Sécurité et traitement des données

SPHIOR Ops Console for Monday

Cette page décrit comment SPHIOR (« nous ») sécurise SPHIOR Ops Console for Monday (l'« Application ») et traite vos données. Pour connaître notre traitement des données de manière plus générale, consultez notre Politique de confidentialité à l'adresse https://ops-console.sphior.com/privacy.

1. Architecture et traitement des données

· Hébergé sur monday code. L'Application s'exécute sur l'infrastructure managée de monday.com (monday code). Nous n'exploitons ni base de données externe distincte, ni collecteur de journaux, ni pipeline d'analyse. · Aucun stockage à long terme des données professionnelles des clients. Le contenu des tableaux et des éléments est traité de manière transitoire — en mémoire ou dans une zone de préparation éphémère — et supprimé immédiatement après la fin de l'opération ou après la livraison vers le cloud que vous avez choisi. · Livraison vers votre propre cloud. Les exportations sont livrées vers votre propre Google Drive selon vos instructions ; nous n'en conservons aucune copie. · Chiffrement en transit : TLS pour chaque appel API, imposé par les plateformes monday.com et Google. · Chiffrement au repos : la configuration et les jetons sont conservés dans le monday Storage / monday SecureStorage, chiffrés par monday.com. Les instantanés Undo sont stockés chiffrés.

2. Instantanés Undo et conservation

Avant toute action destructive (fusion de doublons, archivage en masse ou rechercher et remplacer), l'Application capture un instantané Undo afin que vous puissiez récupérer les données. Les instantanés sont chiffrés, sont assortis d'une durée de vie (TTL) de 30 jours et sont supprimés automatiquement à l'expiration de la TTL. Il s'agit du seul contenu client que l'Application conserve au-delà de la durée d'une opération.

3. Portées de moindre privilège

L'Application ne demande que les portées monday.com minimales nécessaires à son fonctionnement : me:read, account:read, boards:read, boards:write et notifications:write. L'accès à Google Drive est limité à la portée drive.file, qui n'octroie l'accès qu'aux fichiers que l'Application crée elle-même ou que vous sélectionnez explicitement — jamais à l'ensemble de votre Drive. L'Application ne demande pas les mots de passe des utilisateurs finaux ni de jetons d'accès personnels ; les jetons de plateforme sont gérés par monday.com et Google.

4. Emplacements de stockage

· Configuration, planifications et paramètres de tâche → monday Storage. · Jetons OAuth (monday et, si connecté, Google) → monday SecureStorage. · Charges utiles des instantanés Undo → stockage d'objets chiffré (BLOB) avec une TTL de 30 jours. · Décomptes d'utilisation anonymes → mesures agrégées uniquement, ne contenant aucune donnée personnelle ni contenu de tableau. Aucune base de données externe de données clients n'est exploitée par SPHIOR.

5. Gestion des vulnérabilités et développement sécurisé

· Analyse de sécurité automatisée. L'audit de sécurité web authentifié étant le cœur de métier de SPHIOR, nous effectuons de l'analyse statique (SAST), de l'analyse des dépendances / de l'open source (SCA) et des tests dynamiques authentifiés (DAST) sur les surfaces accessibles de l'Application de manière régulière et avant les versions importantes. · Les dépendances sont figées via des fichiers de verrouillage ; une nomenclature logicielle (SBOM) est maintenue et examinée à chaque version. · Les constatations sont triées et corrigées dans des délais définis, alignés sur les exigences de sécurité de la marketplace monday.com. · Le mode strict de TypeScript, ESLint et la revue par les pairs sont exécutés avant la fusion dans la branche main. Aucun secret n'est intégré au gestionnaire de code source.

6. Réponse aux incidents de sécurité

En cas d'incident de sécurité confirmé affectant l'Application : 1. Le triage commence dans les 24 heures suivant la confirmation. 2. Une notification client est envoyée aux installations concernées dans les 72 heures suivant la confirmation d'un impact significatif, conformément aux attentes de l'Article 33 du GDPR. 3. Une analyse des causes profondes et un plan de remédiation suivent ; les correctifs ayant un impact sur les clients sont publiés via le pipeline de mise à jour de la marketplace monday.com. 4. Un récapitulatif post-incident est communiqué aux clients concernés et, le cas échéant, résumé publiquement. Tout événement de sécurité suspecté peut être signalé à security@sphior.com à tout moment ; nous en accusons réception sous 1 jour ouvré.

7. Contrôles d'accès (internes)

· Moindre privilège. L'accès aux dépôts de code source, à la console développeur monday.com et au déploiement en production est restreint aux mainteneurs de l'Application selon le principe du besoin d'en connaître. Aucun compte partagé ni aucune information d'identification de production partagée n'est utilisé. · La branche main est protégée par des vérifications de statut requises (la vérification de types, le linting et les tests doivent réussir avant la fusion). · L'authentification multifacteur (MFA) est requise sur tous les comptes ayant accès au code source, à la console développeur et aux outils de déploiement. · La liste des accès est examinée au moins tous les trimestres et révoquée sans délai lorsqu'elle n'est plus nécessaire.

8. Intelligence artificielle

Les fonctionnalités principales de l'Application — déduplication, rechercher et remplacer, archivage en masse, exportation et éléments récurrents — sont entièrement déterministes. Aucune donnée de tableau client n'est envoyée à un service d'AI ou d'apprentissage automatique, et nous n'utilisons pas vos données pour entraîner des modèles.

9. Divulgation responsable

Nous accueillons favorablement la recherche en sécurité sur l'Application. Veuillez signaler vos constatations de manière privée à security@sphior.com en fournissant une description, les étapes de reproduction, une évaluation de l'impact et toute mesure d'atténuation suggérée. Nous nous engageons à accuser réception de votre signalement sous 1 jour ouvré, à fournir une décision de triage initiale sous 5 jours ouvrés, et à ne pas engager de poursuites judiciaires contre les chercheurs de bonne foi qui respectent la présente politique.

10. Contact

Événements de sécurité : security@sphior.com Contact général : support@sphior.com Demandes relatives à la confidentialité : voir la Politique de confidentialité à l'adresse https://ops-console.sphior.com/privacy

Dernière mise à jour : 2026-07-11