Sécurité d'entreprise fiable

Notre cycle de vie de développement du logiciel garantit que nos applications et interfaces de programmation (API) sont conçues, déployées et testées conformément aux principales normes de l'industrie, comme OWASP, ISO et SOC, et respectent les obligations de conformité juridiques, légales ou réglementaires.

Vous serez intégré une fois que toutes les ententes et les politiques seront acceptées afin d'utiliser le service. Il vous incombe de vous assurer que votre usage de Caseware Cloud est conforme aux lois et aux règlements applicables.

Vous pouvez trouver les particularités juridiques dans l'entente de services Cloud ici : https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Nos politiques et procédures ont été établies et sont tenues à jour pour soutenir la sécurité des données et tenir compte de la confidentialité, de l'intégrité et de la disponibilité sur plusieurs interfaces système, dans plusieurs pays et fonctions opérationnelles pour éviter la divulgation, la modification ou la destruction inappropriée.

Les audits indépendants sont conduits par des tiers agréés dans le cadre de notre programme de conformité à la norme ISO 27001 et à la norme SOC 2 pour nos services Cloud. Nous avons également un programme d'audit interne, des tests de pénétration externe et des tests de vulnérabilité interne prévus régulièrement. Les résultats des tests de vulnérabilité sont communiqués à nos clients comme indiqué dans la politique sur les tests initiés par les clients. Les résultats de ces processus font l'objet de suivi au moyen de notre processus d'amélioration. La méthodologie et les outils utilisés pour conduire les tests de pénétration sont adaptés à chaque évaluation de cibles précises et de profils d'attaquants. Les rapports SOC 2 sont fournis aux clients sous réserve de la conclusion d'une entente de confidentialité. Notre rapport SOC 3 est à disposition en format PDF ici.

Les données de production sont stockées sur Amazon Web Services (AWS). L'application gère la séparation logique des données des clients grâce à l'isolation des bases de données. Les données qui sont transférées à destination et en provenance de notre service (y compris les sauvegardes) sont intégralement chiffrées au moyen d'une connexion SSL (AES-256 bits – la même puissance qu'utilisent les services bancaires en ligne). La transmission de données a lieu entre le client et le serveur, et les bases de données. Des contrôles sont en place pour garantir et chiffrer les transferts de données en bloc. Il n'y a pas de transmission par courriel. Pour en savoir plus sur la sécurité, consultez : https://www.casewarecloud.com/security.html. Notre équipe juridique surveille nos obligations réglementaires. Consultez l'entente de services Cloud pour prendre connaissance des exigences légales : https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Caseware a un cadre cohérent et solide pour la planification de la continuité des activités et l'a établi, documenté et adapté pour s'assurer que tous les plans de continuité des activités sont cohérents concernant les priorités des exigences relatives aux tests, à la tenue à jour et à la sécurité de l'information.

Les exigences relatives aux plans de continuité des activités comprennent ce qui suit :

• Objectif et portée définis, alignés sur les dépendances pertinentes
• Accessible aux utilisateurs
• Attribué à une personne nommée responsable de la révision, de la mise à jour et de l'approbation
• Liste détaillée des communications, des rôles et des responsabilités
• Procédures de reprisedétaillées, solutions decontournement manuelles etrenseignements de référence
• Méthode d'activation du plan

Nos plans de continuité des activités et d'intervention en cas d'incident de sécurité sont testés à intervalles planifiés ou en cas de changements organisationnels ou environnementaux importants. Les plans d'intervention en cas d'incident concernent les clients touchés (locataires) et les autres relations professionnelles qui représentent les dépendances critiques des processus opérationnels entre chaînes d'approvisionnement.

Notre service est hébergé sur AWS d'Amazon, et les services d'utilité publique et les conditions environnementales (par exemple, eau, électricité, contrôles de la température et de l'humidité, télécommunications et connectivité Internet) sont sécurisées, surveillées, maintenues et leur efficacité continue fait l'objet de tests à intervalles prévus pour s'assurer de la protection contre l'interception non autorisée ou les dommages, et sont conçus avec un système de basculement automatisé et d'autres redondances en cas d'interruptions planifiées ou non.

