La sécurité n'est pas une simple affirmation. Elle est certifiée.Les services cloud Synology et les opérations mondiales suivent des cadres de sécurité et de confidentialité reconnus internationalement afin de protéger la confidentialité, l'intégrité et la disponibilité des données dans des environnements réglementés.Synology Inc.Le dernier certificat s'applique aux systèmes de gestion de la sécurité de l'information (ISMS) d'entreprise de Synology.
ISO 27001
Centres de données de colocation C2Le périmètre actuel couvre l'Europe, les États-Unis et les centres de données de colocation APAC utilisés pour les services C2.
ISO 27001 (tous les centres de données C2)
SOC 2 Type II (centres de données US)
Assistance réglementaire et juridiqueSoutenir la confidentialité d'entreprise, la sécurité et les exigences réglementaires mondiales.
GDPR DPA (tous les centres de données C2)
HIPAA BAA (centres de données américains)
CCPA (centres de données américains)
Conformité et certification Demander des rapports d'audit
Informations relatives à la certification
  • ISO 27001
  • SOC 2 Type II
Assistance au cadre réglementaire
  • RGPD (Règlement général sur la protection des données)
  • HIPAA BAA (Health Insurance Portability and Accountability Act - Accord d'association commerciale)
  • CCPA (California Consumer Privacy Act)
ISO 27001 ISO 27001 SOC 2 Type II RGPD (Règlement général sur la protection des données) HIPAA BAA (Health Insurance Portability and Accountability Act - Accord d'association commerciale) CCPA (California Consumer Privacy Act)
ISO 27001ISO 27001:2022 est la principale norme internationale pour les systèmes de gestion de la sécurité de l'information (ISMS), fournissant un cadre robuste de gestion des risques pour la protection des actifs informationnels des organisations.
Synology maintient une certification officielle ISO/IEC 27001:2022 pour ses opérations d'entreprise, validée par des audits indépendants rigoureux. Cette certification confirme que Synology a mis en place et maintient un système complet de gestion de la sécurité de l'information (ISMS), conçu pour protéger la confidentialité, l'intégrité et la disponibilité (CIA) des données.
Pour ses services cloud, Synology collabore avec des centres de données de colocation tiers qui disposent d'installations certifiées ISO 27001, garantissant que l'infrastructure physique et les contrôles de sécurité au niveau des installations sont gérés conformément aux normes internationales de sécurité de l'information reconnues.
En maintenant cette norme reconnue mondialement, Synology garantit que la gouvernance de la sécurité est un processus continu et systématique, offrant aux clients l'assurance vérifiée que leurs informations sont gérées selon les protocoles de sécurité les plus élevés.
SOC 2 Type IISOC 2 (System and Organization Controls) est un cadre développé par l’AICPA pour évaluer les contrôles internes d’une organisation de services selon les critères de confiance des services : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.

Le centre de données Synology C2 situé aux États-Unis est maintenu selon ces normes élevées, incluant des protocoles de sécurité physique rigoureux, des contrôles d’accès multi-facteurs et une surveillance avancée du réseau. En sélectionnant des centres de données de colocation basés aux États-Unis et certifiés SOC 2 Type II, Synology garantit un environnement d’hébergement sécurisé et bien contrôlé pour les utilisateurs nécessitant une gestion certifiée de leurs actifs d’information.
RGPD (Règlement général sur la protection des données)Synology traite les informations personnelles conformément aux normes internationales les plus strictes. Notre cadre de gouvernance des données est conçu pour s’aligner sur les principes du RGPD, garantissant la légalité, la transparence et la responsabilité tout au long du cycle de vie du consentement, de la collecte, du traitement et de la conservation des données. Afin de protéger ces informations, nous mettons en œuvre des mesures de sécurité techniques et organisationnelles multicouches garantissant aux utilisateurs un contrôle total sur leurs données personnelles.

