Version: 3.0
Last Updated: January 2023

Énoncé de confidentialité de Caseware

Version : 3.0
Dernière mise à jour : Janvier 2023

1. Engagement de Caseware envers la confidentialité

Caseware International Inc., avec ses sociétés liées et ses filiales (collectivement, « Caseware », « nous », « nos » ou « notre »), a rédigé le présent énoncé de confidentialité (le présent « énoncé ») pour décrire les politiques et les pratiques de Caseware concernant les données personnelles qu’elle reçoit (i) de ses clients actuels et potentiels, (ii) de visiteurs de ses plates-formes nuagiques, de www.caseware.com, de caseware.com/uk et des pages Web Caseware connexes (collectivement, le « site Web »), (iii) de candidats aux emplois ou (iv) d’autres personnes physiques (collectivement, « vous » ou « votre/vos »). Aux fins du présent énoncé, « données personnelles » désigne les renseignements relatifs à une personne physique identifiée ou identifiable, ainsi que les « renseignements personnels » tels qu’ils sont définis dans la California Privacy Rights Act (la « CPRA »).

Nous réviserons régulièrement le présent énoncé afin de nous assurer qu’il (i) cadre avec nos pratiques en matière de confidentialité et (ii) demeure conforme au droit applicable. En cas de mise à jour ou de modification importante du présent énoncé, nous publierons un avis sur le site Web.

Pour toute question concernant le présent énoncé ou les pratiques de Caseware en matière de confidentialité, communiquez avec nous aux adresses suivantes :

Bureau mondial de la confidentialité

Caseware International Inc.

351 King Street East, Suite 1100

Toronto ON M5A 2W4 Canada

Data Protection Officer/Chief Privacy Officer

[Délégué à la protection des données / Responsable à la protection des renseignements personnels]

Angela D. LeBreton

Courriel : privacy@caseware.com

2. Données personnelles que nous collectons et objectif de la collecte

S’il y a lieu, nous collectons auprès de vous des données personnelles lorsque vous (i) utilisez nos produits, services ou nous demandez du soutien technique, (ii) vous inscrivez ou participez à un événement que Caseware organise ou auquel il participe, (iii) accédez ou téléchargez le contenu de notre site Web (comme les livres blancs), (iv) utilisez notre site Web pour présenter votre candidature à un emploi au sein de Caseware, et (v) communiquez autrement avec nous par courriel, en personne ou sur notre site Web.

Les types de données personnelles collectées peuvent comprendre ce qui suit :

  • le nom, le prénom – l’objectif est de vous identifier;
  • les coordonnées comme le numéro de téléphone, l’adresse ou l’adresse courriel – l’objectif est de communiquer avec vous;
  • la formation et les antécédents professionnels, les certifications professionnelles, des références pour le contrôle des antécédents et d’autres renseignements pertinents – l’objectif est de soutenir votre demande d’emploi en vue d’une embauche au sein de Caseware;
  • les données d’utilisation des technologies de l’information (TI) (p. ex., les témoins, le nom d’utilisateur, les mots de passe, les rôles, les données de géolocalisation) selon le cas – l’objectif est de vous donner accès à nos produits et services, y compris l’accès à notre site Web, à MyCaseware et à d’autres portails de soutien technique mis à disposition par Caseware.

Nos produits et services sont destinés à un usage professionnel, et nous ne nous attendons pas à ce qu’ils présentent un intérêt pour les mineurs. Nous ne recueillons pas intentionnellement de renseignements personnels de consommateurs de moins de 16 ans. En nous remettant vos données personnelles, vous indiquez que vous acceptez et consentez que nous puissions collecter, utiliser, divulguer et traiter vos données personnelles conformément au présent énoncé. Si vous n’acceptez pas les conditions présentées dans le présent énoncé, nous vous demandons de ne pas nous donner de données personnelles. Veuillez noter que certains services, comme une demande d’information au sujet de nos produits ou de l’accès à notre site Web, peuvent vous être fournis seulement si vous nous remettez des données personnelles. De plus, Caseware peut utiliser des renseignements anonymisés sur l’usage des produits et services Caseware aux fins de faire des ajouts, des corrections ou des modifications à nos produits et services.

3. Témoins

Lorsque vous visitez notre site Web, nous pouvons utiliser des « témoins », des pixels-espions, des balises, du code JavaScript et des technologies semblables pour collecter automatiquement des données personnelles sur vos appareils informatiques ou mobiles pendant que vous parcourez notre site Web. Ces données personnelles peuvent comprendre l’adresse IP, les numéros d’identification des appareils et des applications, la géolocalisation, le type de navigateur, le fournisseur de services Internet ou l’opérateur de téléphonie mobile, les pages et les fichiers consultés, les recherches, les renseignements relatifs au système d’exploitation et à la configuration système et les horodateurs associés à votre utilisation.

