Zenoti
Réserver une démonstration

Dernière mise à jour : 2026

Confidentialité et sécurité des données

Zenoti s'engage à protéger ses données ainsi que celles de ses clients. Cela est essentiel à la réussite de notre entreprise. Des clients du monde entier nous confient la sécurité de leurs données. Cette page fournit des informations sur nos mesures de sécurité.

Notre stratégie en matière de sécurité de l'information comprend les éléments suivants :

  • Gouvernance de la sécurité de l'information
  • Sécurité des ressources humaines
  • Sécurité dans le cloud
  • Sécurité informatique
  • Gestion des incidents
  • Gestion des vulnérabilités
  • Sécurité des produits
  • Sécurité physique
  • Continuité des activités et reprise après sinistre

Gouvernance de la sécurité de l'information

  • Un programme de sécurité de l'information bien établi.
  • Des politiques et procédures de sécurité bien établies.
  • Des rôles et des responsabilités clairement définis en matière de sécurité.
  • Participation active de l'équipe de direction de Zenoti.
  • Une équipe spécialisée composée de professionnels de la sécurité et de la protection de la vie privée.
  • Audits de sécurité réalisés afin de vérifier le respect des exigences en matière de sécurité.
  • Bulletins d'information sur la sécurité publiés régulièrement.

Sécurité des ressources humaines

  • Une vérification des antécédents (BGV) est effectuée.
  • Lorsqu'ils rejoignent Zenoti, les employés sont tenus de signer l'accord de confidentialité ainsi que d'autres documents comportant des clauses de sécurité obligatoires.
  • Tous les employés suivent obligatoirement une formation sur les exigences en matière de sécurité et de confidentialité.

Sécurité dans le cloud

Architecture

  • La plateforme Zenoti est hébergée sur AWS et conçue selon une architecture multi-locataires.

Sécurité

  • Les données au repos sont chiffrées.
  • Les données en transit sont cryptées.
  • La protection contre les attaques DDoS est activée.
  • La limitation du débit de l'API est activée.
  • Tous les systèmes dans le cloud sont protégés par un antivirus.
  • La détection des menaces est activée.
  • Toutes nos instances fonctionnent sur AWS VPC (Virtual Private Cloud).
  • L'authentification unique (SSO) est mise en place.
  • Les serveurs sont sécurisés conformément aux normes de référence CIS.
  • Utilisation d'outils conformes aux normes du secteur pour les évaluations de sécurité périodiques.
  • La fonctionnalité de masquage des données est appliquée aux données sensibles.

Disponibilité

  • Les systèmes fonctionnent à partir de plusieurs zones de disponibilité AWS.
  • Prise en charge de l'évolutivité à la demande des parcs de serveurs sans état.
  • Les sites Zenoti sont hébergés de manière à pouvoir faire face à la fois aux pannes matérielles et aux défaillances des zones de disponibilité.

Sauvegarde et restauration

  • Des instantanés sont réalisés à intervalles réguliers pour tous les serveurs critiques.
  • Base de données : Zenoti utilise différentes techniques, telles que la configuration en mode continu, les sauvegardes complètes, les sauvegardes incrémentielles et les instantanés, pour assurer la reprise après sinistre.
  • Les sauvegardes de la base de données sont chiffrées à l'aide du chiffrement natif.
  • Toutes les sauvegardes sont stockées dans un espace de stockage crypté.
  • Des contrôles périodiques de restauration sont effectués.

Enregistrement et surveillance

  • Des outils conformes aux normes du secteur utilisés pour la journalisation, la surveillance, l'analyse et la gestion des incidents.
  • La disponibilité du site fait l'objet d'une surveillance constante.
  • Différents types de journaux, tels que les journaux d'événements, les journaux d'application, les journaux d'infrastructure et les journaux d'audit, sont activés.
  • L'équipe d'ingénierie de fiabilité des sites assure une surveillance des opérations 24 heures sur 24, 7 jours sur 7, 365 jours par an.

Sécurité informatique

Sécurité des terminaux

  • Par défaut, aucun accès administrateur n'est accordé et les comptes invités sont désactivés.
  • Par défaut, l'USB est désactivé sur tous les terminaux.
  • Tous les terminaux sont équipés d'un antivirus et configurés avec les derniers correctifs.
  • Toutes les connexions sont cryptées.
  • La fonctionnalité de détection et de réponse au niveau des terminaux (EDR) est activée.

