Authentification et autorisations
Lorsqu'un utilisateur installe Gmelius, nous créons un compte Gmelius pour l'utilisateur et le relions au compte Google de l'utilisateur. Nous demandons à l'utilisateur l'autorisation de se connecter à son compte Google et d'authentifier cette connexion via Google Apps OAuth. Cela signifie que le compte Gmelius de chaque utilisateur bénéficie de la même sécurité de connexion de pointe que son compte Google. Les utilisateurs peuvent ajouter une authentification à deux facteurs via Google s'ils le souhaitent.
Gmelius demande l'accès aux informations Google suivantes afin que nos fonctionnalités puissent fonctionner :
Lisez, envoyez, supprimez et gérez vos e-mails
Gmelius demande ces autorisations afin que nous puissions vous fournir des fonctionnalités telles que le suivi des ouvertures, des clics et des réponses, la boîte de réception partagée, les étiquettes partagées, les campagnes.
Gérez vos paramètres de messagerie de base
Gmelius a besoin d'accéder à vos paramètres de messagerie afin que nous puissions reproduire vos préférences existantes, y compris les alias de messagerie et les signatures électroniques.
Gérez vos calendriers
Gmelius vous permet de synchroniser vos tableaux Gmelius Kanban avec des calendriers spécifiques, ce qui permet de lier une carte ou une tâche à l'événement d'un calendrier.
Collecte de données
Lors de l'installation, nous demandons à l'utilisateur son consentement pour se connecter à son compte Google et authentifier cette connexion via Google Apps OAuth. Il s'agit d'un processus en deux étapes. Dans un premier temps, Gmelius informe l'utilisateur que l'utilisation des produits Gmelius est soumise aux termes des conditions d'utilisation et de la politique de confidentialité de Gmelius, qui décrivent chacune la manière dont nous traitons les données d'un utilisateur. L'utilisateur doit ensuite cliquer sur « Activer Gmelius » pour passer à la deuxième étape. Dans un deuxième temps, Google Apps indique les types d'informations qui seront accessibles par Gmelius et l'étendue de l'autorisation que l'utilisateur donne à Google et à Gmelius pour activer la connexion, et l'utilisateur doit cliquer sur « Autoriser » pour continuer à utiliser le produit Gmelius.
La politique primordiale de notre entreprise est de collecter le moins d'informations possible sur les utilisateurs. Nous ne conservons jamais le contenu de vos e-mails. Gmelius peut récupérer et stocker vos :
- Nom
- Adresse e-mail
- Photo de profil de Gravatar
- Fuseau horaire et langue
- Signatures et alias Gmail
- Liste des étiquettes et des calendriers
- Configuration et données de Gmelius (par exemple, détails de l'abonnement, modèles, notes, campagnes)
- Identifiants de fil de discussion, identifiants de brouillon, identifiants de message s'ils sont liés à une fonctionnalité Gmelius (par exemple, étiquette partagée, séquence)
Nous enregistrons également l'objet et les destinataires de vos e-mails de suivi afin de vous informer des ouvertures et d'afficher les activités connexes.
Protection des données
Nous protégeons vos données tout au long des flux de données du produit Gmelius, depuis la création et l'intégration de comptes via le service OAuth de Google, jusqu'au chiffrement des données en transit vers les serveurs Gmelius (à l'aide du protocole TLS basé sur le navigateur) et au cryptage de ces données au repos, en passant par diverses mesures de protection administratives, physiques et techniques conçues pour créer un environnement sécurisé pour les données de nos clients.
Nous sommes un partenaire officiel de Google Cloud et utilisez Google Cloud Platform (« GCP ») pour stocker en permanence les données des utilisateurs, ce qui signifie que nous ne stockons pas de données dans nos locaux. Toutes les applications Gmelius incluent des instances de basculement et de sauvegarde et notre infrastructure respecte et maintient les certifications de sécurité standard de l'industrie, notamment ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, FedRAMP ATO et PCI DSS v3.2. Les données de Google Cloud Platform sont divisées en sous-fichiers à des fins de stockage, et chaque fragment est chiffré au niveau du stockage à l'aide d'une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données d'un bloc est appelée clé de chiffrement des données (DEK). En raison du volume élevé de clés chez Google et de la nécessité d'une faible latence et d'une haute disponibilité, ces clés sont stockées à proximité des données qu'elles chiffrent. Les DEK sont chiffrés avec (ou « encapsulés » par) une clé de chiffrement (KEK). Pour plus d'informations, veuillez consulter Google Cloud.
