PowerArchiver utilise le Microsoft CryptoAPI Enhanced Cryptographic Provider — certifié NIST CMVP, validé sous FIPS 140-2. C'est le même module cryptographique que celui livré avec Windows Server et utilisé dans les agences fédérales.
Programme NIST CMVP →DFARS 252.204-7012 impose une cryptographie validée FIPS pour les Controlled Unclassified Information (CUI). PowerArchiver héritant de la validation de Microsoft CryptoAPI, les déploiements satisfont l'exigence technique DFARS sans coût ni effort de certification distinct.
Pour les sous-traitants fédéraux →PowerArchiver publie un Voluntary Product Accessibility Template (VPAT) public documentant la conformité Section 508. Requis pour les établissements financés par l'État fédéral et de plus en plus exigé par les marchés publics au niveau des États.
Télécharger le VPAT (PDF) →| Validation | Autorité | Périmètre | Référence |
|---|---|---|---|
| FIPS 140-2 | NIST CMVP | Module cryptographique (AES, SHA-2, RSA, HMAC) · justificatifs de validation au niveau Enterprise | Liste de certificats CMVP |
| DFARS 252.204-7012 | DoD | Protection des CUI — hérite de la validation FIPS 140-2 · niveau Enterprise | Auto-attestation prise en charge |
| Section 508 | Accessibilité fédérale (29 U.S.C. § 794d) | Accessibilité de l'interface pour les usages financés au fédéral | VPAT PDF |
| Aligné GDPR | GDPR UE Art. 32 (mesures techniques) | Chiffrement au repos & en transit · aucun traitement de PII dans le produit | Déclaration d'architecture sur demande |
| Compatible FERPA | U.S. Dept. of Education | Méthodes raisonnables pour la protection des dossiers étudiants | Déclaration d'architecture sur demande |
| Compatible HIPAA | U.S. HHS | AES validé FIPS = garde-fou reconnu pour les PHI au repos · validation au niveau Enterprise | Déclaration d'architecture sur demande |
| Effacement DoD (DoD 5220.22-M) | Déclassification DoD | Effacement sécurisé intégré des fichiers sources après archivage | Documenté dans le guide administrateur |
| Format | Chiffrement | Robustesse de clé | Chiffrement des noms de fichiers | Notes |
|---|---|---|---|---|
| PAE2 | AES-256 (CBC + HMAC) | 256 bits | Oui (par défaut) | Recommandé — propriétaire PA, validé FIPS, encrypt-then-MAC |
| 7Z | AES-256 | 256 bits | Oui (en option) | Compatible entre outils · 7-Zip, p7zip, autres |
| ZIP (AES) | AES-256 (WinZip AE-2) | 256 bits | Non (limitation ZIP) | Compatible entre outils · WinZip, 7-Zip, autres outils ZIP-AES |
| ZIP (hérité) | ZipCrypto | 96 bits, faible | Non | Prise en charge en lecture seule · à éviter pour les nouvelles archives |
| OpenPGP | AES-256 + RSA-4096 / ECC | 256 bits symétrique, 4096 bits RSA | N/A (fichier PGP) | OpenPGP standard (RFC 4880) · interopérable |
Envoyez un e-mail à security@conexware.com avec les détails techniques, les étapes de reproduction et l'évaluation d'impact. E-mail chiffré PGP accepté — clé publique sur demande.
Accusé de réception initial sous 2 jours ouvrés. Triage et évaluation de la gravité sous 5 jours ouvrés. Le calendrier du correctif dépend de la gravité — les problèmes critiques sont priorisés pour une release d'urgence.
Nous coordonnons la divulgation publique avec la personne ayant fait le signalement. Fenêtre par défaut : 90 jours entre l'accusé de réception et l'avis public, extensible pour les cas complexes. Les personnes signalant reçoivent crédit dans l'avis sauf si elles demandent l'anonymat.
Les problèmes marketing / propriétés web (powerarchiver.com), les attaques d'ingénierie sociale contre le personnel ConeXware, et les attaques physiques. Nous n'opérons pas de programme de bug bounty rémunéré, mais nous créditons publiquement les divulgations responsables.
Les avis de sécurité — lorsqu'ils sont émis — sont publiés dans PowerArchiver News avec l'étiquette security-advisory. Abonnez-vous au flux des avis de sécurité pour recevoir les notifications.