Les témoins sont de petits fichiers qui peuvent être enregistrés sur votre ordinateur afin de suivre, d’enregistrer et de conserver des renseignements sur vous lorsque vous utilisez notre site Web. Nous utilisons parfois des témoins tiers (comme Google Analytics et HubSpot). Nous utilisons ces renseignements pour (i) soutenir le fonctionnement de notre site Web, (ii) comprendre l’utilisation faite du site Web, (iii) déterminer les préférences de navigation afin d’améliorer le comportement du site, (iv) améliorer votre expérience du site Web en vous offrant une expérience sur mesure sur le site Web, comme des publicités marketing sur mesure, (v) assurer une ouverture de session sécurisée, ou (vi) pour vous montrer du contenu pertinent sur le plan géographique.

Voici les types de témoins utilisés sur les sites Web :

  1. Témoins strictement nécessaires : Ces témoins sont essentiels pour soutenir la fonctionnalité et le fonctionnement du site Web. Les témoins strictement nécessaires sur notre site comprennent les témoins qui vous permettent d’accéder à la zone sécurisée de notre site Web. Si les utilisateurs bloquent ou désactivent ces témoins, il se peut que des parties du site Web ne fonctionnent pas ou deviennent inaccessibles.
  2. Témoins de performance : Ces témoins recueillent des données statistiques pour mesurer la performance du site Web et offrir une meilleure expérience aux utilisateurs. Le suivi des pages les plus visitées et la surveillance de la vitesse de chargement des pages sont des exemples de témoins de performance. Les témoins de performance recueillent des données de manière anonyme, ce qui signifie qu’ils ne collectent pas de renseignements permettant d’identifier une personne sur les visiteurs. Bien que les témoins de performance soient généralement des témoins de première partie persistants, nous utilisons parfois des témoins pour nous permettre de surveiller l’utilisation du site Web et son trafic, pour mener une étude de marché et pour améliorer la fonctionnalité du site.
  3. Témoins fonctionnels : Ces témoins permettent au site Web de se souvenir de vos préférences et d’offrir aux utilisateurs des fonctionnalités améliorées et personnalisées. La mémorisation de vos paramètres comme les préférences régionales et linguistiques ou la possibilité de regarder des vidéos sur le site Web sont des exemples de témoins fonctionnels. Les témoins fonctionnels comprennent les témoins de première partie et de tiers, persistants ou de session.
  4. Témoins de publicité et de ciblage : Ces témoins (y compris les balises de suivi) suivent l’activité de l’utilisateur sur le site Web et sont conçus pour recueillir les renseignements auprès de vous afin de vous offrir des publicités ciblées en fonction des sujets et des centres d’intérêt pertinents sur d’autres sites Web. Les témoins des médias sociaux qui affichent des publicités aux utilisateurs sur les plates-formes de médias sociaux sont des exemples de témoins de publicité et de ciblage. Les témoins de publicité et de ciblage sont généralement des témoins tiers persistants autorisés. Ces témoins ne recueillent pas de renseignements personnels, mais des données fondées sur l’identification unique de votre navigateur et de votre dispositif Internet pour créer des profils d’utilisateurs à partir des visiteurs du site.

Lorsque vous accédez au site Web, une bannière contextuelle de témoins apparaît. Vous pouvez choisir de désactiver notre utilisation de témoins lorsque vous visitez le site Web en modifiant les paramètres des témoins dans votre navigateur.

De plus, les pixels-espions peuvent être utilisés dans des communications par courriel qui vous sont adressées. Les pixels-espions enregistrent les visites sur une page Web donnée ou la consultation d’un courriel particulier. Par exemple, Caseware peut placer des pixels invisibles dans les courriels de marketing qui l’informent lorsqu’un lien dans un courriel dirige le visiteur vers le site Web. Ces technologies sont utilisées pour faire fonctionner et améliorer notre site Web et nos communications par courriel.

4. Partage des données personnelles par Caseware

Nous ne vendons pas les renseignements personnels des consommateurs. Nous partageons les données personnelles avec nos fournisseurs de service aux fins prévues dans le présent énoncé, notamment pour nous aider à vous offrir des produits et services Caseware ou en vue de votre embauche au sein de Caseware. Par exemple, Caseware recourt (i) à « Amazon Web Services » pour conserver en sécurité les données personnelles appartenant à ses clients et (ii) à « Lever » pour l’aider à coordonner votre demande d’emploi chez nous. Nos fournisseurs de service sont obligés, par des clauses contractuelles, d’utiliser les données personnelles que nous leur transférons exclusivement aux fins de la prestation de leurs services et pour les protéger avec le même degré élevé que nous le faisons.

