyse continue des dépendances et des conteneurs tiers
• Des champions de la sécurité ancrés dans chaque équipe de développement

Notre processus de sécurité du développement
Nous intégrons la sécurité à chaque phase du cycle de vie, de la conception à l'exploitation.

• Modélisation des menaces et examens des cas d'abus lors de la conception
• Exigences de sécurité documentées et normes de codage sécurisées (par exemple, directives OWASP)
• Génération de SBOM (par exemple, SPDX/CyclonedX) pour chaque construction ; inventaires conservés et surveillés
• Signature et provenance des artefacts : les artefacts de construction sont signés cryptographiquement et vérifiés lors du déploiement ; l'attestation de provenance est enregistrée
• Formation régulière au codage sécurisé pour les développeurs
• Pratiques DevSecOps avec portes de sécurité en CI/CD

Nous investissons dans une formation complète à la sécurité afin que chaque membre de l'équipe comprenne les normes de sécurité et applique les meilleures pratiques.

• Au moins une formation annuelle de sensibilisation à la sécurité et des cours de remise à niveau continus
• Formation à la sécurité spécifique au rôle
• Assistance avec des certifications de sécurité professionnelles

Nous avons établi un ensemble complet de directives de sécurité qui régissent les aspects clés de nos processus et du traitement des données.

• Cadre politique ISMS conformément à la norme ISO/IEC 27001:2022
• Révision et mise à jour régulières et fondées sur les risques des lignes directrices
• Procédures de réponse aux incidents documentées et régulièrement mises en œuvre
• Normes contraignantes pour la classification et le traitement des données

Nous avons mis en place des contrôles et des accords de confidentialité stricts pour protéger toutes les informations sensibles qui nous sont confiées.

• NDA obligatoires pour tous les employés et partenaires
• Accès strict aux informations nécessaires
• Canaux cryptés pour des communications confidentielles
• Audits de confidentialité réguliers