Envoyez un e-mail à compliance@conexware.com avec votre établissement / entreprise et votre cas d'achat. Réponse le jour ouvré même sur les demandes standard.
Le module cryptographique est validé FIPS 140-2. PowerArchiver délègue toutes les opérations cryptographiques (AES, SHA, RSA, HMAC) au Microsoft CryptoAPI Enhanced Cryptographic Provider, qui détient la certification NIST CMVP. PowerArchiver en tant qu'application n'implémente pas sa propre crypto, il n'y a donc pas de validation distincte nécessaire pour l'application — la validation qui compte (les primitives cryptographiques) appartient à Microsoft et est héritée par tout programme utilisant CryptoAPI en mode FIPS. C'est le même modèle qu'utilisent Windows Server, BitLocker et la plupart des logiciels Windows en entreprise qui manipulent des données réglementées.
SOC 2 audite les contrôles opérationnels d'une organisation de service — ils s'appliquent aux SaaS / services hébergés. PowerArchiver est un logiciel desktop qui s'exécute sur votre matériel ; nous n'opérons pas un service qui traite vos données. Le référentiel SOC 2 ne s'applique pas naturellement à un produit comme PowerArchiver. ConeXware (la société) maintient des contrôles opérationnels au niveau corporate ; si vos achats exigent spécifiquement une attestation SOC 2 comme contrôle de risque fournisseur, contactez compliance@conexware.com avec les objectifs de contrôle spécifiques — nous pouvons généralement mettre en correspondance notre chaîne de validation FIPS / DFARS existante avec vos exigences.
Oui. Lorsque Windows est configuré avec l'indicateur de politique locale FIPS (HKLMSystemCurrentControlSetControlLsaFipsAlgorithmPolicy), le fournisseur CryptoAPI fonctionne en mode FIPS uniquement et rejette les algorithmes non FIPS. PowerArchiver hérite de ce mode et se limite aux algorithmes approuvés FIPS (AES-256, SHA-2, RSA, HMAC). Aucune configuration PowerArchiver nécessaire au-delà de l'indicateur au niveau du système d'exploitation.
L'ancien chiffrement ZIP (ZipCrypto, aussi appelé chiffrement PKZIP) est cassé par plusieurs attaques connues et ne devrait pas être utilisé pour de nouvelles archives. PowerArchiver le prend en charge en lecture pour compatibilité avec les anciennes archives, mais l'interface de création d'archive utilise AES-256 par défaut. Les administrateurs peuvent verrouiller le choix de chiffrement via les propriétés MSI — voir le guide de déploiement pour la clé de registre / GPO qui masque entièrement l'option ZipCrypto héritée aux utilisateurs finaux.
Non. PowerArchiver est un logiciel desktop — les fichiers restent sur votre machine. Pas de télémétrie, pas d'analytics, pas de téléversement cloud du contenu des fichiers. L'activation de licence contacte ConeXware une fois à l'activation et lors des vérifications de mise à jour optionnelles ; c'est la seule connexion sortante dans la configuration par défaut. Le produit ne lit jamais le contenu de vos archives ni ne le transmet où que ce soit. C'est une des raisons pour lesquelles les workflows RGPD / FERPA / HIPAA passent autour de PowerArchiver sans difficulté — le produit n'est pas un sous-traitant de données au sens réglementaire.
Non. PowerArchiver utilise des primitives cryptographiques standard (AES, RSA, OpenPGP) implémentées par Microsoft CryptoAPI. Pas de clé maître, pas de porte dérobée, pas de séquestre de récupération — si vous perdez votre mot de passe ou votre clé privée, les données sont irrécupérables. Nous ne pouvons pas les récupérer pour vous, même avec une décision de justice. C'est le compromis d'une cryptographie validée utilisée correctement ; c'est aussi pourquoi ces algorithmes ont la confiance de la recherche financée au fédéral et des workflows de niveau DoD.
Divulgation coordonnée sur une fenêtre par défaut de 90 jours, extensible pour les problèmes complexes. Les signalements vont à security@conexware.com. Accusé de réception initial sous 2 jours ouvrés, triage sous 5. Avis public publié après la sortie du correctif. Les rapporteurs sont crédités sauf demande d'anonymat. Nous n'avons pas de programme de bug bounty payant, mais chaque divulgation responsable reçoit un crédit public. Politique complète ci-dessus.