De manière exceptionnelle, nous pouvons être obligés de divulguer des données personnelles pour nous conformer aux lois, aux règlements applicables, aux ordonnances de tribunaux, aux assignations à témoigner ou à divers processus juridiques ou à une enquête, avec ou sans votre consentement. En tout cas, nous nous assurons que la divulgation est autorisée ou imposée par la loi et nous ne divulguons pas plus de renseignements que ceux qui sont requis.

5. Lieu de conservation des données personnelles

Caseware est une entreprise canadienne, mais nous avons des clients (actuels et potentiels), des employés, des fournisseurs de service, des revendeurs ou des distributeurs, des partenaires et des candidats dans le monde entier. Afin d’exploiter nos activités à l’échelle mondiale, nous pouvons être obligés de traiter et de transférer des données personnelles à l’extérieur de votre État, province ou pays, y compris les États-Unis. De plus, par l’intermédiaire de nos fournisseurs de service, les données personnelles peuvent également être conservées sur des serveurs situés dans le monde entier.

Concernant les données des clients dans nos produits et services, qui peuvent comprendre des données personnelles, au moment de l’abonnement à ces produits et services, les clients sont informés sur le serveur géographique qui héberge les données personnelles et ont la possibilité d’y consentir avant que les données personnelles du client soient stockées auprès d’un tel fournisseur d’hébergement de données.

Lorsque des données personnelles sont transférées ou stockées au-delà des frontières, nous prenons des mesures pour les protéger et les garder, comme nous assurer qu’elles sont transférées conformément aux lois applicables. Par exemple, si vous êtes en Europe, au Royaume-Uni ou en Suisse, l’accord de traitement des données de Caseware s’applique à vous. De plus, lorsque nous envoyons vos données personnelles au Canada, elles sont protégées en vertu de la loi canadienne, dont la Commission européenne a estimé qu’elle offrait un degré adéquat de protection du transfert des données personnelles. Si vos données personnelles sont ensuite transférées à nos fournisseurs de service à l’extérieur du Canada, ces renseignements sont transférés et protégés par des modalités contractuelles comparables à celles offertes par les clauses contractuelles types de la Commission européenne.

6. Protection des données personnelles par Caseware

Caseware protège la sécurité et la confidentialité des données personnelles qui lui sont transférées au moyen de mesures de sécurité standard de l’industrie et raisonnables contre l’accès, la modification et la divulgation non autorisée selon son degré de sensibilité. Par exemple, nous conservons généralement les données personnelles sur des serveurs sécurisés qui sont chiffrés et dont l’accès est limité sur le principe du besoin d’en connaître, s’il y a lieu. Malheureusement, le risque de cyberattaques et d’atteinte à la protection des données reste toujours présent. Si Caseware découvre un incident entraînant la perte, le vol, la divulgation, la copie, la modification ou l’élimination de données personnelles ou l’accès à celles-ci par des personnes non autorisées ou de manière non autorisée, ou en est informée, nous vous en informons dès que nous le pouvons et nous nous conformons à toutes les exigences légales applicables.

Pour augmenter le niveau de sécurité des données personnelles sur nos systèmes, vous êtes encouragé à ne pas communiquer votre mot de passe ou d’autres formes d’authentification sur le site Web, dans les produits ou services à une autre personne. Si vous prenez connaissance d’une utilisation malveillante de vos renseignements d’ouverture de session, modifiez immédiatement votre mot de passe et avisez-nous-en au moyen du portail client sur le site Web ou par courriel à l’adresse privacy@caseware.com.

7. Durée de conservation de vos données personnelles

Caseware conserve les données personnelles tant que c’est nécessaire pour atteindre les objectifs pour lesquels elles sont fournies. Par exemple, si vous nous fournissez vos données personnelles en vue de votre embauche au sein de Caseware et si vous êtes embauché, les données personnelles font partie de votre dossier personnel. Si vous n’êtes pas embauché, nous conservons les données personnelles pendant un (1) an après la fin du processus de recrutement, à moins que vous nous demandiez de les supprimer avant.

De manière exceptionnelle, nous pouvons être obligés de conserver des données personnelles plus longtemps pour nous conformer à nos obligations juridiques, résoudre des différends et appliquer des ententes avec Caseware.

8. Vos droits individuels de protection des renseignements personnels

Vous pouvez accéder à vos données personnelles ou les mettre à jour auprès de Caseware (notamment en nous demandant de les retourner, de les supprimer ou de les corriger) ou d’exercer d’autres droits dont vous disposez à titre de « personne concernée » en vertu des lois applicables sur la protection de la vie privée en communiquant avec nous à l’adresse privacy@caseware.com.

