Sécurité du site Web

Sécurité organisationnelle

  • Programme de sécurité de l’information
    • Nous avons mis en place un programme de sécurité de l’information qui est communiqué à l’ensemble de l’organisation. Notre programme de sécurité de l’information suit les critères énoncés dans le cadre SOC 2. SOC 2 est une procédure d’audit de sécurité de l’information largement reconnue créée par l’American Institute of Certified Public Accountants.
  • Audits tiers
    • Notre organisation fait l’objet d’évaluations indépendantes pour tester nos contrôles de sécurité et de conformité.
  • Tests de pénétration par des tiers
    • Nous effectuons une pénétration indépendante par des tiers au moins une fois par année pour nous assurer que la posture de sécurité de nos services n’est pas compromise.
  • Rôles et responsabilités
    • Les rôles et les responsabilités liés à notre programme de sécurité de l’information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus de revoir et d’accepter toutes les politiques de sécurité.
  • Formation à la sensibilisation à la sécurité
    • Nos membres d’équipe doivent suivre une formation sur la sensibilisation à la sécurité, couvrant les pratiques standard de l’industrie et des sujets de sécurité de l’information tels que le phishing et la gestion des mots de passe.

Sécurité du Cloud

  • Sécurité de l’infrastructure Cloud
    • Tous nos services sont hébergés avec HubSpot et Google Cloud. Ils utilisent un programme de sécurité robuste avec plusieurs certifications. Pour plus d’informations sur les processus de sécurité de notre fournisseur, veuillez consulter leurs pages de sécurité.
  • Sécurité de l’hébergement des données
    • Toutes nos données sont hébergées sur les bases de données de HubSpot, situées aux États-Unis. Veuillez vous référer à la documentation spécifique du fournisseur mentionnée ci-dessus pour plus d’informations.
  • Chiffrement au repos
    • Toutes les bases de données sont chiffrées au repos.
  • Chiffrement en transit
    • Nos applications utilisent uniquement le chiffrement TLS/SSL pour les données en transit.
  • Analyse des vulnérabilités
    • Nous effectuons des analyses de vulnérabilités et surveillons activement les menaces.
  • Journalisation et surveillance
    • Nous surveillons et enregistrons activement différents services cloud.
  • Continuité des activités et reprise après sinistre
    • Nous utilisons les services de sauvegarde de notre fournisseur d’hébergement pour réduire tout risque de perte de données en cas de défaillance matérielle. Nous utilisons également des services de surveillance pour alerter l’équipe en cas de problème affectant les utilisateurs.
  • Gestion des incidents
    • Nous disposons d’un processus pour gérer les événements de sécurité de l’information, incluant les procédures d’escalade, l’atténuation rapide et la communication.

Sécurité d’accès

  • Permissions et authentification
    • L’accès à l’infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leurs fonctions.
    • Lorsque disponible, nous utilisons l’authentification unique (AU), l’authentification à deux facteurs (A2F) et des politiques de mots de passe robustes afin de garantir la protection de l’accès aux services cloud.
  • Contrôle d’accès basé sur le principe du moindre privilège
    • Nous appliquons le principe du moindre privilège pour la gestion des identités et des accès.
  • Revue trimestrielle des accès
    • Nous effectuons des examens trimestriels de tous les membres de l’équipe ayant accès aux systèmes sensibles.
  • Exigences relatives aux mots de passe
    • Tous les membres de l’équipe doivent respecter un ensemble minimum d’exigences et de complexité pour les mots de passe afin d’accéder aux systèmes.
  • Gestionnaires de mots de passe
    • Tous les ordinateurs portables fournis par l’entreprise utilisent un gestionnaire de mots de passe permettant aux membres de l’équipe de gérer leurs mots de passe tout en maintenant leur complexité.

Gestion des fournisseurs et des risques

  • Évaluations annuelles des risques
    • Nous effectuons au moins une évaluation annuelle des risques afin de cerner toute menace potentielle, y compris les considérations relatives à la fraude.
  •  Gestion des risques des fournisseurs
    • Le risque lié au fournisseur est déterminé et les examens appropriés sont effectués avant d’autoriser un nouveau fournisseur.

Contactez-nous

Si vous avez des questions, des commentaires ou des préoccupations, ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter: security@accomsure.com.