Politique de Sécurité de l'Information
Comment Zynvio protège les informations que vous lui confiez : principes et contrôles alignés sur les normes ISO/IEC 27001 et ISO/IEC 27701, et mesures techniques et organisationnelles exigées par l'article 32 du RGPD.
Version 1.1 — Dernière mise à jour : 11 juillet 2026 · PIXELARIS S.L.
Chiffrement en transit et au repos
Communications protégées par TLS/SSL et données stockées chiffrées en AES-256. Mots de passe stockés via des fonctions de hachage avec sel.
Contrôle d'accès granulaire
Principe du moindre privilège, contrôle basé sur les rôles et permissions granulaires sur toute la plateforme.
Isolation multi-entreprise
Architecture multi-tenant avec séparation logique des données de chaque entreprise.
Audit et traçabilité
Journal d'audit avec traçabilité des opérations : qui a fait quoi, et quand.
Sauvegardes
Sauvegardes périodiques orientées vers la disponibilité et la récupération des informations.
Hébergement dans l'UE
Infrastructure hébergée dans l'Union européenne, avec des fournisseurs sélectionnés sous garanties adéquates.
Cadre normatif et de référence
Zynvio applique les principes et contrôles de ces normes et règlements comme cadre de travail. Cette politique ne constitue pas une déclaration de certification au titre des normes ISO/IEC 27001 ou ISO/IEC 27701.
Texte intégral de la politique
1. Objet et champ d'application
La présente Politique de Sécurité de l'Information décrit les principes et les mesures par lesquels Zynvio, plateforme exploitée par PIXELARIS S.L., protège les informations qu'elle traite, y compris celles de ses clients et utilisateurs. Cette politique s'applique à :
- La plateforme Zynvio (app.zynvio.com) et le site web de l'entreprise.
- L'ensemble du personnel ayant accès aux systèmes ou aux informations.
- Les processus de développement, d'exploitation et de support du service.
2. Objectifs de sécurité
Le système de management de la sécurité vise à garantir quatre propriétés de l'information :
- Confidentialité : seules les personnes autorisées accèdent aux informations.
- Intégrité : les informations sont exactes et complètes, et toute modification est détectable.
- Disponibilité : les informations et le service sont accessibles lorsque nécessaire, avec des sauvegardes qui soutiennent la récupération.
- Traçabilité : les opérations sont journalisées, de sorte qu'il est possible de vérifier qui a fait quoi et quand.
3. Cadre de référence
Notre système de management de la sécurité de l'information est fondé sur les principes et contrôles de la norme ISO/IEC 27001, et la gestion des informations à caractère personnel est alignée sur les lignes directrices de la norme ISO/IEC 27701 (extension pour le management de la protection de la vie privée). Nous appliquons également les mesures techniques et organisationnelles exigées par l'article 32 du Règlement (UE) 2016/679 (RGPD) et par la LOPDGDD espagnole.
Cette politique est une déclaration de principes et de pratiques de sécurité ; elle ne constitue pas une déclaration de certification au titre de ces normes.
4. Gouvernance et engagement de la Direction
La Direction de PIXELARIS S.L. s'engage en faveur de la sécurité de l'information et est chargée de :
- Approuver cette politique et la réviser périodiquement.
- Attribuer les responsabilités en matière de sécurité.
- Fournir les ressources nécessaires à son application.
- Promouvoir l'amélioration continue du système de management.
5. Gestion des risques
Nous évaluons périodiquement les risques affectant la confidentialité, l'intégrité et la disponibilité des informations, ainsi que l'efficacité des mesures de sécurité mises en place. Les mesures sont ajustées lorsque les risques, la technologie ou le contexte du service évoluent.
6. Contrôle d'accès
L'accès aux informations est géré selon les principes suivants :
- Principe du moindre privilège pour l'accès aux données.
- Contrôle d'accès basé sur les rôles et permissions granulaires.
- Isolation logique des données entre entreprises (architecture multi-tenant).
- Jetons de session générés de manière cryptographique.
7. Chiffrement et protection des données
Nous appliquons le chiffrement pour protéger les informations dans tous leurs états :
- Chiffrement des données en transit via TLS/SSL.
- Chiffrement des données au repos via AES-256.
- Stockage des mots de passe au moyen de fonctions de hachage avec sel.
- Protection chiffrée des certificats électroniques et des identifiants sensibles.
8. Sécurité du développement et de l'exploitation
Le développement et l'exploitation de la plateforme intègrent des mesures de sécurité dès la conception :
- Prévention des injections SQL au moyen de requêtes paramétrées.
- Validation et assainissement des fichiers téléversés.
- Protection contre les attaques automatisées.
- Journal d'audit avec traçabilité des opérations.
9. Intégrité des registres de facturation (VERI*FACTU)
En tant que système de facturation fonctionnant en mode VERI*FACTU, Zynvio garantit l'intégrité, la conservation, la traçabilité et l'inaltérabilité des registres de facturation :
- Chaque registre comporte une empreinte SHA-256 chaînée à celle du registre précédent, formant une chaîne vérifiable.
- Les registres sont transmis en continu à l'agence fiscale espagnole (AEAT).
- Chaque facture inclut un code QR vérifiable.
- Aucun registre ne peut être modifié ou supprimé sans que le système ne le détecte ; les corrections s'effectuent par de nouveaux registres qui conservent les originaux.
10. Sauvegardes et continuité
Nous effectuons des sauvegardes périodiques destinées à garantir la disponibilité et la récupération des informations en cas d'incident.
11. Gestion des incidents et notification des violations
Nous disposons de procédures de gestion des incidents de sécurité. Lorsqu'un incident constitue une violation de données personnelles, nous agissons conformément aux articles 33 et 34 du RGPD et à notre Politique de Confidentialité :
- En tant que responsable du traitement : notification à l'autorité de contrôle espagnole (AEPD) dans un délai maximal de 72 heures lorsqu'il existe un risque pour les droits et libertés des personnes concernées et, si le risque est élevé, communication directe aux personnes affectées.
- En tant que sous-traitant : notification au client (responsable) dans les meilleurs délais, en fournissant les informations nécessaires pour qu'il puisse remplir ses propres obligations de notification.
12. Protection de la vie privée dès la conception
Conformément à la norme ISO/IEC 27701, la gestion des informations personnelles est intégrée au système de sécurité selon les principes de protection de la vie privée dès la conception et par défaut :
- Rôles distincts de responsable du traitement et de sous-traitant, tels que décrits dans la Politique de Confidentialité.
- Accord de traitement des données (DPA) avec les clients de la plateforme.
- Gestion des sous-traitants ultérieurs avec des garanties équivalentes.
- Minimisation des données et limitation des finalités.
13. Personnel
L'ensemble du personnel est soumis à des obligations de confidentialité, accède aux informations selon le principe du moindre privilège et applique cette politique dans l'exercice de ses fonctions.
14. Fournisseurs et hébergement
Les fournisseurs participant à la prestation du service sont sélectionnés en exigeant des garanties adéquates en matière de sécurité et de protection des données. L'infrastructure de Zynvio est hébergée dans l'Union européenne.
15. Révision et amélioration continue
Cette politique est révisée périodiquement et mise à jour lorsque les risques, la technologie ou les exigences légales applicables évoluent. La version publiée sur cette page est celle en vigueur.
16. Contact et signalement de vulnérabilités
Si vous détectez une vulnérabilité ou un problème de sécurité lié à Zynvio, ou si vous avez une question concernant cette politique, écrivez-nous à :