Pour protéger vos données personnelles, nous pouvons avoir besoin de vérifier votre identité avant de vous aider dans votre requête, comme la vérification que les renseignements utilisés pour communiquer avec nous correspondent à ceux que nous avons dans nos dossiers, à condition qu’une loi ne nous l’interdise pas, par exemple si nous divulguions les données personnelles d’une autre personne physique dans ce cadre.

Si vous recourez à un mandataire autorisé pour exercer un droit en votre nom, par exemple, si un candidat recourt à un mandataire pour demander un accès aux renseignements liés à sa candidature, vous devez donner au mandataire une autorisation écrite à cet effet. Nous pouvons refuser la demande si le mandataire autorisé ne présente pas une preuve suffisante que vous l’avez autorisé à agir en votre nom.

Si nous pouvons vérifier votre identité, nous donnons une réponse à votre demande dans les 30 jours. Si nous avons besoin d’un délai supplémentaire pour répondre à votre demande, nous vous en informons.

Si vous n’êtes pas satisfait de notre réponse à votre demande d’exercice de vos droits individuels ou à votre plainte au sujet de la protection des données personnelles à Caseware, vous avez le droit de déposer une plainte auprès de l’autorité de protection des données ou de la vie privée de votre lieu de résidence.

Droits à la protection des renseignements personnels en Californie

En qualité de résident de Californie, vous pouvez exercer les droits ci-dessous liés aux renseignements personnels sur vous que nous avons collectés (sous réserve de certaines limitations en droit) :

  • Le droit de connaître les renseignements ci-dessous relatifs à vos renseignements personnels que nous avons collectés et divulgués au cours des 12 derniers mois (après vérification de votre identité) :
    • Les pièces particulières de renseignements personnels que nous avons collectés sur vous;
    • Les catégories de renseignements personnels que nous avons collectés sur vous;
    • Les catégories de sources de renseignements personnels;
    • Les catégories de renseignements personnels que nous avons divulgués à des tiers à des fins commerciales, et les catégories de destinataires auxquels ces renseignements ont été divulgués;
    • Les catégories de renseignements personnels que nous avons vendus, et les catégories de tiers auxquels nous les avons vendus;
    • Les raisons commerciales pour lesquelles nous collectons ou vendons des renseignements personnels.
  • Le droit de demander la suppression des renseignements personnels que nous avons collectés auprès de vous, sous réserve de certaines exceptions.
  • Le droit de refuser la vente de renseignements personnels à des tiers maintenant ou à l’avenir. Mais nous ne vendons pas vos renseignements personnels.
  • Vous avez également le droit de ne pas subir de discrimination pour avoir exercé ces droits.

Veuillez noter que si l’exercice de ces droits limite notre capacité à traiter des renseignements personnels (comme une demande de suppression), il se peut que nous ne puissions plus vous fournir nos produits et services ou communiquer avec vous de la même manière.

9. Exercice de vos droits

Pour exercer votre droit de connaître et votre droit à la suppression, envoyez une demande en communiquant avec nous à l’adresse privacy@caseware.com.

Nous devrons vérifier votre identité avant de traiter votre demande. Afin de vérifier votre identité, nous vous demandons généralement suffisamment de renseignements afin de les comparer à ceux que nous tenons à jour sur vous dans nos systèmes. Nous pouvons parfois vous demander d’autres renseignements personnels pour pouvoir vous identifier.

Nous pouvons rejeter une demande d’exercice du droit de connaître ou du droit à la suppression, en particulier si nous ne pouvons pas vérifier votre identité ou trouver vos renseignements dans nos systèmes, ou si la loi nous le permet.

Vous pouvez choisir de désigner un mandataire autorisé pour faire une demande en votre nom en vertu de la California Consumer Privacy Act (CCPA). Aucun renseignement n’est communiqué tant que le pouvoir du mandataire autorisé n’a pas été examiné et vérifié. Une fois qu’un mandataire autorisé a présenté une demande, nous pouvons exiger des renseignements personnels supplémentaires (c.-à-d., une autorisation écrite de votre part) pour confirmer le pouvoir du mandataire autorisé.

Si vous êtes membre ou ancien membre du personnel d’un client de Caseware qui utilise notre application et nos services, adressez vos demandes ou vos questions directement à votre employeur ou ancien employeur.

Si vous êtes un tiers (auditeur, collaborateur, etc.) qui a obtenu l’accès à un produit ou service Caseware par l’intermédiaire d’un client de Caseware, adressez vos demandes ou questions directement au client de Caseware qui vous a offert cet accès.

