Sécurité du site Web

Sécurité organisationnelle

  • Programme de sécurité de l’information
    • Nous avons mis en place un programme de sécurité de l’information qui est communiqué à l’ensemble de l’organisation. Notre programme de sécurité de l’information suit les critères énoncés dans le cadre SOC 2. SOC 2 est une procédure d’audit de sécurité de l’information bien connue créée par l’American Institute of Certified Public Accountants.
  • Vérifications par des tiers
    • Notre organisation fait l’objet d’évaluations indépendantes pour tester nos contrôles de sécurité et de conformité.
  • Tests d’intrusion par des tiers
    • Nous effectuons une pénétration indépendante par des tiers au moins une fois par année pour nous assurer que la posture de sécurité de nos services n’est pas compromise.
  • Rôles et responsabilités
    • Les rôles et les responsabilités liés à notre programme de sécurité de l’information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus de revoir et d’accepter toutes les politiques de sécurité.
  • Formation de sensibilisation à la sécurité
    • Les membres de notre équipe doivent suivre une formation de sensibilisation à la sécurité des employés couvrant les pratiques standard de l’industrie et des sujets de sécurité de l’information tels que l’hameçonnage et la gestion des mots de passe.

Sécurité infonuagique

  • Sécurité de l’infrastructure infonuagique
  • Tous nos services sont hébergés avec bubbleio. Ils utilisent un solide programme de sécurité avec de multiples certifications. Pour plus d’informations sur les processus de sécurité de notre fournisseur, veuillez visiter https://bubble.io/security.
  • Sécurité de l’hébergement de données
    • Toutes nos données sont hébergées dans des bases de données bubbleio. Ces bases de données sont toutes situées aux États-Unis. Veuillez consulter la documentation spécifique au fournisseur ci-dessus pour plus d’informations.
  • Chiffrement au repos
    • Toutes les bases de données sont chiffrées au repos.
  • Chiffrement en transit
    • Nos applications se chiffrent en transit avec TLS/SSL uniquement.
  • Analyse des vulnérabilités
    • Nous effectuons une analyse des vulnérabilités et surveillons activement les menaces.
  • Enregistrement et surveillance
    • Nous surveillons et enregistrons activement divers services infonuagiques.
  • Continuité des activités et reprise après sinistre
    • Nous utilisons les services de sauvegarde de notre fournisseur d’hébergement de données pour réduire tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l’équipe en cas de défaillance affectant les utilisateurs.
  • Intervention en cas d’incident
    • Nous avons un processus de gestion des événements de sécurité de l’information qui comprend des procédures d’escalade, d’atténuation rapide et de communication.

Sécurité de l’accès

  • Autorisations et authentification
    • L’accès à l’infrastructure infonuagique et à d’autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.
    • Lorsque cela est disponible, nous avons des politiques d’authentification unique (SSO), d’authentification à 2 facteurs (2FA) et de mots de passe forts pour assurer la protection de l’accès aux services infonuagiques.
  • Contrôle d’accès au moindre privilège
    • Nous suivons le principe du moindre privilège en ce qui concerne la gestion de l’identité et de l’accès.
  • Examens trimestriels de l’accès
    • Nous effectuons des examens trimestriels de l’accès de tous les membres de l’équipe ayant accès à des systèmes sensibles.
  • Exigences relatives aux mots de passe
    • Tous les membres de l’équipe sont tenus de respecter un ensemble minimal d’exigences en matière de mots de passe et de complexité pour l’accès.
  • Gestionnaires de mots de passe
    • Tous les ordinateurs portables fournis par l’entreprise utilisent un gestionnaire de mots de passe pour que les membres de l’équipe gèrent les mots de passe et maintiennent la complexité des mots de passe.

Gestion des fournisseurs et des risques

  • Évaluations annuelles des risques
    • Nous effectuons au moins une évaluation annuelle des risques afin de cerner toute menace potentielle, y compris les considérations relatives à la fraude.
  •  Gestion des risques des fournisseurs
    • Le risque lié au fournisseur est déterminé et les examens appropriés sont effectués avant d’autoriser un nouveau fournisseur.

Contactez-nous

Si vous avez des questions, des commentaires ou des préoccupations ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez communiquer avec security@accomsure.com.