Politique de sécurité du Système d'Information

Date de dernière mise à jour : novembre 2025
Chapitre 1 Responsable du traitement
   
Chapitre 1

Engagement de ZEROSIX

Dans un environnement interconnecté et en constante évolution, la sécurité est un enjeu stratégique. Nos services SaaS, qui relient des milliers de points de vente à des dizaines de partenaires technologiques, reposent sur la fiabilité, la résilience et la protection des données.

Ainsi, la sécurité du système d’information est au cœur des engagements de ZEROSIX.

Notre mission repose sur trois engagements fondamentaux :

  • Protéger la vie privée et la confidentialité des données personnelles qui nous sont confiées;
  • Garantir l’intégrité et la fiabilité des informations que nous traitons ;
  • Assurer la disponibilité continue de nos services, essentiels à l’activité de nos clients.

Cet engagement se traduit par des pratiques rigoureuses, une gouvernance claire et une culture partagée de la sécurité au sein de l’entreprise.

  
Chapitre 2

Objectifs de la politique

La Politique de Sécurité du Système d’Information (PSSI) fixe le cadre général de protection des informations et des systèmes utilisés par ZEROSIX.

Elle a pour objectifs de :

  • Garantir la disponibilité des services et des données ;
  • Préserver leur intégrité et leur confidentialité ;
  • Assurer la conformité réglementaire, notamment avec le RGPD ;
  • Promouvoir une culture de sécurité auprès de tous les acteurs internes et externes ;
  • Soutenir l’amélioration continue de nos pratiques.

Cette politique s’applique à l’ensemble des collaborateurs, partenaires et prestataires participant à la conception, à la mise en œuvre et à l’exploitation de nos solutions.

  
Chapitre 3

Gouvernance et organisation

La gouvernance de la sécurité repose sur une organisation claire et documentée.

  • Le Responsable de la Sécurité du Système d’Information (RSSI) pilote la mise en œuvre de la politique, le suivi des risques et la coordination des actions.
  • Le Délégué à la Protection des Données (DPO) veille à la conformité des traitements de données personnelles et accompagne les projets impliquant des informations sensibles.
  • La Direction soutient cette démarche à travers la validation des politiques, la priorisation des plans d’action et la communication des engagements de sécurité.
  • Tous les collaborateurs sont formés et sensibilisés aux bonnes pratiques de sécurité et de protection des données.

Cette organisation garantit la cohérence entre la stratégie de l’entreprise, les exigences réglementaires et les standards de sécurité appliqués.

  
Chapitre 4

Champ d’application

La présente politique s’applique à :

  • L’ensemble des systèmes d’information exploités par ZEROSIX ;
  • Les collaborateurs, prestataires et partenaires ayant accès à ces systèmes ou à des données clients ;
  • Les informations manipulées dans le cadre des activités commerciales, techniques ou administratives de ZEROSIX.

Des politiques et chartes complémentaires précisent les règles par domaine: la charte informatique interne, les conventions de partage de données, les conditions générales d’utilisation de l’API et les engagements contractuels avec les clients.

  
Chapitre 5

Les dix principes clés de la sécurité chez ZEROSIX

Disponibilité avant tout
Nous garantissons la continuité de nos services grâce à des infrastructures résilientes.

Respect absolu de la vie privée
Nous protégeons les données personnelles en appliquant des mesures conformes au RGPD : minimisation, chiffrement et respect des droits des personnes.

Intégrité des données garantie
Les informations gérées par nos solutions (points, transactions, profils) sont exactes, tracées et vérifiées pour garantir leur fiabilité.

Contrôle rigoureux des accès
Chaque utilisateur dispose uniquement des droits nécessaires à sa mission. L’authentification forte et les revues d’habilitations assurent un contrôle permanent.

Sécurité intégrée dès la conception
La sécurité est intégrée à toutes les étapes de conception et de développement de nos produits, dans une approche DevSecOps.

Fiabilité de la chaîne de confiance
Nos partenaires et fournisseurs sont évalués et encadrés par des exigences contractuelles pour garantir un niveau de sécurité homogène sur toute la chaîne.

Réactivité face aux incidents
Nous disposons de processus documentés et d’équipes mobilisables pour détecter, traiter et corriger tout incident de sécurité.

Prévention active de la fraude
Nos systèmes détectent les comportements anormaux et limitent les risques d’abus pour préserver la valeur et la confiance dans les programmes de fidélité.

Conformité et gouvernance exigeantes
Nos pratiques s’appuient sur des standards reconnus et sur une gouvernance claire, avec des audits réguliers et un suivi de la conformité.

Transparence et confiance durables
En cas d’incident, nous informons nos partenaires et clients avec réactivité et transparence, et communiquons les mesures correctives mises en œuvre.

   
Chapitre 6

Grands domaines d’application

La politique de sécurité de ZEROSIX s’articule autour de plusieurs domaines complémentaires :

  • Gouvernance de la sécurité : définition des rôles, suivi des risques, pilotage du plan d’action et sensibilisation.
  • Protection des données : conformité RGPD, limitation des traitements, protection de la vie privée et gestion des droits.
  • Gestion des accès et cryptographie : maîtrise des identités, authentification forte et chiffrement des flux et données.
  • Sécurité physique et environnementale : contrôle d’accès aux locaux, protection des postes de travail et encadrement du télétravail.
  • Développement sécurisé : intégration de la sécurité dans les processus de conception, de test et de mise en production.
  • Opérations et gestion des incidents : supervision continue, sauvegarde, restauration et retour d’expérience.
  • Sécurité des tiers : encadrement contractuel et suivi de la conformité des fournisseurs et partenaires.
  • Sécurité des API : protection des interfaces et contrôle des échanges de données avec les systèmes externes.

Ces domaines sont couverts par des politiques internes spécifiques, révisées régulièrement par le RSSI et la direction, a minima une fois par an ou en cas d'événement majeur affectant notre système d'information. 

    
Chapitre 7

Conformité et amélioration continue

ZEROSIX veille à respecter les cadres légaux, réglementaires et normatifs applicables à ses activités, notamment :

  • Le Règlement Général sur la Protection des Données (RGPD) ;
  • Les bonnes pratiques de sécurité inspirées des référentiels de l’ANSSI et des normes ISO 27001 et 27002.

La conformité est évaluée de manière régulière à travers des audits, des contrôles et des revues de direction.

Les politiques, procédures et outils de sécurité évoluent en permanence afin d’intégrer les retours d’expérience, les nouveaux usages et les menaces émergentes.

     
Chapitre 8

Une sécurité collective et transparente

Chez ZEROSIX, la sécurité est une responsabilité partagée. Chaque collaborateur, prestataire et partenaire joue un rôle actif dans la protection des informations et des systèmes.

La direction s’engage à soutenir cette démarche par la formation, la communication et la mise à disposition des moyens nécessaires.

Cette culture commune de la sécurité renforce la confiance et la performance de l’écosystème ZEROSIX.