La confiance de nos clients est importante pour nous et c’est pourquoi nous améliorons constamment nos produits et services en termes de sécurité et de respect de la vie privée.
Microblink est certifié ISO 27001, ce qui signifie que nous avons mis en place notre système de gestion de la sécurité de l’information conformément aux exigences de la norme correspondante. Garantir la confidentialité, l’intégrité et la disponibilité des systèmes et des données fait partie intégrante de tout ce que nous faisons et nous sommes régulièrement soumis à des audits rigoureux pour le prouver. La gestion de l’accès, du cryptage et des actifs, combinée à des pratiques de développement et d’exploitation informatique sécurisées, est constamment évaluée et revue dans le cadre de la gestion des risques.
Englobant nos bureaux américains et croates, le champ d’application du certificat ISO 27001 de Microblink comprend le développement, l’intégration, le soutien, la vente et la gestion de services dans le domaine de la technologie de vision par ordinateur dans le but de numériser et de vérifier des documents en utilisant des réseaux neuronaux avancés et des techniques d’apprentissage approfondi.
Si vous avez des questions supplémentaires sur notre position et nos pratiques en matière de sécurité ou si vous souhaitez signaler une éventuelle vulnérabilité, veuillez nous contacter directement à l’adresse security@microblink.com.
Depuis 2023, Microblink a inclus l’extension de la norme ISO 27701 dans son champ de certification et d’audit. Cela signifie que nous comprenons à quel point les informations personnelles identifiables sont précieuses et que nous voulons garantir les droits des individus en limitant l’accès, l’extraction, la collecte, la divulgation, la transmission et d’autres formes de traitement des données. Nous identifions en permanence les risques liés à la protection de la vie privée et réévaluons les contrôles pour les atténuer, et nous nous efforçons de réduire la probabilité de violations de données et d’incidents liés à la protection de la vie privée.
Les principes de protection de la vie privée dès la conception et par défaut, qui sont une exigence de la norme, sont inclus dans tous nos processus internes, y compris le développement de produits. Le champ d’application du certificat ISO 27701 est le même que celui de la norme ISO 27001 en ce qui concerne le rôle de Microblink en tant que processeur d’informations nominatives. Si vous êtes toujours préoccupé par le partage des données de vos clients ou si vous avez une exigence de conformité, prenez contact avec notre équipe de vente pour vérifier nos différentes options de produits concernant le traitement des informations confidentielles.
Pour plus d’informations sur notre engagement en matière de protection des données et de respect de la vie privée, consultez notre politique de confidentialité.
Vous pouvez en savoir plus sur les meilleures pratiques de sécurité que nous avons mises en œuvre et sur notre conformité globale sur notre Trust Center, où vous pouvez également télécharger des documents concernant nos certificats ISO, nos politiques ou d’autres documents relatifs à la conformité de nos produits.
Microblink a mis en place une politique formelle de sécurité de l’information basée sur la norme internationale ISO 27001:2022 pour la sécurité de l’information, et sur l’extension de la norme ISO 27701:2019 relative à la protection de la vie privée. Microblink est certifié selon ces normes qui garantissent que la politique et les objectifs de sécurité de l’information sont établis et compatibles avec l’orientation stratégique de l’organisation, et que les exigences du système de gestion de la sécurité de l’information sont intégrées dans les processus de l’organisation.
Microblink dispose d’un département de sécurité de l’information et d’opérations informatiques dont le directeur est également responsable du système de gestion de la sécurité de l’information conformément à la norme ISO 27001:2022. Les tâches du responsable de la sécurité de l’information et des opérations informatiques consistent notamment à fournir un leadership et une expertise en matière de sécurité de l’information, à soutenir les équipes chargées de la mise en œuvre des contrôles de sécurité et de la surveillance de ces contrôles, et à coopérer régulièrement avec les membres du conseil d’administration sur des sujets liés à la sécurité de l’information.
Microblink a nommé un délégué à la protection des données et un responsable du système de gestion de l’information sur la vie privée (PIMS) chargé de mettre en œuvre, de gérer et de maintenir le PIMS au sein de Microblink conformément à la norme ISO 27701:2019, ainsi que des tâches liées aux réglementations en matière de protection de la vie privée, telles que le règlement général sur la protection des données (RGPD).
Microblink dispose d’un cycle de développement de logiciels sécurisés bien établi. Il comprend l’identification et la gestion des risques dans le processus de développement, la définition des exigences de sécurité, l’analyse des modules tiers, le processus de révision du code et la gestion des vulnérabilités par le biais de pentests externes réguliers et d’un programme de chasse aux bogues. Les résultats critiques et à haut risque sont résolus avant le déploiement en production, tandis que les autres résultats pertinents sont discutés avec le responsable de l’ingénierie et le responsable de la sécurité de l’information ou résolus au cours du cycle de développement normal.
