Politique de confidentialité

Renseignements recueillis

• Renseignements de compte : nom, adresse courriel, entreprise, titre et identifiants fournis lors de la création du compte.
• Renseignements de facturation : coordonnées de paiement et adresse de facturation, traitées par nos prestataires tiers.
• Données d’analyse et de surface d’attaque : domaines, sous-domaines, adresses IP, URL, certificats SSL/TLS, services exposés, métadonnées de comptes infonuagiques, configurations et résultats de vulnérabilités générés par la Plateforme.
• Données d’utilisation : journaux, identifiants d’appareil, type de navigateur, système d’exploitation, URL de provenance, pages consultées et horodatages.
• Communications : contenu des messages, demandes de support et demandes de démonstration envoyés via nos formulaires ou par courriel.
• Témoins et technologies similaires : renseignements recueillis par témoins, pixels et stockage local.

Utilisation des renseignements

• fournir, exploiter, entretenir et améliorer les Services ;
• authentifier les utilisateurs et sécuriser les comptes ;
• traiter les paiements et gérer les abonnements ;
• fournir les résultats d’analyse, les rapports et les notifications ;
• répondre aux demandes, offrir du support et communiquer des mises à jour ;
• détecter, prévenir et traiter les problèmes techniques, la fraude ou les abus ;
• respecter nos obligations légales et faire valoir nos ententes.

Conservation des données

Nous conservons les renseignements personnels le temps nécessaire pour fournir les Services, remplir nos obligations légales et comptables, résoudre les différends et faire valoir nos ententes. Les données d’analyse sont conservées pendant la durée de votre abonnement et peuvent être supprimées à la fermeture du compte conformément à notre calendrier de conservation.

Fondements juridiques du traitement

En tant qu’organisation établie au Québec, nous nous conformons à la Loi 25 et à la LPRPDE. Lorsque le RGPD de l’UE/R.-U. ou d’autres lois s’appliquent, nous nous appuyons sur : l’exécution d’un contrat, le respect d’obligations légales, nos intérêts légitimes (notamment la sécurité des Services et l’information de notre clientèle) et votre consentement lorsqu’il est requis.

Partage des renseignements

Nous ne vendons pas de renseignements personnels. Nous pouvons les partager avec :

• Prestataires de services qui hébergent ou soutiennent nos Services sous obligation de confidentialité ;
• Processeurs de paiement pour exécuter les transactions ;
• Conseillers professionnels (vérificateurs, avocats, assureurs) ;
• Autorités lorsque la loi l’exige ou pour protéger des droits, des biens ou la sécurité ;
• Transferts d’entreprise dans le cadre d’une fusion, acquisition ou cession d’actifs.

Transferts internationaux

Oriso a son siège social à Brossard, au Québec (Canada), et l’ensemble de notre infrastructure est situé au Canada. Les données clients et les renseignements personnels traités par la Plateforme sont stockés et manipulés dans des centres de données canadiens. Des renseignements personnels limités (p. ex., les détails de facturation) peuvent être traités par des prestataires tiers dans d’autres juridictions ; dans ce cas, nous mettons en place des mesures appropriées telles que les clauses contractuelles types et, conformément à la Loi 25, nous évaluons la suffisance du cadre de protection applicable avant tout transfert de renseignements personnels à l’extérieur du Québec.

Notre infrastructure

Vullify s’exécute sur sa propre infrastructure dédiée. Les charges de production et les données clients sont hébergées dans des centres de données exploités par des fournisseurs qui détiennent des certifications SOC 2 Type II et PCI DSS en vigueur. Au niveau du centre de données, l’accès physique, les contrôles environnementaux, la sécurité du réseau et l’audit opérationnel sont couverts par ces certifications tierces.

État de notre certification

Oriso Solutions Inc., exploitant Vullify, est certifiée ISO/IEC 27001, couvrant notre système de management de la sécurité de l’information. Nous sommes également activement en démarche de certification SOC 2 et mettrons à jour la présente politique une fois cet audit terminé. Nos contrôles internes — gestion des accès, chiffrement, journalisation, gestion du changement et réponse aux incidents — sont alignés à la fois sur la norme ISO 27001 et sur les critères des services de confiance utilisés dans le cadre SOC 2.

Mesures techniques

• Chiffrement en transit par TLS et chiffrement au repos pour les bases de données et le stockage d’objets ;
• Contrôles d’accès basés sur les rôles, principe du moindre privilège et authentification multifacteur obligatoire pour les comptes privilégiés ;
• Journalisation, surveillance et alertes centralisées pour les événements liés à la sécurité ;
• Gestion continue des vulnérabilités — nous utilisons la Plateforme Vullify pour analyser notre propre infrastructure ;
• Processus formel de gestion du changement, déploiements revus par les pairs et mises en production par étapes.

Aucun système n’est parfaitement sécurisé. Nous ne pouvons garantir une sécurité absolue, mais nous examinons et améliorons continuellement nos contrôles.

Utilisation de l’IA et des grands modèles de langage

Vullify utilise des technologies d’intelligence artificielle et de grands modèles de langage (« LLM »), y compris des modèles hébergés localement sur notre propre infrastructure et des modèles fournis par des tiers via des API. Ces technologies alimentent notamment des fonctionnalités d’analyse de vulnérabilités, de génération de rapports et d’accompagnement dans le produit.

Nous collaborons uniquement avec des fournisseurs d’IA et de LLM tiers qui garantissent expressément que les données des clients ne sont pas utilisées pour l’entraînement de leurs modèles. Des ententes contractuelles sont en place avec ces fournisseurs afin de garantir que ni les données que vous soumettez, ni le contenu généré par les modèles ne sont utilisés pour entraîner, affiner ou améliorer de quelque façon leurs modèles.

Vos droits

Selon votre lieu de résidence, vous pouvez avoir le droit :

• d’accéder aux renseignements que nous détenons à votre sujet ;
• de demander leur rectification ou suppression ;
• de vous opposer à certains traitements ou d’en restreindre la portée ;
• de demander la portabilité de vos renseignements ;
• de retirer votre consentement en tout temps, sans incidence sur les traitements antérieurs ;
• de déposer une plainte auprès d’une autorité de protection des données.

Pour exercer ces droits, écrivez-nous à [email protected].

Témoins

Nous utilisons des témoins strictement nécessaires au fonctionnement des Services et, avec votre consentement lorsqu’il est requis, des témoins d’analyse. Vous pouvez gérer les témoins dans les paramètres de votre navigateur.

Vie privée des enfants

Les Services ne s’adressent pas aux enfants de moins de 16 ans et nous ne recueillons pas sciemment de renseignements les concernant.

Modifications de la politique

Nous pouvons mettre à jour la présente politique. Les modifications importantes seront publiées sur cette page avec une nouvelle date d’entrée en vigueur.

Nous joindre — Responsable de la protection des renseignements personnels

Conformément à la Loi 25, nous avons désigné une personne responsable de la protection des renseignements personnels. Pour toute question relative à la présente politique, pour exercer vos droits ou pour déposer une plainte, veuillez nous joindre à :