MapleDeploy prend la sécurité des données au sérieux. Ce document décrit comment nous traitons les atteintes à la protection des données suspectées ou confirmées, conformément aux exigences de notification de la LPRPDE et de la Loi 25 du Québec.
Ce qui constitue une atteinte
Une atteinte est tout accès non autorisé à des renseignements personnels sous le contrôle de MapleDeploy, ou toute communication non autorisée de tels renseignements. Cela comprend :
- L'accès non autorisé aux données du compte client (courriel, nom, renseignements de facturation)
- L'accès non autorisé à la base de données interne de MapleDeploy
- La compromission d'une machine virtuelle d'un client par une vulnérabilité dans l'infrastructure de MapleDeploy (et non dans les applications du client)
- La perte ou le vol de copies de sauvegarde non chiffrées contenant des renseignements personnels
Une atteinte ne comprend pas l'accès non autorisé aux applications ou bases de données du client causé par la configuration ou le code du client. Les clients sont responsables de la sécurité de ce qu'ils déploient sur leurs serveurs.
Comment nous intervenons
Détection et confinement
Lorsque nous détectons ou sommes avisés d'une atteinte potentielle :
- Nous révoquons tous les identifiants potentiellement compromis
- Nous isolons les systèmes touchés afin de prévenir tout accès supplémentaire
- Nous préservons les journaux et les preuves (rien n'est modifié ni supprimé)
- Nous commençons à documenter la chronologie des événements
Nous visons à commencer le confinement dans les 24 heures suivant la détection.
Enquête
Nous déterminons :
- Quelles données ont été consultées ou exposées
- Combien de clients sont touchés
- Le vecteur d'attaque (comment c'est arrivé)
- Si les données ont été effectivement exfiltrées ou seulement exposées
Évaluation
En vertu de la LPRPDE (art. 10.1), nous sommes tenus d'évaluer si l'atteinte crée un « risque réel de préjudice grave » (RRPG) pour les personnes touchées. Le préjudice grave comprend le vol d'identité, la perte financière, l'atteinte à la réputation ou l'humiliation.
En vertu de la Loi 25 du Québec, nous évaluons séparément si l'incident présente un « risque de préjudice sérieux », qui est la norme indépendante du Québec.
Facteurs que nous considérons dans les deux cadres : la sensibilité des renseignements, la probabilité qu'ils soient utilisés à mauvais escient et si l'atteinte a été confinée.
Notification
Si l'atteinte pose un risque réel de préjudice grave :
Nous avisons :
Les personnes touchées dès que possible après la confirmation de l'atteinte. La notification comprend :
- Une description de ce qui s'est passé
- La date ou la période de l'atteinte
- Les renseignements personnels en cause
- Les mesures que nous avons prises pour réduire le risque de préjudice
- Les mesures que vous pouvez prendre pour vous protéger (p. ex., changer vos mots de passe, surveiller vos comptes)
- Comment communiquer avec nous pour vos questions
Le Commissariat à la protection de la vie privée du Canada (CPVP) au moyen de leur formulaire de déclaration d'atteinte.
La Commission d'accès à l'information du Québec (CAI) si des résidents du Québec sont touchés, tel que requis par la Loi 25 du Québec, en utilisant le formulaire de déclaration prescrit par la CAI.
Tout autre organisme ou institution gouvernementale qui peut être en mesure de réduire le risque de préjudice découlant de l'atteinte, tel que requis par la LPRPDE (art. 10.1(3)). Par exemple, si des identifiants compromis pourraient être utilisés pour accéder à des services tiers, nous avisons ces tiers.
Méthode de notification : Nous envoyons un courriel directement aux clients touchés à leur adresse courriel enregistrée. Pour les atteintes touchant tous les clients, nous publions également un avis sur notre site Web.
Si l'atteinte n'atteint pas le seuil de notification :
Nous documentons néanmoins l'atteinte dans notre registre interne (voir la tenue de registres ci-dessous) et pouvons choisir d'aviser volontairement les clients touchés à titre de bonne pratique.
Tenue de registres
Nous conservons des registres de toutes les atteintes (qu'elles aient atteint ou non le seuil de notification) pendant au moins 24 mois tel que requis par la LPRPDE (art. 10.3), et pendant au moins 5 ans pour les incidents pouvant impliquer des résidents du Québec tel que requis par la Loi 25.
Chaque registre d'atteinte comprend :
- Une description des circonstances de l'atteinte
- La date ou la date estimée
- La nature des renseignements personnels en cause
- Une évaluation indiquant si l'atteinte crée un risque réel de préjudice grave (et le fondement de cette évaluation)
- Si une notification a été donnée aux personnes, au CPVP et/ou à la CAI (et sinon, les motifs)
Ces registres sont mis à la disposition du CPVP sur demande.
Ce que nous protégeons
MapleDeploy détient les renseignements personnels et de compte suivants :
| Données | Comment elles sont protégées |
|---|---|
| Adresse courriel | Stockée dans une base de données chiffrée sur une infrastructure canadienne |
| Nom et nom de l'organisation | Stockés dans une base de données chiffrée sur une infrastructure canadienne |
| Mot de passe | Haché avec bcrypt (jamais stocké en texte clair) |
| Détails de facturation | Traités par Stripe (conforme PCI niveau 1), non stockés par MapleDeploy |
| Détails du serveur (adresses IP, noms d'hôte, URL) | Stockés dans une base de données chiffrée sur une infrastructure canadienne |
| Journaux de provisionnement et d'exploitation | Stockés dans une base de données chiffrée sur une infrastructure canadienne |
Les données des applications des clients (bases de données, fichiers, configurations) résident sur des machines virtuelles dédiées isolées du plan de contrôle de MapleDeploy et des autres clients.
Vos responsabilités
Si vous croyez que votre compte ou serveur MapleDeploy a été compromis :
- Envoyez un courriel à hello@mapledeploy.ca immédiatement
- Changez votre mot de passe MapleDeploy
- Vérifiez vos identifiants d'administrateur Coolify et vos jetons d'API
Si l'atteinte provient de votre propre code ou configuration d'application, nous vous aiderons dans la mesure du possible, mais la responsabilité de l'intervention et des obligations de notification envers les données de vos utilisateurs finaux vous incombe. En tant que fournisseur d'infrastructure, nous vous aviserons rapidement de toute atteinte que nous détectons affectant votre machine virtuelle afin que vous puissiez remplir vos propres obligations en vertu de la LPRPDE et de la Loi 25.
Forces de l'ordre
Dans les cas impliquant des activités criminelles (accès non autorisé, rançonciel, vol de données), nous pouvons coordonner avec les forces de l'ordre canadiennes selon les circonstances et tel que requis par la loi.
Contact
Pour les préoccupations de sécurité ou pour signaler une atteinte potentielle : hello@mapledeploy.ca