Sécurité selon les normes suisses.
Directement intégré.

Nos centres de données se trouvent exclusivement en Suisse et sont soumis aux lois les plus strictes du monde en matière de protection des données. La stabilité politique et la neutralité de la Suisse garantissent une sécurité à long terme pour vos données critiques.

• Centres de données conformes aux objectifs Tier III de l'Uptime Institute
• Surveillance et contrôle d'accès 24h/24 et 7j/7
• Alimentation redondante et contrôle climatique
• Traitement des données conformément à la LPD suisse et au RGPD de l'UE

Nos contrôles de sécurité sont alignés sur la norme PCI DSS v4.0 afin de protéger les données des titulaires de cartes. Tous les trimestres, nous effectuons des analyses de vulnérabilité externes par un fournisseur d'analyse agréé (ASV) et nous effectuons de nouvelles analyses après des corrections ou des changements importants. Notre programme de sécurité comprend le cryptage pendant la transmission, le durcissement du système, les contrôles d'accès et la surveillance continue afin de répondre aux exigences PCI.

• Scans ASV trimestriels avec confirmation
• Re-scans après des corrections et des modifications importantes
• Principe de l'attribution minimale des droits & MFA pour l'accès administratif

Nous sommes certifiés ISO 27001:2022 - la norme internationale la plus récente pour les systèmes de gestion de la sécurité de l'information. Cette certification souligne notre engagement en faveur des normes de sécurité les plus modernes et de l'amélioration continue.

‍

• Audits de surveillance annuels accrédités et recertification tous les trois ans
• Mise en œuvre de toutes les exigences de la norme de 2022
• Documentation complète sur la gestion des risques
• Audits internes et externes réguliers
• Mise en œuvre des contrôles étendus de la révision 2022

‍

Vous trouverez plus d'informations sur nos certifications ici.

Nous protégeons les données de connexion dès le départ grâce à des algorithmes de hachage puissants, des secrets cryptés et des workflows d'administration compréhensibles.

• Mots de passe : stockés sous forme hachée (Argon2id ou bcrypt) avec des saltos individuels par utilisateur ; pas de stockage de texte en clair ; vérification et adaptation régulières des paramètres de hachage.
• Clés et jetons d'application : cryptage au repos (par ex., AES-256) avec gestion stricte des clés, rotation et contrôles d'accès ; les jetons éphémères sont préférés avec révocation en cas de déconnexion ou de scénarios à risque.
• Accès administratif : modifications signées par commit, branches protégées et partages à quatre yeux pour les workflows d'identité sensibles.

Nous concevons pour une haute disponibilité avec une redondance active, un basculement rapide et une communication transparente de l'état.

• Conception redondante avec basculement automatique pour les services critiques
• Disponibilité cible : jusqu'à 99,99
• Pas de point unique de défaillance dans les chemins critiques
• Ziel: automatisches Failover < 30 Sekunden für ausgewählte Komponenten
• Tableau de bord public du statut : https://securesafe.site24x7statusiq.com/

Nous mettons en œuvre des principes de moindre privilège avec des contrôles d'accès finement définis, basés sur des politiques, qui s'adaptent au contexte.

• Contrôle d'accès basé sur les rôles (RBAC) avec droits minimaux nécessaires
• Règles de déroulement liées au temps/automatiques en cas d'inactivité
• Administration déléguée aux grands comptes
• Step-up/MFA pour les opérations sensibles (selon les directives)

Nous développons nos systèmes en vue d'un fonctionnement continu et validons cela par un monitoring synthétique, un basculement automatique et des scénarios de reprise après sinistre (DR) exercés, afin de respecter des RTO/RPO vérifiés.