Toutes les données utilisateur sont étiquetées avec un jeton spécifique au projet, et le client doit avoir accès à la clé API et au secret correspondants afin de récupérer ces données via l'API. Cela permet une séparation logique entre les données appartenant à plusieurs clients. Gmelius est le seul locataire de notre infrastructure. Les données d'un utilisateur peuvent se trouver dans des systèmes de base de données qui contiennent des données appartenant à d'autres utilisateurs, mais nos contrôles logiques (jeton, clé et secret) séparent les données d'un client des données d'un autre client.
Notre extension Chrome est soumise à un processus de révision par l'équipe Chrome de Google, conformément à la Politiques du programme pour développeurs. Notre architecture et nos pratiques sont auditées chaque année par un cabinet indépendant, y compris des tests externes et de pénétration des applications ; en 2019 et 2020, les audits ont été réalisés par Bishop Fox (voir le rapport 2020 | voir le rapport 2019).
Confidentialité et conservation des données
Nous ne louons, ne vendons ni n'échangeons vos informations personnelles à des tiers. Nous pouvons divulguer certaines de vos informations personnelles à des tiers de confiance ou à des sous-traitants spécifiques, comme spécifié dans notre Politique de confidentialité.
L'accès aux données des utilisateurs par les employés de Gmelius est limité aux besoins, par exemple pour résoudre les problèmes des clients. Lorsqu'un tel accès est requis, seul le personnel ayant un besoin direct aura accès aux données relatives à GMELIUS, et cet accès sera limité autant que possible. La violation de cette politique par un employé de Gmelius est une affaire grave qui nécessite une enquête et des mesures disciplinaires appropriées, pouvant aller jusqu'au licenciement et à des poursuites judiciaires.
Un utilisateur de Gmelius peut supprimer à tout moment son compte Gmelius et supprimer toutes les données associées à ce compte du Page du compte Gmelius.
RGPD
Nous sommes prêts à défendre les droits et obligations prévus par le règlement général sur la protection des données (RGPD). Vous pouvez consulter notre addendum relatif au traitement des données ici.
CCPA
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) établit et renforce les droits à la vie privée des résidents de Californie et impose des règles aux entreprises qui traitent leurs informations personnelles. Sous réserve de certaines restrictions, le CCPA donne aux résidents de Californie le droit de demander à en savoir plus sur les catégories et les éléments spécifiques d'informations personnelles que nous collectons (y compris la manière dont nous utilisons et divulguons ces informations), de supprimer leurs informations personnelles, de se désinscrire de toute activité promotionnelle qui pourrait avoir lieu et de ne pas faire l'objet de discrimination pour avoir exercé ces droits.
Gmelius ne vend pas (tel que le terme est défini dans le CCPA) les informations personnelles que nous collectons.
Réponse aux incidents et mesures correctives
Nous surveillons nos systèmes 24 heures sur 24, 7 jours sur 7 et 365 jours par an à l'aide de divers outils de mesure des performances et de vérification des erreurs. Lorsque des problèmes sont détectés, notre équipe opérationnelle en est immédiatement informée et les problèmes font l'objet d'une enquête. Nous travaillons en étroite collaboration avec nos fournisseurs d'hébergement pour garantir que les systèmes sous-jacents restent sécurisés et que toute faille de sécurité fait l'objet d'une enquête, d'un correctif et d'une correction rapides.
Les opérations de notre système sont enregistrées et les journaux sont stockés pendant au moins 7 jours dans le cloud. Si nécessaire, ces journaux peuvent être extraits pour enquêter sur des incidents ou pour reconstituer une chaîne d'événements.
Lorsqu'un incident grave survient ou qu'une interruption prolongée est prévue, nous en informons nos utilisateurs via notre blog, Twitter et/ou e-mail. En cas de faille de sécurité, nous informerons rapidement les utilisateurs concernés de la nature et de l'étendue de la violation, et prendrons des mesures pour minimiser les dommages.