Sécurité

Le siège de l’entreprise STRATO et les deux centres de données se trouvent en Allemagne. Ainsi, le stockage et le traitement de toutes les données sont soumis au Règlement général de l’UE sur la protection des données – un garant de la protection de vos données.

La sécurité du transfert de données est une question sensible. Le transfert doit être suffisamment sécurisé, en particulier lorsqu’il s’agit de données personnelles ou d’informations de paiement. Les certificats SSL sont utilisés pour protéger l’échange de données de ce type. SSL (Secure Sockets Layer) est un protocole de chiffrement permettant le transfert de données entre un serveur et un client. Les données sont exclusivement échangées de manière cryptée et les informations transférées ne peuvent pas être lues par des tiers. Conformément au Règlement général sur la protection des données (RGPD), les données à caractère personnel doivent être protégées par des mesures techniques et organisationnelles adaptées. Parmi ces données, on trouve notamment les formulaires de contact, informations de paiement, données personnelles, etc... L’utilisation de certificats SSL est presque inévitable. Aux côtés de DigiCert, STRATO vous offre une protection fiable de votre site Internet avec un chiffrement SSL 256 bits.

STRATO vous permet de prouver votre identité par une authentification à deux facteurs avec deux composantes indépendantes l’une de l’autre. Ainsi, pour vous connecter à votre espace client STRATO, vous utilisez par exemple une authentification à deux facteurs de l’application Authenticator installée sur votre appareil mobile. Cette méthode de connexion peut également être activée pour d’autres produits tels que STRATO HiDrive.

Il existe différents mots de passe pour utiliser les divers services de STRATO. Vous pouvez ainsi donner par exemple à votre webmaster un accès à l’espace de stockage SFTP de votre pack, mais lui refuser l’accès aux données contractuelles. Les mots de passe sont attribués et modifiés selon le produit directement dans votre espace client.

Grâce à la protection anti-spam et anti-virus intégrée à plusieurs niveau, le filtre anti-spam empêche les emails indésirables d’arriver dans votre compte email STRATO.

STRATO vous offre des possibilités variées pour réduire le nombre d’emails publicitaires indésirables dans votre compte email. Vous trouverez des informations détaillées sur la configuration de nos filtres de spam ainsi que des renseignements sur les méthodes employées par les emails de spam à la rubrique Aide & contact sur le sujet email / Sécurité.

Vous avez reçu un email de STRATO et vous doutez de son authenticité ? Vous trouverez des conseils sur la manière de reconnaître les emails de STRATO, sur les réactions à adopter face aux emails de phishing et sur la façon de signaler les sites de phishing dans notre rubrique Aide & contact.

La sécurité des données des clientes et clients de STRATO est très importante pour nous. STRATO soutient le processus de signalement responsable des failles (Responsible Disclosure Process) et apprécie de recevoir des signalements de la part de chercheurs éthiques en sécurité. Nous nous engageons à examiner tous les signalements et à résoudre les problèmes au plus vite afin de protéger nos clientes et clients. Ce document décrit la collaboration entre STRATO et la communauté de la sécurité.

Les failles suivantes des produits et services de STRATO relèvent du domaine d’application de ce document. Nous encourageons chaque membre de la communauté de la sécurité à nous signaler les éléments suivants :

• Failles ayant un impact sur la confidentialité, l’intégrité et la disponibilité de nos produits et services, et donc sur les données de nos clientes et clients

Les failles suivantes des produits et services de STRATO ne relèvent pas du domaine d’application de ce document. Merci de ne pas nous signaler :

• Les attaques « Denial of Service » (c’est à dire les dysfonctionnements de nos services suite à un volume élevé de demandes)
• Les spécifications de configuration TLS (par exemple pas de compatibilité avec TLSv1.3, une certaine configuration de suite de chiffrement, etc.)
• Les rapports indiquant que nos services ne correspondent pas entièrement aux « Best Practices » (par exemple en-têtes de sécurité absents ou configuration non optimale pour les emails, comme SPF, DMARC, etc.)

STRATO ne dispose actuellement pas de programme Bug Bounty officiel.

Veuillez signaler toutes les failles pertinentes (voir ci-dessus) à notre adresse de contact (security@strato.de). Veuillez lire intégralement ce document avant de signaler les failles. Si vous avez trouvé des signes de failles dans l’une de nos applications ou dans la configuration du serveur, vous pouvez nous faire parvenir directement les informations. Veuillez décrire dans votre signalement la faille que vous avez repérée en donnant un maximum d’informations, par exemple :

• Qui est concerné par la faille ? Si possible, merci de nous indiquer des URL.
• Comment la faille peut-elle être exploitée ? Veuillez ajouter des captures d’écran si possible, afin de mettre en évidence la faille.
• Merci également de nous donner toutes les informations pertinentes et nécessaires pour ajuster la procédure décrite.

Vous pouvez utiliser notre clé GPG pour nous faire parvenir des informations de manière confidentielle. Identifiant de la clé : 7A41­87A8­121B­E832­B487­BE48­BFE5­B220­188C­F3A5. Fingerprint : 7A41 87A8 121B E832 B487 BE48 BFE5 B220 188C F3A5 Merci de ne pas nous envoyer d’informations confidentielles telles que votre mot de passe ou d’autres données à caractère personnel !

Après avoir reçu votre signalement, notre équipe de sécurité :

• accusera réception de votre signalement et vous attribuera un identifiant unique, qui figurera dans la ligne d’objet de l’email. Veuillez utiliser cet identifiant dans tous les emails que vous nous envoyez. En règle générale, nous répondons dans un délai d’un jour ouvré.
• vérifiera que votre signalement est correct et valable et regardera s’il s’agit d’un doublon concernant un cas précédent. Si nous avons d’autres questions, nous reviendrons vers vous.
• Une fois que votre signalement aura été examiné, il sera transféré au service spécialisé compétent pour que la faille soit corrigée. Veuillez noter que cela peut prendre un certain temps. N’hésitez pas à nous contacter pour vous renseigner quant à l’état actuel des choses. Veuillez toutefois vous limiter à un contact tous les 14 jours au maximum.
• Nous vous contacterons dès que la faille aura été corrigée et nous vous demanderons éventuellement de procéder à un nouveau test.

Si nous devons partager vos constats avec une autre organisation, nous vous contacterons au préalable. STRATO n’engagera aucune poursuite pénale à l’encontre de personnes qui nous signalent des failles de sécurité dans un service STRATO de bonne foi, conformément à ce document et à son domaine d’application.

Si vous avez des commentaires ou des propositions au sujet de ce document, merci de vous adresser à notre équipe de sécurité à l’adresse indiquée plus haut.

Pour tous les autres cas, merci de vous adresser directement à notre Service à la clientèle.