• Objectifs et portée : protection des personnes avant tout, processus décisionnel clair et rétablissement des services essentiels dans des délais définis.
• Surveillance et détection : Zabbix (interne) et Site24x7 (externe) avec synthèse de bout en bout ; basculement automatique des composants via l'équilibreur de charge/le pare-feu de l'application ; le basculement de la base de données est contrôlé pour préserver la cohérence.
• Objectifs de récupération (par scénario) :
  • Panne du centre de calcul :
    • RTO ≈ 2 heures + temps de détection (basculement DNS vers le site secondaire ou reconstruction sur le site primaire).
    • RPO : Point-in-Time-Recovery dans les 10 derniers jours (base de données WAL) ; états hebdomadaires pendant 3 mois ; états mensuels pendant 1 an. Couche de fichiers avec copies en miroir et suppression différée dans le DR pour annuler les suppressions accidentelles.
  • Défaillance d'un composant principal :
    • RTO ≈ 30 minutes + temps de détection (équilibreur de charge vers veille à chaud)
    • RPO : 0 heures
  • Erreur humaine (perte de données) :
    • RTO ≈ 2 heures + temps de détection (restauration à partir de la sauvegarde).
    • RPO : jusqu'à 0 heure, si détecté dans la fenêtre de sauvegarde/conservation.
• Tests & exercices : Tests complets de sauvegarde-restauration réguliers (~tous les 1-2 mois) dans le cadre des tests de version ; exercices DR au moins annuels ; basculements de production périodiques lors de mises à niveau importantes ; exercices sur les processus de basculement DNS.
• Points forts de l'architecture : Conception multisite avec clusters d'applications actifs/actifs, réplication de base de données en veille à chaud, mise en miroir de la configuration et des transactions et mise en miroir des sauvegardes/écritures vers le DR

Nous proposons des pistes d'audit inviolables avec une détection en temps réel, une conservation contrôlée et des intégrations compatibles SIEM.

• Journaux d'audit protégés en intégrité, uniquement attachables
• Surveillance en temps réel et alerte en cas d'événements critiques
• Conservation à long terme conformément aux directives et aux exigences réglementaires
• Exportation/intégrations SIEM disponibles pour les entreprises clientes

Nous garantissons une restauration fiable grâce à des sauvegardes automatisées et géo-redondantes en Suisse, avec un contrôle régulier des processus de restauration.

• Sauvegardes automatisées et fréquentes avec des réplicas répartis géographiquement en Suisse
• Protection de l'intégrité des sauvegardes (inaltérabilité & accès restrictif)
• Tests de restauration réguliers et validation des procédures de restauration

Nous renforçons la protection de l'accès avec une authentification progressive et adaptative - y compris le MFA par défaut, le SSO basé sur les standards, les facteurs biométriques et l'authentification progressive basée sur les risques pour les actions sensibles.

• Authentification multi-facteurs (MFA) disponible par défaut ; les politiques d'entreprise peuvent imposer la MFA aux utilisateurs/rôles
• Authentification unique (SSO) pour les entreprises (SAML 2.0 / OpenID Connect)
• Compatible avec la biométrie des appareils (par ex., Face ID/Touch ID) comme deuxième facteur
• Authentification "step-up" basée sur le risque pour les actions sensibles (si activée)

Nous protégeons vos données à l'aide d'un cryptage puissant, aussi bien lors de la transmission qu'au repos.

• Cryptage côté serveur pour le contenu (architecture "zero-knowledge")
• AES-256 pour les données stockées et le contenu crypté
• TLS 1.3 avec Perfect Forward Secrecy pour l'ensemble du trafic réseau
• Cycle de vie des clés géré (génération, rotation, révocation)
• Contrôles et mises à jour cryptographiques réguliers conformément aux meilleures pratiques actuelles

Nous chargeons régulièrement des experts en sécurité indépendants de vérifier que nos systèmes ne présentent pas de failles. Cette approche proactive garantit les normes de sécurité les plus élevées.

• Tests d'intrusion réguliers par des tiers
• Simulation de scénarios d'attaque réalistes
• Réparation selon la priorité de la criticité
• Communication transparente des résultats critiques
• Executive Summaries disponibles pour les entreprises clientes sous NDA

Nous utilisons un cryptage côté serveur avec des algorithmes standard dans le secteur et une gestion stricte des clés. Le décryptage s'effectue exclusivement au sein d'un environnement de service sécurisé et surveillé et uniquement pour répondre à votre demande. Les clés sont protégées par un KMS (Key Management Service) basé sur HSM et n'existent en texte clair que pendant les opérations actives - avec une dégradation immédiate, des contrôles d'accès stricts et une journalisation complète. Cette architecture permet des fonctions essentielles - gestion de la succession numérique, performance d'entreprise et compatibilité universelle avec les appareils - sans aucun compromis sur la sécurité.