Application and Interface Security

Our Software Development Life Cycle (SDLC) ensures that our applications and programming interfaces (APIs) are designed, deployed, and tested in accordance with leading industry standards – such as OWASP, ISO, and SOC – and adhere to legal, statutory, or regulatory compliance obligations.

You will be onboarded once all agreements and policies are accepted for usage of the service. You are responsible for ensuring your usage of Caseware Cloud is in compliance with applicable laws and regulations.

Legal specifics can be found in the Cloud Services Agreement here.

Our policies and procedures have been established and are maintained in support of data security to include confidentiality, integrity, and availability across multiple system interfaces, jurisdictions, and business functions to prevent improper disclosure, alteration, or destruction.

Audit Assurance and Compliance

Independent audits are conducted by registered 3rd parties as part of our compliance program for ISO 27001 and SOC 2 for our Cloud services. We also have an internal audit program, external penetration testing and regularly scheduled internal vulnerability testing. Vulnerability test results are shared with customers as outlined in the Client Initiated Testing Policy. The results of these processes are tracked through our improvements process. The methodology and tools used to conduct penetration testing is tailored to each assessment for specific targets and attacker profiles. SOC 2 reports are provided under NDA to clients. Our SOC 3 Report is available in PDF format here.

Production data is stored on Amazon Web Services (AWS). The application handles logical separation of client data through database isolation. Data that is transferred to and from our service (including backups) is 100% encrypted over an SSL connection (AES-256-bit – the same strength used in online banking). Data transmission occurs between client and server, and databases. Controls are in place for secure and encrypted bulk data transfers. There are no email transmissions. For more information on security, see: https://www.casewarecloud.com/security.html. Our legal team monitors our regulatory obligations. Please refer to our Cloud Services agreement for legal requirements here.

Business Continuity Management and Operational Resilience

Caseware has a consistent unified framework for business continuity planning and has established, documented, and adopted this to ensure all business continuity plans are consistent in addressing priorities for testing, maintenance, and information security requirements.

Requirements for business continuity plans include the following:

  • Defined purpose and scope, aligned with relevant dependencies
  • Accessible to and understood by those who will use them
  • Owned by a named person(s) who is responsible for their review, update, and approval
  • Defined lines of communication, roles, and responsibilities
  • Detailed recovery procedures, manual work-around, and reference information
  • Method for plan invocation

Our business continuity and security incident response plans are tested at planned intervals or upon significant organizational or environmental changes. Incident response plans involve impacted customers (tenant) and other business relationships that represent critical intra-supply chain business process dependencies.

Our service is hosted on Amazon’s AWS and utilities services and environmental conditions (for example, water, power, temperature and humidity controls, telecommunications, and internet connectivity) are secured, monitored, maintained, and tested for continual effectiveness at planned intervals to ensure protection from unauthorized interception or damage, and are designed with automated failover or other redundancies in the event of planned or unplanned disruptions.

Our cloud service is completely virtual and hosted on Amazon Web Services (AWS). Amazon is also ISO and SOC2 compliant and responsible for restricting access to facilities housing the productions systems to authorized individuals. AWS is also responsible for environmental protection and preventative maintenance over production systems. AWS has published further details here: https://aws.amazon.com/compliance/data-center/controls. These certifications address physical security, system availability, network and IP backbone access, customer provisioning and problem management. Physical access and environmental controls are managed and controlled by AWS. AWS physical protection assurance information can be found at: https://aws.amazon.com/compliance.

Caseware has aligned our security program to ISO 27001 and we have business continuity processes in place to address disruptions to critical services. We monitor all cloud instances for performance and availability and incorporate the following:

  • Identify critical products and services
  • Identify all dependencies, including processes, applications, business partners, and third party service providers
  • Understand threats to critical products and services
  • Determine impacts resulting from planned or unplanned disruptions and how these vary over time
  • Establish the maximum tolerable period for disruption
  • Establish priorities for recovery
  • Establish recovery time objectives for resumption of critical products and services within their maximum tolerable period of disruption
  • Estimate the resources required for resumption

Customers can see our real-time operational status at our status page here: https://caseware.statuspage.io/.

We maintain a central system for documentation and train all staff on processes. Procedures include change management, security processes, roles and responsibilities of internal users. Our procedures are updated on an as needed basis and revision histories are logged. Additionally, policies and procedures shall include defined roles and responsibilities supported by regular workforce training.

Caseware maintains a records and retention policy for Cloud services. The retention policy is not client-specific. Backup and recovery procedures are documented and automated alerts are sent daily to operations staff. Backup and recovery measures have been incorporated into business continuity planning and tested accordingly for effectiveness. See the retention policy for each category of records below.

