Sécurité lucid

Lucid tient à jour une documentation sur la sécurité, les certifications et les réponses aux questions les plus fréquentes dans son centre de confiance afin que vous puissiez obtenir des informations sur ces sujets en un clin d’œil. Notre centre de confiance inclut notre documentation SOC 2, CAIQ et SIG, ainsi que plus de 30 autres documents.

Lucid reconnaît que vos données sont un actif précieux qui doit être protégé. Consultez notre livre blanc pour en savoir plus sur la manière dont nos politiques, pratiques et procédures de sécurité protègent les données de nos clients dans Lucidchart, Lucidspark et Lucidscale.

Lucid ne revendique aucun droit de propriété sur les données des documents. Vous conservez toute la propriété intellectuelle et l’ensemble des autres droits liés à vos documents et aux informations qu’ils contiennent. Nous respectons votre vie privée et ne rendrons jamais vos documents accessibles au public sans autorisation.

Afin d’assurer la confidentialité de vos informations, toutes les données sont transférées entre les périphériques des utilisateurs et les serveurs de Lucid au moyen d’une connexion chiffrée sur un maximum de 256 bits avec TLS 1.2 et un fournisseur de certificats de renommée internationale. Lucid chiffre également les données au repos (AES-256) pour protéger la confidentialité de toutes les données conservées par l’application. Les clés de chiffrement utilisées pour sécuriser Lucid sont protégées par Amazon Key Management Service.

Lucid s’engage à respecter la CCPA et le RGPD, et veille à utiliser un cadre approuvé (par exemple, les clauses contractuelles types (CCT) ou un successeur du Privacy Shield) pour transférer les données personnelles des clients de l’EEE, du Royaume-Uni ou de la Suisse vers les États-Unis. En outre, tous les sous-traitants de Lucid utilisent soit les CCT, soit les règles d’entreprise contraignantes pour transférer les données personnelles depuis l’EEE, le Royaume-Uni ou la Suisse vers les États-Unis. Lucid est certifié EU-US Privacy Shield.

Pour plus d’informations, consultez les ressources suivantes :

• Politique de confidentialité
• Conditions d'utilisation
• Addenda relatif au traitement des données (pour les clients Entreprise)
• FAQ

Nous sommes conscients que le stockage cloud exige des efforts supplémentaires pour protéger vos données. Lucidscale a mis en place les processus nécessaires pour que vos données soient sécurisées et accessibles uniquement par les utilisateurs autorisés. Nous appliquons les bonnes pratiques de sécurité pour les trois fournisseurs de services cloud qui s’intègrent à Lucidscale : AWS, Azure et GCP.

Obtenez plus d’informations sur les accès de tiers, les autorisations, les identifiants d’utilisateur et les pratiques de stockage pour les données AWS, Azure et GCP.

Lucid se conforme aux obligations locales et internationales applicables et tient à jour ses certificats de conformité, notamment :

• SOC 2 Type II
• PCI
• Privacy Shield EU-US et Swiss-US
• FedRAMP In-Process

Lucid a fait l’objet d’un audit SOC 2 Type II, qui consiste en une vérification de ses processus et contrôles internes par un organisme indépendant. Lucid détient également une certification EU-U.S. et Swiss-U.S. Privacy Shield et se conforme à ses principes.

La sécurité de vos données fait partie de nos priorités absolues, et nous disposons d’une équipe dédiée à la sécurisation des systèmes, processus et contrôles de Lucid. Lucid repose sur Amazon Web Services (AWS), le leader du secteur des infrastructures informatiques sécurisées.
Nous avons choisi AWS en raison de leurs mesures de sécurité rigoureuses, qui comprennent :

• Audits SOC 2
• Prestataire de services de niveau 1 selon les normes de sécurité de l’industrie des cartes de paiement (Payment Card Industry [PCI] Data Security Standard [DSS])
• Certification ISO 27001
• FISMA – Administration américaine des services généraux (General Services Administration) – autorisation d’exploitation de niveau modéré

Pour en savoir plus sur les procédures de sécurité employées par AWS, veuillez consulter sa documentation de sécurité et sa documentation de conformité.

Vous pouvez accéder en toute sécurité aux produits Lucid à tout moment et depuis n’importe quel appareil ou emplacement. Lucid offre une garantie de disponibilité de 99,9 % à ses clients professionnels. Pour ce faire, les documents, informations de compte, listes de contrôle d’accès et autres données persistantes sont répliqués sur plusieurs zones de disponibilité à l’aide de systèmes de gestion de base de données et de solutions de basculement conformes aux normes du secteur.

Les fonctionnalités pour entreprises offertes par Lucid vous permettent de garder le contrôle de vos comptes, afin de mieux en respecter les exigences de conformité. Ces fonctionnalités incluent des restrictions au niveau du partage des documents ainsi que le contrôle des adresses IP et des domaines autorisés. Nous proposons le Key Management Service (KMS), qui permet aux clients de contrôler leurs clés de chiffrement uniques pour ajouter un niveau supplémentaire de sécurité.

Nous suivons les meilleures pratiques de sécurité et protégeons vos données selon le principe de moindre privilège. Un système d'autorisations simple, en fonction des rôles, permet aux administrateurs de gérer l'accès aux documents détenus par le compte. Les outils de gestion de comptes permettent aux administrateurs de comptes et d'équipes d'intégrer la solution à leur plateforme de gestion des identités et leurs paramètres de contrôle des collaborations.

Lucid permet à des chercheurs tiers de trouver et de signaler des bugs de sécurité dans ses produits dans le cadre d'un programme de primes aux bugs organisé sur la plateforme HackerOne. Si vous souhaitez rejoindre ce programme, veuillez envoyer votre nom d’utilisateur HackerOne à security@lucid.co.

Si vous pensez avoir trouvé un bug de sécurité dans nos produits, vous pouvez également envoyer les détails directement à security@lucid.co plutôt que de signaler le problème par l’intermédiaire de HackerOne. Toutefois, les primes ne seront attribuées que dans le cadre de notre programme HackerOne.