La divulgation des vulnérabilités est généralement définie par contrat avec le client. Dès que Microblink est informé d’une vulnérabilité potentielle, ce qui peut être fait par l’intermédiaire du service d’assistance à la clientèle, les risques de gravité critique liés au produit fourni sont corrigés dès que possible, mais généralement pas plus de trente jours après la date de découverte, les vulnérabilités à haut risque sont corrigées dans les soixante jours suivant la date de découverte, tandis que les autres vulnérabilités pertinentes sont résolues au cours du cycle de vie normal du développement du logiciel. Une fois résolues, les nouvelles versions déployées pour corriger ces vulnérabilités critiques et élevées peuvent être communiquées aux clients par le biais de notes de mise à jour et de notifications du service d’assistance à la clientèle.
Notre code source est géré via Git Source Code Management sur Bitbucket cloud et les permissions de fusion dans les branches principales sont définies de manière à ce que seuls les développeurs seniors puissent effectuer la fusion après s’être assurés que les changements de code répondent aux normes de qualité requises et que les tests CI sont réussis. Les tests CI sont toujours exécutés à la fois en « production build » (optimisations complètes) et en « development builds » (la plupart des optimisations, assertions activées, adresse et undefined-behavior sanitizer activés) afin d’attraper les erreurs de mémoire et de s’assurer que le code contribué est exempt de bogues. Outre le respect des normes de qualité, les développeurs seniors sont également tenus de vérifier si la contribution contient des contrôles sensibles en matière de propriété intellectuelle ou de sécurité, tels que des contrôles de licence. Les développeurs doivent ensuite valider que tous ces contrôles sont effectués à l’aide de mécanismes de contrôle internes conçus pour résister au craquage et à la décompilation de binaires, c’est-à-dire qui obscurcissent les décisions sensibles dans le code et les informations sensibles codées en dur qui pourraient aider à la décompilation (par exemple, les messages d’erreur).
Microblink a défini un plan de continuité des activités et un plan de reprise après sinistre pour les systèmes critiques internes, qui sont régulièrement testés au moins une fois par an. Les aspects de sécurité de l’information de la gestion de la continuité des activités de Microblink sont conformes aux exigences de la norme ISO 27001:2022. Lorsque Microblink joue le rôle de fournisseur de services dans le cas d’un produit de type Cloud API, le service Cloud API est configuré en mode haute disponibilité sur une infrastructure de cloud computing tierce. Dans le cas d’autres types de produits tels que les SDK pour mobiles ou navigateurs, ou les API auto-hébergées, le client est responsable des solutions BCM et DR.
Microblink délivre des licences pour ses produits de manière à ce que chaque licence soit liée à un identifiant unique afin de s’assurer que si quelqu’un a mis la main sur votre clé de licence, il ne pourra pas l’utiliser. Comme identifiant unique pour les SDK mobiles, nous utilisons les identifiants des applications, pour les applications dans les navigateurs, les noms de domaine, et pour les systèmes Linux, l’UUID DBUS du système. Tous nos produits envoient les données de licence à notre serveur de licence pour validation avant le balayage, protégeant ainsi les clients et Microblink d’une utilisation abusive de la licence.
Microblink n’effectue pas d’audits basés sur les exigences PCI DSS et SOC 2 car nous ne développons pas de solutions de paiement et ne sommes pas directement impliqués dans le traitement, le stockage ou la transmission de données de titulaires de cartes pour le compte d’une autre entreprise. Dans le cas des produits SDK et Self-Hosted API, les résultats du traitement des données et les informations sur les titulaires de cartes ne quittent jamais l’appareil de l’utilisateur final (SDK) ou le serveur du client (Self-Hosted), et ne sont jamais partagés avec Microblink. En outre, nous pensons que nos certificats ISO, pour lesquels nous sommes régulièrement audités, fournissent l’assurance que nos pratiques en matière de sécurité et de confidentialité sont bien fondées et continuellement améliorées.
Exploring our solutions is just a click away. Try our products or have a chat with one of our experts to delve deeper into what we offer.
Introduction to ISO27k and ISO 27001 ISO/IEC 27000-series, or ISO27k in short, is a family of standards that set a comprehens…
Identity document verification ensures the authenticity of presented documents, which helps to mitigate the risk of fraudulen…
In the fast-paced digital world we live in, ensuring the safety and security of customer identity is of the utmost importance…