System transaction logs

Description: Database journals and other logs used for database recovery.

Retention period: 30 days.

Reason for retention: Based on backup and recovery strategy.

Allowable storage media: Electronic.

Audit logs

Description: Security logs, for example, records of logon/logoff and permission changes.

Retention period: 30 days.

Reason for retention: Maximum period of delay before forensic investigation.

Allowable storage media: Electronic.

Operational procedures

Description: Records associated with the completion of operational procedures.

Retention period: 2 years.

Reason for retention: Maximum period elapsed regarding dispute.

Allowable storage media: Electronic.

Customer

Description: Customer backups.

Retention period: 90 days.

Reason for retention: Data protection requirement.

Allowable storage media: Electronic.

Change Control and Configuration Management

Change management controls have been established for any new development and/or acquisition of new data, physical or virtual applications, infrastructure network and systems components, or any corporate, operations and/or data center facilities have been pre-authorized by the organization’s business leadership or other accountable business role or function. Our SDLC has a defined quality change control and testing process with established baselines, testing, and release standards which focus on system availability, confidentiality and integrity of systems and services.

Policies and procedures have been established, and supporting business processes and technical measures implemented, to restrict the installation of unauthorized software on organizationally-owned or managed user end-point devices and IT infrastructure network and systems components within the production cloud environment. Our change management policies and procedures include managing the risks associated with applying changes to business-critical or customer impacting applications and system-system interface (API) designs and configurations. Technical measures have also been implemented to provide assurance that all changes directly correspond to a registered change request, business-critical or customer, and/or authorization by, the customer as per agreement prior to deployment.

Data Security and Information Lifecycle Management

Caseware has policies and procedures and supporting business processes and technical measures in place to inventory and maintain data flows within the SaaS network and systems for each geographic location. Controls are in place to ensure that data is placed in the geographic area determined by the client. Subscriber data within the production cloud environment resides on two-tier architecture and is not directly accessible from the internet.

Our security policy defines four levels of data classification: confidential, restricted, operational, and public. All data stored within the production cloud infrastructure is considered confidential, which is our highest level of security and only authorized staff have access to this environment. Logical access to the production cloud environment is restricted to the operations team alone.

All subscriber data is stored in the production cloud environment. Use of customer data in non-production environments is controlled through secure data-handling processes, which require explicitly documented approval from the customers whose data is affected, and must comply with legal and regulatory requirements for scrubbing of sensitive data elements.

There is a designated operations team responsible for all operational functions regarding the infrastructure and storage with assigned responsibilities that have been defined, documented, and communicated.

Caseware Cloud is hosted on Amazon web servers around the world. Upon subscribing to the Caseware Cloud Services, CWC informs clients of the jurisdiction in which the server that has been allocated to host your Subscriber Data and Personal Information is located. You may consent to such allocation, or refuse a server so allocated.

For performance reasons, we’ll typically set you up in:

  • United States/North Virginia if you’re located in the United States or South America
  • Canada/Montreal if you’re located in Canada
  • Australia/New South Wales if you’re located in the Asia-Pacific region
  • Ireland/Leinster if you’re located in any other region

Data center Security

The production infrastructure is completely hosted within Amazon’s AWS. AWS is responsible for restricting access to facilities housing the production systems to authorized individuals. AWS is also responsible for environmental protection and preventative maintenance over production systems. Physical access is controlled by AWS at the perimeter and at building ingress points. Full details can be found here: https://aws.amazon.com/whitepapers/#security. AWS has published further details here: https://aws.amazon.com/compliance/data-center/controls/.

Our production infrastructure is completely hosted within Amazon’s AWS. AWS has SOC 2 reports, which are reviewed annually. AWS governance processes can be found here: https://aws.amazon.com/compliance/.

Encryption and Key Management

Our cryptography policies and procedures are designed to support business process. Technical measures have been implemented based on business requirements for protection of data at rest and data in transit as per applicable legal, statutory, and regulatory compliance obligations.

Our cryptography policy requires all encryption keys to have identifiable owners within the organization. The cryptographic key lifecycle management ensures access controls are in place for secure key generation, exchange and storage, including segregation of keys used for encrypted data or sessions.

Data stored at the server level (data-at-rest) is encrypted using the industry standard AES-256 algorithm. Data that is transferred to and from our service (data-in-transit) is encrypted via TLS with ephemeral key exchange and use industry-accepted strong cipher suites. Certificates use a minimum of 2048-bit key strength with SHA-2 or stronger signature algorithm. Private keys are generated and stored in our secrets management systems. They are deployed and used on production systems as needed via our change control process. Certificates are obtained through a reputable vendor and follow the built-in and industry standard renewal/rotation process based on expiry or revocation as needed.

