Confiance et sécurité

La sécurité et la confidentialité sont au cœur du produit.

Confiez-nous vos données en sachant précisément comment elles sont hébergées, isolées, chiffrées et gouvernées. Certifié ISO 27001:2022 et reconnu par les grandes banques internationales.

Isolées et chiffrées, sous juridiction de Singapore.

Où vos données résident

Hébergées à Singapore, chiffrées de bout en bout

Canopy s'appuie sur une infrastructure cloud renforcée à Singapore. Vos données sont chiffrées dès qu'elles quittent vos mains et le restent au repos, au sein d'un réseau conçu pour exposer le strict minimum.

Chiffrement en transit

Chaque connexion et chaque transfert de données est chiffré par défaut via TLS, du dépôt d'un relevé ou d'un flux bancaire jusqu'à la plateforme.

Chiffrement au repos

Toutes les données stockées sont protégées par un chiffrement avancé, les rendant illisibles jusqu'à la couche de stockage.

Un périmètre restreint et surveillé

Le trafic transite par un pare-feu géré, avec seulement les ports nécessaires ouverts et une liste blanche d'adresses IP en option. Tout le reste demeure au sein d'un réseau interne privé.

Illustration uniquement
Isolation et confidentialité

Vos données, cloisonnées et confidentielles

La confidentialité n'est pas une option que l'on active. Elle est inhérente à la conception de la plateforme comme à la conduite de l'entreprise.

Isolation des bases par client

Les données de chaque client résident dans leur propre base isolée et chiffrée : les informations d'un client ne sont jamais mêlées à celles d'un autre.

Accès selon les rôles

Un modèle d'accès strict, fondé sur les comptes et les rôles, garantit que chacun ne voit que ce que son rôle autorise, selon le principe du moindre privilège.

Nous ne dévoilons jamais nos clients

Les family offices et les banques sont, par nature, discrets. Nous ne divulguons jamais l'identité de nos clients, ni leurs portefeuilles ou leurs positions.

Vos données ne servent pas à l'entraînement

Nous n'utilisons jamais vos données pour entraîner des modèles d'AI partagés. L'AI est une option, et elle s'applique uniquement à vos données isolées.

Une conservation selon vos conditions

La conservation, la sauvegarde et la suppression des données suivent des politiques documentées : les informations ne sont conservées que le temps nécessaire.

Juridiction de Singapore

Vos données sont détenues et régies selon le droit de Singapore, en cohérence avec les attentes de la MAS envers les institutions que nous servons.

Le dispositif de sécurité

Un programme documenté, non de simples bonnes intentions

Nos politiques et procédures de sécurité s'articulent autour de huit domaines couvrant les personnes, les systèmes, les données et les opérations. Chaque collaborateur, prestataire et fournisseur applique les mêmes standards.

Accès et usage

Usage acceptable, contrôle des accès, BYOD et protection des mots de passe.

Protection des données

Conservation, sauvegarde et restauration, chiffrement et classification de l'information.

Incidents et risques

Gestion des incidents, reprise après sinistre, méthodologie des risques et actions correctives.

Opérations de sécurité

Antivirus et gestion des correctifs, journalisation et surveillance, sécurité du réseau.

Conformité et audit

Politique de conformité, audit interne et gestion des relations avec les fournisseurs.

Développement et changement

Pratiques de développement sécurisé et gestion maîtrisée des changements.

Sécurité physique et environnementale

Protection des installations contre les menaces physiques et environnementales.

Communication et formation

Sensibilisation à la sécurité, formation et sécurité du capital humain.

Contrôles et garanties

Éprouvés par des tiers, chaque année

Nous ne sommes pas juges et parties. Des experts indépendants et nos partenaires bancaires nous soumettent à des contrôles réguliers.

Tests d'intrusion annuels

Des tests d'intrusion menés chaque année par des tiers indépendants identifient et corrigent les vulnérabilités avant qu'elles ne puissent être exploitées.

Évaluations indépendantes

Des spécialistes externes réalisent des évaluations de la sécurité des API et des vulnérabilités, en complément de notre propre programme d'audit interne.

Certification ISO 27001:2022

Certifié selon la norme internationale de management de la sécurité de l'information, avec des audits de surveillance continus.

La confiance des banques

Auditée par les banques elles-mêmes

Les grandes banques internationales auditent Canopy avant de s'y connecter, puis nous ré-auditent chaque année. Nous passons ces contrôles sans faille, ce qui explique que des flux de données bancaires affluent vers Canopy depuis des institutions du monde entier. Notre certificat ISO, les synthèses de nos tests d'intrusion ainsi que l'ensemble de nos politiques et procédures de sécurité sont mis à disposition des prospects qualifiés, sous NDA, lors de la due diligence.

100+
Flux bancaires directs dans le monde
Annual
Audits bancaires passés chaque année
250+
Dépositaires connectés
9 yrs
En production

Vos questions de sécurité, nos réponses

Où nos données sont-elles hébergées ?

Canopy s'appuie sur une infrastructure cloud renforcée à Singapore. Vos données sont détenues et régies selon le droit de Singapore, en cohérence avec les attentes de la MAS envers les institutions que nous servons.

Nos données sont-elles isolées de celles des autres clients ?

Oui. Les données de chaque client résident dans leur propre base isolée et chiffrée. Les informations d'un client ne sont jamais mêlées à celles d'un autre, et les accès sont régis par un modèle strict fondé sur les comptes et les rôles.

Les données sont-elles chiffrées ?

Oui. Tous les transferts de données sont chiffrés par défaut via TLS, et l'ensemble des données stockées est protégé par un chiffrement avancé au repos, les rendant illisibles jusqu'à la couche de stockage.

Êtes-vous certifiés, et par qui ?

Canopy est certifié ISO 27001:2022, la norme internationale de management de la sécurité de l'information, avec des audits de surveillance continus. Nous sommes également alignés sur les attentes de la MAS de Singapore.

Réalisez-vous des tests d'intrusion ?

Oui. Des tests d'intrusion sont menés chaque année par des tiers indépendants, aux côtés d'évaluations externes des API et des vulnérabilités et de notre propre programme d'audit interne, afin d'identifier et de corriger les failles de manière proactive.

Utilisez-vous nos données pour entraîner l'AI ?

Non. Nous n'utilisons jamais vos données pour entraîner des modèles d'AI partagés. L'AI est une option, et elle s'applique uniquement à vos propres données isolées.

Pouvons-nous consulter vos rapports de sécurité avant de signer ?

Oui. Notre certificat ISO, les synthèses de nos tests d'intrusion ainsi que l'ensemble de nos politiques et procédures de sécurité sont mis à disposition des prospects qualifiés, sous NDA, lors de la due diligence.

Que se passe-t-il en cas d'incident de sécurité ou d'interruption ?

Nous maintenons des procédures documentées de gestion des incidents et de reprise après sinistre, avec une journalisation et une surveillance pour détecter les anomalies, ainsi que des plans de restauration éprouvés pour rétablir le service et protéger les données.

Get started

Transmettez ce document à votre équipe sécurité

Nous présenterons à vos équipes informatique, risque et conformité l'hébergement, l'isolation et nos contrôles, et partagerons la documentation sous NDA.