Notre plateforme principale est hébergée chez Google Cloud Platform (GCP)
ok, c’est déjà mort: https://noyb.eu/files/CJEU/EU-US_form_v3.docx
Google est soumise au FISA 702 ce qui leur impose de mettre à disposition sous demande des agences USA toutes les données à leur disposition (y inclus sa subsidiaire irlandaise). Le fait que les données soient stockées en Europe par une de se subsidiaires ne constitue donc pas une garantie suffisante au sens du RGPD.
Pour en savoir plus (facebook rentre aussi dans le FISA 702):
ou (specifique à google analytics mais ça rend bien l’idée du problème):
Oui, nous faisons réaliser minimum un audit de sécurité par an, plateforme et code (le dernier date d’Avril et n’a rien soulevé de critique)
Sympa de le savoir mais pas mesurable : pour cela faudrait avoir accès aux résultat et savoir ce qui a été audité, comment et les résultats.
Certaines informations sur Finary doivent rester confidentielles pour des raisons évidentes de sécurité
The United States National Institute of Standards and Technology (NIST) specifically recommends […] and they state, “system security should not depend on the secrecy of the implementation or its components”
Alors oui, on va pas demander d’avoir le mot de pass d’admin mais dans mon expérience le « security through obscurity » est utilisé dans la majorité des cas pour masquer une politique qui ne privilégie pas la transparence, surtout quand utilisé en avance et pas en cas-pas-cas.
Ceci-dit, ça reste un problème très compliqué car de nature de diplomatie internationale et avec des enjeux économique monstruex: d’un coté les US qui réclame touts droits sur les données auxquelles ils peuvent accéder peu importe leurs provenance, de l’autre coté l’UE qui impose que les données de ses citoyens soient protégées selon certains critères; ceci mène à un macro-problème économique: ces données représentent la matière 1ère nr 1 des chiffres d’affaires plus importantes aux US: pour un facebook ça reste rentable de payer des amendes à 10 chiffres mais si ça continue à monter ça va créer des fortes tensions US-EU (et peut-etre créer des opportunités pour des nouvelles offres alternative auxquelles les entreprises EU pourront faire référence car pas vraiment d’alternative viable aujourd’hui sauf créer sa propre infra).
Bon courage, c’est un rôle chargé en responsabilité et complexité, et merci pour avoir ouvert la conversation!