Governance and Risk Management

Security risk assessments are completed at least annually and consider the following:

  • Awareness of where sensitive data is stored and transmitted across applications, databases, servers, and network infrastructure
  • Compliance with defined retention periods
  • Data classification and protection from unauthorized use, access, loss, destruction, and falsification

We have implemented an Information Security Management System based on ISO 27001 and SOC 2 controls. Our ISMS includes the following areas insofar as they relate to the characteristics of the business:

  • Information Security Policy (this document)
  • Access Control Policy
  • Availability Management
  • Clean Desk Policy
  • Cryptography Policy
  • IS Supplier Management Policy
  • Logging and Monitoring Policy
  • Mobile Device Policy
  • Network Security Policy
  • Password Management Policy
  • Patch Management Policy
  • Software Policy
  • Technical Vulnerability Management Policy
  • Risk Assessment Methodology
  • Malware, Email and ISMS Policy
  • Internet Acceptable Use Policy
  • Penetration Testing Policy
  • Teleworking Policy
  • Records Retention and Protection

Department managers are responsible for maintaining awareness of, and complying with, security policies, procedures, and standards that are relevant to their area of responsibility.

Risk acceptance levels have been defined within the risk management methodology and all risks are mitigated to an acceptable level with reasonable resolution time frames and stakeholder approval.

Our information security policies and procedures are posted and available for review by all impacted staff and external business relationships. The Information Security Steering Committee is responsible for developing, maintaining, and enforcing our service’s information security policies. The information security policy is reviewed annually and approved by the Information Security Steering Committee. Executive and line management provide support for information security through clearly documented direction and commitment, and shall ensure action has been assigned. There is a senior member of management who is responsible for information security governance and operations, including protection of customer data – this role reports to the CFO.

Policy reviews are conducted annually by the Information Security Steering Committee or as a result of changes to the organization to ensure its continuing alignment with the security strategy, effectiveness, accuracy, relevance, and applicability to legal, statutory, or regulatory compliance obligations.

Formal risk assessments are performed annually and in conjunction with any changes to information systems to determine the likelihood and impact of all identified risks. The likelihood and impact associated with inherent and residual risk is determined independently, considering all risk categories based on audit results, threat and vulnerability analysis, and regulatory compliance. Risk assessment results can include updates to security policies, procedures, standards, and controls to ensure that they remain relevant and effective. The results of risk assessments are:

  • Reported to senior management who then partake in a risk treatment process
  • Updated in a risk register
  • Prioritized based on possible impact to production systems

Our HR has a defined screening process for all staff. Reference checks are obtained with respect to all employees at time of hiring, with criminal and credit background checks for those who perform operational roles with the product cloud environment. All staff are required to sign a confidentiality agreement prior to employment to ensure protection of client information for the protection of data. Information security awareness training is provided during employee onboarding. Specific training is provided for developers on secure coding practices. Formal records are maintained for completion of internal staff training. Employee terminations and position changes are initiated by department managers. Our HR team reviews these requests and submits the request through our ticketing system for de-provisioning and provisioning requirements. Our HR team has an employee departure process to ensure all equipment is returned and accounts terminated to ensure that access to production environments is removed.

A security awareness training program has been established for all contractors, third-party users, and employees and is mandated. All individuals with access to confidential and restricted data receive appropriate awareness training and regular updates in organizational procedures, processes, and policies relating to their job function relative to the organization. Roles and responsibilities of contractors, employees, and third-party users are documented as they relate to information assets and security.

User responsibilities are defined within job descriptions for all staff and they are made aware of their roles and responsibilities for:

  • Maintaining awareness and compliance with established policies and procedures and applicable legal, statutory, or regulatory compliance obligations
  • Maintaining a safe and secure working environment
  • Report any suspicious activity if detected

We have a clear screen policy which requires that unattended workspaces do not have openly visible sensitive documents and user computing sessions had been disabled after an established period of inactivity.

We have an Access Control policy in place that specifies how to manage access control to all system components and sensitive information in the organization. Policies governing acceptable use or access to subscriber data and metadata is included in the Caseware privacy policy (https://www.caseware.com/privacy-statement/). Caseware collects, uses and discloses information only for the following purposes:

  • To verify your identity
  • To provide you with the Caseware Cloud Services
  • To contact you for the purposes of product information, service updates, billing notifications, or notifications relating to the Caseware Cloud Services
  • To monitor and/or improve system usage, server and software performance
  • To assist with technical support issues
  • To comply with any laws, regulations, court orders, subpoenas or other legal process of investigation and to protect CWC, its Affiliates and other individuals from harm
  • To improve and enhance CWC Service offerings

Identity and Access Management

Policies and procedures have been established to store and manage identity information about every person who accesses the production cloud infrastructure and to determine their level of access. Access control policies and procedures have been established, and supporting business processes and technical measures implemented, for restricting user access as per defined segregation of duties to address business risks associated with a user-role conflict of interest. The access control repository is managed by the provider. We use a privileged identity manager and password management system.

