Table of Contents

Politique de Sécurité de Finthesis

La sécurité des données de nos clients est au cœur de Finthesis. Parce que notre plateforme traite des informations comptables et financières sensibles, nous assumons l'entière responsabilité de la sécurité de nos systèmes et des données qui nous sont confiées, de la conception de nos logiciels jusqu'à l'exploitation quotidienne de notre infrastructure.

La plateforme Finthesis est certifiée ISO/IEC 27001, la norme internationale de référence en matière de management de la sécurité de l'information. Finthesis fait par ailleurs partie du groupe Visma, l'un des principaux éditeurs de logiciels professionnels en Europe, et applique son programme de sécurité, le Visma Security Program (VSP).

Conformité et cadre de sécurité

  • ISO/IEC 27001 — la plateforme Finthesis est certifiée selon le référentiel international de management de la sécurité de l'information.
  • RGPD : les données sont traitées conformément au Règlement général sur la protection des données et hébergées au sein de l'Union européenne.
  • Visma Security Program (VSP) : les standards de développement sécurisé du groupe Visma.
  • Visma Cloud Delivery Model (VCDM) : Finthesis est déployé selon le modèle de livraison cloud du groupe Visma, un système de management de la sécurité de l'information dédié au cloud.
  • Référentiels OWASP et recommandations du National Cyber Security Centre, appliqués tout au long du cycle de développement.
Notre cadre de livraison cloud sécurisé est documenté publiquement sur le Visma Trust Centre.

Protection des données

  • Vos données sont chiffrées en transit (SSL/TLS) comme au repos.
  • Elles sont hébergées sur une infrastructure cloud de premier plan, conçue pour une haute disponibilité, au sein de l'Union européenne.
  • Chaque organisation est strictement cloisonnée des autres (isolation multi-tenant).
  • Nos journaux techniques ne contiennent aucune donnée personnelle ni financière : ils enregistrent uniquement des événements opérationnels.

Contrôle des accès

  • Identifiants uniques permettant de tracer chaque activité au niveau individuel.
  • Authentification multifacteur (mot de passe à usage unique et/ou biométrie), que vous pouvez rendre obligatoire pour l'ensemble de vos utilisateurs ; authentification unique (SSO) recommandée.
  • Droits différenciés selon les rôles (gestionnaires, employés, administrateurs, clients) : chacun n'accède qu'aux fonctionnalités qui le concernent.
  • Limitation du nombre de tentatives de connexion infructueuses et chiffrement systématique des mots de passe.
  • En interne, les accès suivent le principe du moindre privilège : les opérations sensibles passent par des accès dédiés, soumis à validation et revus régulièrement.

Tests et audits en continu

  • Analyse statique (SAST), analyse dynamique (DAST) et analyse des dépendances (SCA) exécutées et surveillées quotidiennement.
  • Tests d'intrusion réguliers, au minimum annuels et à chaque évolution technique ou fonctionnelle majeure, menés notamment avec des organismes externes qualifiés.
  • Surveillance de la sécurité 24h/24 et 7j/7, appuyée sur des systèmes de détection d'intrusion.
  • Chaque vulnérabilité identifiée est analysée, classifiée selon sa criticité, puis corrigée.

Gestion des incidents de sécurité

Toute déviation par rapport à nos mesures de sécurité est détectée, analysée et classifiée. Les incidents sont enregistrés et donnent lieu, le cas échéant, à des mesures correctives et préventives complémentaires.

Les accès et événements sont journalisés et conservés à des fins d'audit et d'investigation.

Continuité et reprise d'activité

  • Nos services reposent sur des environnements redondants et répartis sur plusieurs sites.
  • Des sauvegardes quotidiennes, hebdomadaires et mensuelles sont réalisées, chiffrées et stockées indépendamment des systèmes de production, dans une autre région de l'Union européenne.
  • Notre plan de continuité et de reprise d'activité (PCA/PRA) couvre l'infrastructure SaaS comme notre Service Desk ; sa fiabilité est vérifiée par des tests périodiques.

Fournisseurs et sous-traitants

Nos fournisseurs et sous-traitants sont évalués sur des critères de sécurité et de conformité avant toute intégration, puis suivis dans la durée.
  • Le traitement des données confié à nos sous-traitants est encadré par des accords conformes au RGPD (accords de traitement des données).
  • Notre hébergement et nos infrastructures reposent sur des prestataires de premier plan, eux-mêmes certifiés selon les standards de sécurité les plus exigeants, dont la norme ISO/IEC 27001.
  • Des engagements de continuité encadrent nos fournisseurs critiques afin de garantir la disponibilité de nos services.
  • Le détail de notre hébergement et de nos sous-traitants est publié sur notre page dédiée du Visma Trust Centre : https://www.visma.com/trust-centre-products/finthesis

Signaler une vulnérabilité

La sécurité de nos applications et des données de nos clients est une priorité. Si vous suspectez une vulnérabilité ou un abus, deux canaux vous permettent de nous en faire part :
  • par e-mail à security@visma.com - chaque signalement est analysé par un expert en sécurité avant d'être transmis à l'équipe concernée ;
  • via notre programme de divulgation responsable, accessible sur une plateforme dédiée.
Nous demandons à toute personne suspectant une vulnérabilité d'utiliser ces canaux pour limiter les risques pour les parties concernées. Toute divulgation via les réseaux sociaux est fortement déconseillée.
The financial reporting and forecasting platform for CFOs and accountants.
ISO 27001Certified4.9 / 5
Features
Financial reporting
Dashboards
Financial Forecast
Consolidated reporting
Sector comparison
Social and ESG
Integrations
Artificial intelligence
Resources
Webinars
Customer testimonials
Tutorials
Blog
Toolkit
Public roadmap
Sales kit
Press kit
Who it's for
Accountants
CFOs
Company
About
Pricing
Careers
We're hiring
Contact us
Privacy policyTerms and conditions
Cookie preferences
GDPRSecurityWhistleblowing channel
© Finthesis, 2026