Notre service en nuage est entièrement virtuel et hébergé sur Amazon Web Services (AWS). Amazon est conforme aux normes ISO et SOC2 et responsable de la restriction de l'accès aux installations hébergeant la plateforme en nuage pour les personnes autorisées. AWS est également responsable de la protection environnementale et de la maintenance matérielle sur les systèmes de production. AWS a publié des contrôles qui donnent des détails sur les mesures de protection et les responsabilités environnementales. L'environnement applique des pratiques opérationnelles rigoureuses, une surveillance systémique continue et des mesures de sécurité renforcées. Des renseignements supplémentaires concernant les contrôles physiques, les contrôles environnementaux ainsi que les engagements et obligations sont gérés et certifiés par AWS. Vous trouverez les renseignements sur la protection physique AWS à l'adresse : https://aws.amazon.com/compliance.

Caseware a aligné son programme de sécurité sur la norme ISO 27001 et a des processus de continuité des activités en place pour faire face aux perturbations des services essentiels. Nous surveillons le rendement et la disponibilité de toutes les instances du nuage et incorporons ce qui suit :

• Déterminer les produits et services essentiels
• Identify all dependencies, including processes, applications, business partners, and third party service providers
• Understand threats to critical products and services
• Determine impacts resulting from planned or unplanned disruptions and how these vary over time
• Establish the maximum tolerable period for disruption
• Establish priorities for recovery
• Establish recovery time objectives for resumption of critical products and services within their maximum tolerable period of disruption
• Estimate the resources required for resumption

Les clients peuvent consulter notre statut opérationnel en temps réel sur notre page de statut ici : https://caseware.statuspage.io/.

Nous tenons à jour un système central pour la documentation et formons tout le personnel aux processus. Les procédures regroupent la gestion du changement, les processus de sécurité, les rôles et responsabilités des utilisateurs internes. Nos procédures sont mises à jour au besoin, et les historiques des révisions sont consignés. De plus, les politiques et les procédures comprennent les rôles et les responsabilités définis, soutenus par une formation régulière de la main-d'œuvre.

Caseware tient à jour une politique de conservation des documents pour les services Cloud. La politique de conservation n'est pas propre au client. Les procédures de sauvegarde et de récupération sont documentées, et des alertes automatisées sont envoyées quotidiennement au personnel des Opérations. Les mesures de sauvegarde et de récupération ont été incorporées dans la planification de la continuité des activités, et leur efficacité fait l'objet de tests en conséquence. Consultez ci‑dessous la politique de conservation pour chaque catégorie de documents.

Journaux de transactions du système

Description: Journaux de base de données et autres journaux utilisés pour la récupération de la base de données.

Période de conservation : 30 jours.

Raison de la conservation : Fondée sur la stratégie de sauvegarde et de récupération.

Supports de stockage autorisés : Électroniques

Journaux d'audit

Description: Journaux de sécurité, par exemple les enregistrements de connexion/déconnexion et les modifications d'autorisations

Période de conservation : 30 jours.

Raison de la conservation : Période maximale de délai avant l'ouverture d'une enquête judiciaire.

Supports de stockage autorisés : Électroniques.

Procédures opérationnelles

Description: Documents associés à l'exécution des procédures opérationnelles.

Période de conservation : 2 ans.

Raison de la conservation : Période maximale écoulée en cas de litige.

Supports de stockage autorisés : Électroniques.

Client

Description: Sauvegardes des clients.

Période de conservation : 90 jours.

Raison de la conservation : Exigence en matière de protection des données.

Supports de stockage autorisés : Électroniques.

Des contrôles de gestion des changements ont été mis en place pour tout nouveau développement ou l'acquisition de nouvelles données, d'applications physiques ou virtuelles, de composants de réseaux et de systèmes d'infrastructure, ou pour toute installation de la société, d'exploitation ou de centre de données, et ont été préautorisés par la direction de l'organisation ou par toute autre fonction ou tout rôle responsable. Notre cycle de vie de développement du logiciel comporte un processus défini de contrôle et de test du changement avec des normes établies de bases de référence, de tests et de publication concentrées sur la disponibilité du système, la confidentialité et l'intégrité des systèmes et des services.