Au-delà de la protection des informations personnelles, Synology maintient un engagement fondamental envers la souveraineté des données des utilisateurs. Synology n’accède pas aux données stockées par les utilisateurs sur leurs appareils matériels ou dans le cloud, ne les utilise pas et ne les traite pas. Nos systèmes sont conçus pour garantir que les actifs numériques restent exclusivement sous le contrôle des utilisateurs, protégés par une architecture privilégiant une autonomie et une propriété absolues.
HIPAA BAA (Health Insurance Portability and Accountability Act - Accord d'association commerciale)La Health Insurance Portability and Accountability Act (HIPAA) a été introduite par le Congrès américain en 1996 afin de définir des normes réglementaires pour l'utilisation et la divulgation légales des informations de santé protégées électroniques (ePHI). Selon la réglementation HIPAA, les prestataires de soins de santé et les entreprises doivent satisfaire à un ensemble d'exigences visant à garantir la confidentialité et la sécurité de toute ePHI créée, gérée, reçue ou transmise.
Les appliances matérielles Synology et les services cloud applicables fournissent les capacités techniques essentielles nécessaires à la création d'un environnement conforme à la HIPAA. Cela inclut des contrôles d'accès avancés, des protections de l'intégrité des données et une journalisation d'audit complète. Bien que la responsabilité de la conformité réglementaire finale incombe à l'entité couverte, les solutions Synology constituent une base solide, permettant aux utilisateurs de déployer et de gérer leur infrastructure conformément à des mesures de sécurité administratives, physiques et techniques strictes.
CCPA (California Consumer Privacy Act)Synology respecte les droits à la vie privée définis par le California Consumer Privacy Act (CCPA) pour tous les résidents de Californie. Synology fonctionne selon un modèle de transparence absolue des données, garantissant que les informations personnelles ne sont jamais utilisées à des fins non autorisées par des tiers.

Le cadre de gouvernance est conçu pour offrir aux consommateurs une visibilité claire sur les catégories d'informations personnelles collectées et les finalités spécifiques pour lesquelles elles sont utilisées. Pour faciliter ces protections, Synology met en œuvre des mesures techniques et organisationnelles robustes permettant aux utilisateurs d'exercer leurs droits légaux, y compris le droit de savoir, le droit de suppression et le droit de refus, assurant ainsi un contrôle total sur leur identité numérique.
Responsabilité partagéeSynology s'engage à garantir la sécurité de la plate-forme, tandis que les utilisateurs sont responsables du contrôle des accès, de la configuration des appareils et de la gestion interne — créant ainsi ensemble un environnement sécurisé et résilient.Responsabilités de Synology
  • Sécurité physique des centres de données et de l’infrastructure cloud C2.
  • Maintenance et mise à jour du matériel, du système d’exploitation, du firmware et des paquets logiciels.
  • Modules cryptographiques sécurisés pour les données au repos et en transit.
Responsabilités du client
  • Mise en œuvre du contrôle des accès et de politiques de mots de passe robustes.
  • Configuration de la sécurité réseau, des pare-feu et des VPN.
  • Gestion du cycle de vie des données des utilisateurs finaux et des demandes de confidentialité.
Au-delà de la conformité : C2 Encryption KeySynology C2 adopte une architecture sans visibilité (no-view) pour empêcher tout accès non autorisé et garantir le contrôle des données par le client. Les données sont chiffrées en transit (TLS 1.2+) et au repos (AES-256), les clés gérées par le client n'étant pas stockées par Synology. Par conséquent, Synology est dans l'impossibilité d'accéder aux données client ou de les déchiffrer.
Fiabilité et gouvernanceLivre blanc sur l'infrastructure C2Le livre blanc présente la conception sécurisée, la protection des données, la conformité et la résilience de l'infrastructure Synology C2.En savoir plusConditions de service Synology C2Lisez les conditions générales qui régissent l'utilisation de la plateforme Synology C2 et des services C2 individuels.En savoir plusDéclaration de confidentialitéDécouvrez comment nous gérons et traitons les informations personnelles des utilisateurs, y compris les données que nous collectons et la durée de leur conservation.En savoir plusLivres blancs C2Découvrez les bases techniques de Synology C2. Apprenez comment nos solutions empêchent tout accès non autorisé tout en vous assurant de garder le contrôle sur vos données sensibles.
  • C2 OneStorage
  • C2 Identity
  • C2 Object Storage
  • C2 Backup for Business
  • C2 Backup for Surveillance
Vous évaluez C2 pour votre organisation ?Obtenez nos derniers rapports d’audit et certifications pour soutenir vos examens de conformitéDemander des rapports d’audit
Foire aux questionsQuelles exigences de conformité tierces sont respectées par Synology C2 ?