Sécurité des réseaux

  • Un système de prévention des intrusions réseau (NIPS) a été mis en place.
  • La fonctionnalité de filtrage d'URL est activée.
  • La prévention des pertes de données (DLP) est configurée pour surveiller le partage des informations sensibles.
  • Les e-mails sont analysés au niveau de la passerelle afin d'empêcher toute infection par des logiciels et programmes malveillants.
  • VPN (service d'accès à distance) avec authentification multifactorielle (MFA) activée pour l'accès à distance.

Sauvegarde et restauration

  • Les serveurs informatiques internes font l'objet de sauvegardes régulières.
  • Des contrôles de restauration sont effectués régulièrement.

Disponibilité

  • Fournisseurs d'accès à Internet (FAI) redondants.
  • Le basculement automatique et le repli sont tous deux activés sur les FAI.
  • Un système de pare-feu à haute disponibilité (HA) a été mis en place.
  • Outre le contrôleur de domaine (DC) principal, des contrôleurs de domaine supplémentaires sont hébergés dans le cloud et dans l'autre région.

Enregistrement et surveillance

  • Un serveur de journaux central a été mis en place pour les journaux des serveurs, les journaux des périphériques réseau et de sécurité, les journaux antivirus et les journaux des utilisateurs administrateurs.
  • Les journaux sont surveillés en permanence afin de prendre les mesures qui s'imposent.
  • La disponibilité de toutes les connexions Internet est surveillée.

Gestion des incidents

  • Un système de gestion des incidents de sécurité a été mis en place.
  • Les incidents de sécurité sont consignés et suivis jusqu'à leur résolution.
  • Les incidents liés à la sécurité peuvent être signalés par les employés, les clients et les fournisseurs de Zenoti en envoyant un e-mail à l'adresse dédiée [email protected].

Gestion des vulnérabilités

  • Programme de gestion des vulnérabilités en place
  • Des évaluations de vulnérabilité sont menées régulièrement sur l'infrastructure et les éventuelles failles identifiées font l'objet d'un suivi jusqu'à leur résolution.
  • Des tests d'intrusion sont effectués régulièrement et les éventuelles failles identifiées font l'objet d'un suivi jusqu'à leur résolution.
  • Contrôle statique du code : divers contrôles statiques du code, tels que le style de codage, la sécurité (y compris le Top 10 de l'OWASP), les erreurs courantes, les performances, la compatibilité et le code inutilisé, sont effectués avant l'archivage du code.
  • Des tests de sécurité des applications ont été réalisés. Les directives suivies comprenaient le Top 10 de l'OWASP, le Top 25 du CWE/SANS, les directives relatives aux tests d'intrusion PCI DSS, ainsi que d'autres bonnes pratiques du secteur, le cas échéant.

Sécurité des produits

  • Un système de contrôle de version est en place pour le référentiel de code.
  • Le code des développeurs est relu avant d'être validé.
  • Toutes les modifications sont minutieusement testées par l'équipe chargée de l'assurance qualité.
  • Un test statique du code est effectué.
  • Des tests de sécurité des applications sont effectués.
  • La plateforme Zenoti propose des rôles et des autorisations qui permettent de configurer l'accès des utilisateurs à la plateforme en fonction de leur rôle uniquement.
  • Le produit Zenoti offre des fonctionnalités avancées de journalisation afin de répondre aux exigences de conformité.

Sécurité physique

  • L'accès physique aux locaux et aux salles de serveurs de Zenoti est contrôlé au niveau des portes d'entrée et de sortie par un système de contrôle d'accès par proximité.
  • Les locaux et les salles de serveurs de Zenoti font l'objet d'une surveillance continue par des caméras de vidéosurveillance.
  • Des dispositifs ont été installés et des mesures préventives ont été mises en place pour assurer une protection contre les risques environnementaux, notamment, mais sans s'y limiter, les incendies, les coupures de courant et les fluctuations de tension.

Continuité des activités et reprise après sinistre

Les scénarios du plan de continuité des activités (PCA) sont testés régulièrement dans le cadre de la préparation à la reprise après sinistre.

Les scénarios de plan de continuité des activités (PCA) sont définis dans le cadre de l'analyse d'impact sur les activités.