• Cryptage côté serveur avec décryptage interne contrôlé
• Gestion des clés assistée par HSM ; accès aux clés en flux tendu et extraction rapide de la mémoire
• Pas de "clé maîtresse" universelle ou d'accès non documenté
• Défense en profondeur, audits indépendants réguliers et ISMS certifié ISO/IEC 27001:2022
• Protection contre les menaces internes et externes

Chez DSwiss, la sécurité n'est pas un add-on - c'est un élément fondamental de notre architecture. Chaque composant a été développé selon le principe "Security First".

• Stratégie Defense-in-Depth avec plusieurs niveaux de sécurité
• Mises à jour de sécurité automatiques sans interruption de service
• Systèmes redondants pour une sécurité maximale contre les pannes
• Sites de sauvegarde répartis géographiquement en Suisse - dont un ancien bunker militaire au fin fond des Alpes suisses

Nous maintenons une stricte séparation entre le développement, le staging et la production afin de réduire les risques et de prévenir la contamination croisée.

• Segmentation séparée des comptes/mandants et du réseau par environnement
• Pas de données de production dans les environnements de test ou de développement
• Différents contrôles d'accès et rôles de moindre privilège par environnement
• Pipelines de déploiement automatisés et auditables avec processus d'approbation

Nous avons mis en place des processus d'assurance qualité complets afin que chaque version réponde à nos normes de sécurité et de fiabilité.

• Couverture de test automatisée élevée (tests unitaires, d'intégration et de bout en bout) avec des contrôles de qualité CI
• Pipelines CI/CD avec contrôles sur le temps de construction et de déploiement
• Tests d'intrusion réguliers par des tiers ; évaluations de sécurité avant les versions comportant des modifications importantes
• Analyse des vulnérabilités de l'infrastructure et des services avec Nessus ; rapport consolidé via Scanmeter
• Analyse de la composition des logiciels (SCA) et exploration de l'image des conteneurs avec JFrog Xray ; vérification de la politique des dépendances dans CI

Nous avons recours à des peer reviews obligatoires, de sorte que chaque modification de code est soumise à un contrôle de sécurité avant le déploiement.

• Principe des deux personnes (quatre yeux) avec des branches protégées
• Règles de protection des branches : contrôles d'état requis, propriétaires de code, historique linéaire et pas de force-push sur les branches principales
• Les commits signés cryptographiquement sur des branches protégées (par ex. GPG) sont obligatoires.
• Contrôles automatisés SAST/DAST, analyse de la composition logicielle (SCA), et balayage des secrets
• Analyse continue des dépendances de tiers et des conteneurs
• Des champions de la sécurité ancrés dans chaque équipe de développement

Our Development Security Process
Nous intégrons la sécurité à chaque étape du cycle de vie, de la conception à l'exploitation.

• Modélisation des menaces et examens des cas d'abus lors de la conception
• Exigences de sécurité documentées et normes de codage sécurisées (par ex., guidance OWASP)
• Génération de SBOM (par ex., SPDX/CycloneDX) pour chaque construction ; inventaires conservés et surveillés
• Signature et provenance des objets : les objets construits sont signés de manière cryptographique et vérifiés lors du déploiement ; attestation de provenance enregistrée.
• Formation régulière au codage sécurisé pour les développeurs
• Pratiques DevSecOps avec des portes de sécurité dans CI/CD

Nous investissons dans des formations complètes en matière de sécurité afin que chaque membre de l'équipe comprenne les normes de sécurité et applique les meilleures pratiques.

• Formations de sensibilisation à la sécurité au moins une fois par an et mises à jour permanentes
• Formation à la sécurité spécifique au rôle
• Soutien aux certifications de sécurité professionnelle

Nous avons mis en place un ensemble complet de politiques de sécurité qui régissent des aspects clés de nos opérations et du traitement des données.

• Cadre de politique ISMS conforme à la norme ISO/IEC 27001:2022
• Révision et mise à jour régulières des directives en fonction des risques
• Procédures de réponse aux incidents documentées et pratiquées régulièrement
• Normes obligatoires pour la classification et le traitement des données

Nous avons mis en place des contrôles et des accords de confidentialité stricts afin de protéger toutes les informations sensibles qui nous sont confiées.

• NDA obligatoires pour tous les collaborateurs et partenaires
• Un accès strict au besoin de savoir
• Des canaux cryptés pour une communication confidentielle
• Audits réguliers sur la confidentialité