Sécurité Lucid

Lucid tient à jour une documentation sur la sécurité, les certifications et les réponses aux questions les plus fréquentes dans son centre de confiance afin que vous puissiez obtenir des informations sur ces sujets en un clin d’œil. Notre centre de confiance inclut notre documentation SOC 2, CAIQ et SIG, ainsi que plus de 30 autres documents.

Lucid reconnaît que vos données sont un actif précieux qui doit être protégé. Consultez notre livre blanc pour en savoir plus sur la manière dont nos politiques, pratiques et procédures de sécurité protègent les données de nos clients dans Lucidchart, Lucidspark et Lucidscale.

Lucid ne revendique aucun droit de propriété sur les données des documents. Vous conservez toute la propriété intellectuelle et l’ensemble des autres droits liés à vos documents et aux informations qu’ils contiennent. Nous respectons votre confidentialité et ne rendrons jamais vos documents accessibles au public sans autorisation.

Afin d’assurer la confidentialité de vos informations, toutes les données sont transférées entre les périphériques des utilisateurs et les serveurs de Lucid au moyen d’une connexion chiffrée jusqu’à 256 bits avec TLS 1.2 et un fournisseur de certificats de renommée internationale. Lucid chiffre également les données au repos (AES-256) pour protéger la confidentialité de toutes les données conservées par l’application. Les clés de chiffrement utilisées pour sécuriser Lucid sont protégées par Amazon Key Management Service.

Lucid s’engage à respecter le CCPA et le RGPD, et veille à utiliser un cadre approuvé (par exemple, les clauses contractuelles types (CCT) ou le cadre de protection des données UE-États-Unis) pour transférer les données personnelles des clients de l’EEE, du Royaume-Uni ou de la Suisse vers les États-Unis. En outre, tous les sous-traitants de Lucid utilisent soit le cadre de confidentialité des données, les CCT ou les règles d’entreprise contraignantes pour transférer des données personnelles de l’EEE, du Royaume-Uni ou de la Suisse vers les États-Unis et Lucid est également certifié ISO 27701.

Pour plus d’informations, consultez ces ressources :

• Politique de confidentialité
• Conditions d’utilisation
• Addendum sur le traitement des données (pour les clients Entreprise)
• FAQ

Nous sommes conscients que le stockage cloud exige des efforts supplémentaires pour protéger vos données. Lucidscale a mis en place les processus nécessaires pour que vos données soient sécurisées et accessibles uniquement par les utilisateurs autorisés. Nous appliquons les bonnes pratiques de sécurité pour les trois fournisseurs de services cloud qui s’intègrent à Lucidscale : AWS, Azure et Google Cloud. 

En savoir plus sur l’accès des tiers, les autorisations, les ID utilisateur et les pratiques de stockage pour les données AWS, Azure et Google Cloud.

Lucid se conforme aux exigences locales et internationales applicables et veille au maintien de ses certifications de conformité, notamment :

• SOC 2 Type II
• PCI
• Cadre de protection des données UE-États-Unis et Suisse-États-Unis
• Certification FedRAMP
• ISO 27001
• ISO 27701
• Évaluation de la sécurité des applications cloud (CASA)
• Évaluation IRAP au niveau PROTÉGÉ 

La sécurité de vos données étant l'une de nos principales priorités, nous avons une équipe dédiée à la sécurisation des systèmes, des processus et des contrôles de Lucid. Lucid est alimenté par Amazon Web Services (AWS), le principal fournisseur d'infrastructures informatiques sécurisées du secteur.
Nous choisissons AWS en raison de leurs mesures de sécurité rigoureuses, qui comprennent : 

• Audits SOC 2
• Fournisseur de services de niveau 1 selon la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI)
• Certification ISO 27001
• Autorisation d'exploitation de niveau modéré de l'Administration des services généraux des États-Unis (FISMA).
• Certification FedRAMP avec impact de sécurité modéré

Pour en savoir plus sur les procédures de sécurité employées par AWS, vous pouvez consulter leur documentation sur la sécurité et sur la conformité.

Vous pouvez accéder en toute sécurité aux produits Lucid à tout moment et depuis n’importe quel appareil ou emplacement. Lucid offre une garantie de disponibilité de 99,9 % à ses clients professionnels. Pour ce faire, les documents, informations de compte, listes de contrôle d’accès et autres données persistantes sont répliqués sur plusieurs zones de disponibilité à l’aide de systèmes de gestion de base de données et de solutions de basculement conformes aux normes du secteur.

Les fonctionnalités pour entreprises offertes par Lucid vous permettent de garder le contrôle de vos comptes, afin de mieux en respecter les exigences de conformité. Ces fonctionnalités incluent des restrictions au niveau du partage des documents ainsi que le contrôle des adresses IP et des domaines autorisés. 

Nous suivons les meilleures pratiques de sécurité et protégeons vos données selon le principe de moindre privilège. Un système d'autorisations simple, en fonction des rôles, permet aux administrateurs de gérer l'accès aux documents détenus par le compte. Les outils de gestion de comptes permettent aux administrateurs de comptes et d'équipes d'intégrer la solution à leur plateforme de gestion des identités et leurs paramètres de contrôle des collaborations.

Lucid permet à des chercheurs tiers de trouver et de signaler des bugs de sécurité dans ses produits dans le cadre d'un programme de primes aux bugs organisé sur la plateforme HackerOne. Si vous souhaitez rejoindre ce programme, veuillez envoyer votre nom d’utilisateur HackerOne à security@lucid.co.

Si vous pensez avoir trouvé un bug de sécurité dans nos produits, vous pouvez également envoyer les détails directement à security@lucid.co plutôt que de signaler le problème par l’intermédiaire de HackerOne. Toutefois, les primes ne seront attribuées que dans le cadre de notre programme HackerOne.

Enterprise Shield est le module de sécurité de Lucid pour les comptes autorisés Enterprise et FedRAMP. Il ajoute une couche de sécurité renforcée et un contrôle précis à la plateforme déjà hautement sécurisée de Lucid.

Avec Enterprise Shield, les administrateurs bénéficient de fonctionnalités avancées pour protéger les données sensibles, contrôler l'accès au contenu et améliorer la conformité.

Lucid s’engage à utiliser l’IA de manière sécurisée dans sa plateforme. Les fonctionnalités basées sur l’IA sont facultatives, et les utilisateurs sont libres de cesser de les utiliser à tout moment. Elles reposent sur Microsoft Azure OpenAI Service. La collaboration de Lucid avec Microsoft Azure OpenAI Service implique le stockage des entrées et sorties d’IA générative pour une durée limitée. Ce stockage temporaire garantit le fonctionnement et la conformité tout en privilégiant la confidentialité des utilisateurs.

Les données des clients ne sont pas utilisées pour entraîner des modèles d’IA générative accessibles à des tiers. Lucid conserve les prompts et les réponses sous forme anonymisée et expurgée pour sa propre gestion et analyse des erreurs internes, en veillant à ce qu’il n’y ait aucun lien direct avec des utilisateurs ou des documents Lucid spécifiques. Lucid et Microsoft respectent des politiques strictes qui séparent les données des utilisateurs des processus d’apprentissage des modèles. Les données des clients restent ainsi une entité autonome utilisée uniquement aux fins prévues, et tous les utilisateurs bénéficient d’un haut niveau de confidentialité et de protection.