Sécurité
Vos données. Notre responsabilité.
OrgaPlus traite des données RH, salariales et financières. C'est pourquoi la sécurité n'est pas une option mais un fondement — sobre, vérifiable, sans promesses marketing.
Six piliers
Chiffrement
Les données sont chiffrées en transit (TLS) et au repos. Les champs particulièrement sensibles bénéficient en plus d'un chiffrement au niveau du champ (AES-256-GCM).
Hébergement en Suisse
Vos données sont hébergées en Suisse et n'en sortent pas. Cela simplifie vos obligations envers collaborateurs et clients selon la nLPD.
Accès & journal d'audit
Des autorisations par rôles séparent admin, responsables de site et collaborateurs. Les actions sensibles sont consignées dans un journal d'audit.
Authentification à deux facteurs
Les comptes administratifs peuvent être protégés par 2FA (TOTP) avec codes de secours. Les mots de passe sont hachés avec bcrypt, jamais stockés en clair.
Sauvegardes
Des sauvegardes régulières et automatisées protègent contre la perte de données. La suppression est contrôlée — un compte désactivé perd immédiatement l'accès.
Divulgation responsable
Les chercheurs en sécurité nous joignent via un canal documenté (security.txt). Les vulnérabilités signalées sont corrigées en priorité.
Testé, pas seulement affirmé
La plateforme a fait l'objet d'un test de sécurité complet en boîte blanche en 2026. Tous les constats identifiés ont été corrigés et vérifiés.
- Les 50 constats du test d'intrusion 2026 corrigés et vérifiés
- Sessions via cookies httpOnly — les jetons ne sont pas lisibles par les scripts du navigateur
- Limitation de débit sur tous les points d'accès publics contre les abus
- Prix et montants calculés côté serveur — jamais de confiance accordée au client
- Processus de sécurité alignés sur les principes ISO 27001 (sans certification revendiquée)
Conformité
nLPD et RGPD
- Traitement des données selon la loi suisse sur la protection des données (nLPD) ; les principes du RGPD sont respectés
- Vos données vous appartiennent : export possible à tout moment, même après la fin du contrat
- Demandes d'accès et de suppression prises en charge — contact : privacy@orgaplus.ch
- Cadre clair : OrgaPlus traite vos données uniquement pour fournir le service
Vous avez trouvé une vulnérabilité ?
Nous prenons chaque signalement au sérieux. Nos coordonnées pour les chercheurs en sécurité sont publiées sous forme lisible par machine — réponse en allemand, anglais, français ou italien.
Voir security.txtQuestions fréquentes sur la sécurité
Des questions sur la sécurité ?
Nous vous montrons en démo le fonctionnement des rôles, du journal d'audit et de l'export des données.