Synology et C2 exploitent des centres de données en colocation en Europe, dans la région APAC et aux États-Unis, certifiés ISO 27001, l’une des normes internationales les plus reconnues pour les systèmes de gestion de la sécurité de l’information. Les centres de données aux États-Unis sont également certifiés SOC 2 Type II, ce qui atteste de la mise en place de contrôles de sécurité stricts et de procédures opérationnelles afin de garantir la protection des données des utilisateurs. En outre, Synology traite les informations de paiement conformément à la norme PCI DSS et utilise un prestataire de services PCI de niveau 1 pour le traitement et le stockage des données de facturation.

Synology C2 propose-t-il des accords de partenariat commercial (BAA) ?

Les BAA sont actuellement disponibles pour C2 Object Storage, C2 OneStorage, C2 Identity, Active Insight, C2 Backup for Business et C2 Backup for Surveillance. Les demandes peuvent être soumises via le lien ci-dessus pour la demande de rapports. Un représentant vous contactera afin de confirmer les détails et de fournir une copie numérique de l’accord à signer.

Qu’est-ce que l’HIPAA ?

La Health Insurance Portability and Accountability Act (HIPAA) a été introduite par le Congrès américain en 1996 afin d'établir des normes réglementaires pour l'utilisation et la divulgation légales des informations de santé protégées électroniques (ePHI). Selon la réglementation HIPAA, les prestataires de soins de santé et les entreprises doivent respecter un ensemble d'exigences visant à garantir la confidentialité et la sécurité de toute ePHI créée, gérée, reçue ou transmise.

Quelles sont les règles HIPAA ?

La législation HIPAA se compose de cinq règles. Chaque règle définit des exigences différentes pour la conformité HIPAA :

  1. Règle de confidentialité : Comment, quand et dans quelles circonstances les ePHI peuvent être utilisées et divulguées
  2. Règle de sécurité : Normes techniques, physiques et administratives pour protéger l'intégrité des ePHI
  3. Règle Omnibus : Intégration des dispositions de HITECH dans HIPAA pour renforcer la protection des ePHI
  4. Règle de notification des violations : Termes et conditions pour la notification des violations de données impliquant des ePHI aux parties concernées et au public
  5. Règle d'application : Enquête et sanctions appliquées suite à une violation de données impliquant des ePHI

Au fil des années, les exigences ont été intégrées et élargies en réponse aux avancées technologiques dans le secteur de la santé et d'autres industries.

Qu'est-ce qu'une architecture sans visibilité (no-view) ?

Une architecture sans visibilité (no-view) signifie qu'un fournisseur de services cloud (CSP) conserve de manière sécurisée des données chiffrées, telles que l'ePHI, pour le compte d'un client sans jamais avoir accès à la clé de déchiffrement. Dans ce cadre, les processus d'arrière-plan (backend) gèrent les transitions d'état indépendamment de la visualisation des données ou du déchiffrement du contenu, en s'appuyant strictement sur des canaux sécurisés pour traiter les données sans les ‚voir.

France - Français