1. Sécurité organisationnelle
a. Programme de sécurité de l'information
Nous avons mis en place un programme de sécurité de l'information complet, entièrement intégré dans notre organisation. Cette stratégie est basée sur le framework SOC 2, un système d'audit de sécurité de l'information établi par l'American Institute of Certified Public Accountants.
b. Audits par des tiers
Notre organisation se soumet volontairement à des évaluations impartiales et tierces conçues pour évaluer rigoureusement nos mesures de sécurité et nos contrôles de conformité.
c. Tests d'intrusion par un tiers
Au minimum, nous réalisons des tests de pénétration indépendants par des tiers chaque année pour garantir que l'intégrité de sécurité de nos services est maintenue.
d. Définition des rôles et attribution des responsabilités
Les rôles et responsabilités concernant notre Programme de Sécurité de l'Information et la protection des données de nos clients sont méticuleusement définis et documentés. Il est obligatoire pour nos membres d'équipe de lire attentivement et de se conformer à toutes les politiques de sécurité établies.
e. Amélioration de la formation à la sensibilisation à la sécurité
Tous les membres de l'équipe sont tenus de participer à la formation de sensibilisation à la sécurité des employés. Ce programme obligatoire intègre l'étude des techniques standard de l'industrie et des sujets critiques de sécurité de l'information tels que le phishing et la gestion appropriée des mots de passe.
f. Confidentialité
Chaque membre de l'équipe doit signer et respecter un accord de confidentialité conforme aux normes de l'industrie avant de commencer leur premier jour de travail.
g. Vérifications des antécédents
Nous effectuons des vérifications approfondies des antécédents de tous les membres potentiels de l'équipe en stricte conformité avec la législation locale.
2. Sécurité Cloud
a. Sécurité de l'infrastructure cloud
Nos services sont hébergés via Amazon Web Services (AWS), qui utilise un programme de sécurité robuste avec de nombreuses certifications. Pour plus d'informations sur les processus de sécurité de notre fournisseur, veuillez visiter AWS Security.
b. Sécurisation des services d'hébergement de données
Toutes nos données sont stockées sur les bases de données d'Amazon Web Services (AWS). Chacune de ces bases de données est située aux États-Unis. Veuillez vous référer à la documentation spécifique du fournisseur fournie avant cette note pour des informations supplémentaires.
c. Chiffrement au repos
Toutes les bases de données sont sécurisées et chiffrées au repos.
d. Chiffrement en transit
Nos applications chiffrent en transit avec TLS/SSL uniquement.
e. Analyse de vulnérabilités
Nous effectuons des analyses de vulnérabilités et surveillons activement les menaces.
f. Journalisation et surveillance
Nous surveillons et enregistrons activement divers services cloud.
g. Continuité des activités et reprise après sinistre
Nous utilisons les services de sauvegarde de notre fournisseur d'hébergement de données pour réduire tout risque de perte de données en cas de défaillance matérielle. Nous utilisons des services de surveillance pour alerter l'équipe si des défaillances affectent les utilisateurs.
h. Réponse aux incidents
Nous avons un processus pour gérer les événements de sécurité de l'information, qui inclut des procédures d'escalade, une atténuation rapide et la communication.
3. Gestion de la sécurité des accès
a. Autorisations et authentification
L'accès à l'infrastructure cloud et à d'autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leurs rôles. Là où c'est disponible, nous avons la connexion unique (SSO), l'authentification à deux facteurs (2FA) et des politiques de mots de passe robustes pour protéger l'accès aux services cloud.
b. Contrôle d'accès au moindre privilège
Nous suivons le principe du moindre privilège pour la gestion des identités et des accès.
c. Revues d'accès trimestrielles
Nous effectuons des revues trimestrielles d'accès pour tous les membres de l'équipe ayant accès à des systèmes sensibles.
d. Exigences de mot de passe
Tous les membres de l'équipe doivent respecter un ensemble minimum d'exigences et de complexité pour les mots de passe afin d'accéder.
e. Gestionnaires de mots de passe
Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour permettre aux membres de l'équipe de gérer les mots de passe et de maintenir la complexité des mots de passe.
4. Fournisseurs et gestion des risques
a. Évaluations annuelles des risques
Nous réalisons au moins des évaluations annuelles des risques pour identifier les menaces potentielles, y compris les considérations de fraude.
b. Gestion des risques fournisseurs
Le risque fournisseur est déterminé, et les examens appropriés des fournisseurs sont effectués avant d'autoriser un nouveau fournisseur.
5. Contactez-nous
Si vous avez des questions, des commentaires ou des préoccupations, ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter help@eventtia.com.