Access to, and use of, audit tools that interact with production cloud environment is segmented and restricted to prevent compromise and misuse of log data. User access to diagnostic and configuration ports are restricted to authorized individuals and applications.

Controls are in place to ensure only approved software is installed within the production cloud infrastructure.

Access to the organization’s own developed applications, program, or object source code, or any other form of intellectual property (IP), and use of proprietary software is controlled following the rule of least privilege based on job function as per established user access policies and procedures.

Caseware Cloud Service requires password authentication to access the base system. Once in the system, users must be assigned security roles to perform additional operations and access certain content. With security roles, you can control who has access to what content. Your organization is responsible for developing appropriate security policies around passwords and security roles using the security features provided in Caseware Cloud. Caseware provides access to clients, who then control their own users and administrative accounts, including provisioning and de-provisioning. Two-factor authentication is employed. User access is authorized and revalidated quarterly, to ensure the rule of least privilege based on job function. For identified access violations, remediation activities are followed based on the established user access policies and procedures. Timely de-provisioning (revocation or modification) of user access to data or managed applications, infrastructure systems, and network components, has been implemented as per established policies and procedures and based on user’s change in status such as termination of employment or other business relationship, job change, or transfer. The provider manages service account provisioning and de-provisioning. Service account authentication utilizes multi-factor authentication.

Infrastructure and Virtualization Security

Caseware Cloud deploys a SaaS-based endpoint detection and response security endpoint to all hosts within our infrastructure. All user, process, and network activity is collected and stored in the tamper-proof central location and analyzed in near real-time for suspicious behaviors as well as for manual forensics. Protection, retention, and lifecycle management of audit logs, adhere to applicable legal, statutory, or regulatory compliance obligations and provide unique user access accountability to detect potentially suspicious network behaviors and/or file integrity anomalies, that are required to support forensic investigative capabilities in the event of a security breach. Our tools have the capability to detect/prevent unauthorized or anomalous behavior based on network traffic or host activity. All authentication events, successful and failed, are logged.

Our production and non-production environments are separated to prevent unauthorized access or changes to information assets. Separation of the environments include logical separation and segregation of duties for personnel accessing these environments as part of their job duties.

Our production system and network environment is protected by centrally managed firewalls and ensures separation of production and non-production environments. Our production environment is designed, developed, deployed, and configured to ensure our operations team and clients user access is appropriately segmented from other client users, based on the following considerations:

  • Established policies and procedures
  • Isolation of business critical assets and/or sensitive user data and sessions that mandate stronger internal controls and high levels of assurance
  • Compliance with legal, statutory, and regulatory compliance obligations

The production cloud infrastructure has a reliable and mutually agreed upon external time source that is used to synchronize the system clocks of all relevant information processing systems to facilitate tracing and reconstitution of activity timelines.

Supply Chain Management, Transparency, and Accountability

Policies and procedures have been implemented to ensure the consistent review of service agreements between providers and customers across the relevant supply chain. Reviews performed at least annually and identify non-conformance to established agreements. Any non-conformances are identified as actions to address service-level conflicts or inconsistencies.

Threat and Vulnerability Management

Policies and procedures have been established, and supporting business processes and technical measures implemented, to prevent the execution of malware within the production cloud environment or end user devices and IT infrastructure network and system components. Policies and procedures have been established, and supporting processes and technical measures implemented, for timely detection of vulnerabilities within organizationally-owned or managed applications, infrastructure network and system components. We also perform ongoing application and code vulnerability evaluations of our products and have dual peer reviews of all code changes to ensure the efficiency of implemented security controls. Our risk management methodology is used for prioritizing remediation of identified vulnerabilities. Changes are managed through our defined change management process for all vendor-supplied patches, configuration changes, or changes to our applications. Our anti-malware solution is centrally managed and runs on all systems. The anti-malware solution includes mechanisms for detecting or preventing phishing. Malware signature updates are deployed within 1 day of release.

Menez votre cabinet vers la précision, l'efficacité et la croissance grâce à Caseware.

La référence en audit propulsé par l'IA.

Nous contacter
Qui sommes-nous ?
Liens utiles
© 2026 Caseware International Inc. Tous droits réservés.