Des politiques et des procédures ont été établies, et les processus opérationnels et les mesures techniques correspondants mis en œuvre, afin de restreindre l'installation d'un logiciel non autorisé sur les appareils mobiles des utilisateurs appartenant à l'organisation ou gérés par elle, ainsi que sur les composants des réseaux et des systèmes de l'infrastructure informatique dans l'environnement de production en nuage. Nos politiques et procédures de gestion du changement précisent les risques associés à l'application des changements à des applications critiques pour l'entreprise ou ayant des incidences sur les clients, ainsi qu'à la conception et à la configuration des interfaces liées au système (API). Des mesures techniques ont également été mises en œuvre pour donner l'assurance que tous les changements correspondent directement à une demande de changement enregistrée, qu'elles soient critiques pour l'entreprise ou pour le client ou qu'elles soient autorisées par le client conformément à l'accord conclu avant le déploiement.

Caseware a des politiques et des procédures et des processus opérationnels et des mesures techniques correspondants en place pour inventorier et maintenir les flux de données dans le réseau et les systèmes SaaS pour chaque emplacement géographique. Des contrôles sont en place pour s'assurer que les données sont placées dans la zone géographique déterminée par le client. Les données des abonnés dans l'environnement de production en nuage résident dans une infrastructure de niveau inférieur et ne sont pas directement accessibles depuis Internet.

Notre politique de sécurité définit quatre niveaux de classification des données : confidentielles, restreintes, opérationnelles et publiques. Toutes les données stockées dans l'infrastructure en nuage de production sont considérées comme confidentielles, ce qui est notre degré de sécurité le plus élevé, et seul le personnel autorisé a accès à cet environnement. L'accès logique à l'environnement en nuage de production est restreint à l'équipe des Opérations seulement.

Toutes les données des abonnés sont stockées dans l'environnement de production en nuage. L'utilisation de données des clients dans des environnements hors production est contrôlée au moyen de processus sécurisés de manipulation des données, qui exigent une approbation explicitement documentée des clients dont les données sont concernées et doivent se conformer aux exigences légales réglementaires pour le nettoyage des éléments de données sensibles.

Une équipe des Opérations désignée est responsable de toutes les fonctions opérationnelles relatives à l'infrastructure et au stockage avec des responsabilités attribuées qui ont été définies, documentées et communiquées.

Caseware Cloud est hébergé sur les serveurs Web d'Amazon dans le monde entier. Lors de l'abonnement aux services Caseware Cloud, Caseware Cloud (CWC) informe les clients du pays dans lequel se trouve le serveur attribué pour héberger les données des abonnés et les renseignements personnels. Vous pouvez consentir à cette attribution ou refuser un serveur ainsi attribué.

Pour des raisons de performance, nous vous installons généralement dans les pays suivants :

• États‑Unis/Nord de la Virginie si vous êtes situé aux États‑Unis ou en Amérique du Sud
• Canada/Montréal si vous êtes situé au Canada
• Australie/Nouvelle-Galles-du-Sud si vous êtes situé dans la région Asie‑Pacifique
• Irlande/Leinster si vous êtes situé dans toute autre région

L'infrastructure de production est entièrement hébergée auprès d'AWS d'Amazon. AWS est également responsable de la restriction de l'accès aux installations hébergeant les systèmes de production aux particuliers autorisés. AWS est également responsable de la protection environnementale et de la maintenance préventive sur les systèmes de production. L'accès physique est contrôlé par AWS aux points d'accès du bâtiment. Vous trouverez tous les détails ici : https://aws.amazon.com/whitepapers/#security. Détails supplémentaires (en anglais) : https://aws.amazon.com/compliance/data-center/controls/.

Notre infrastructure de production est entièrement hébergée auprès d'AWS d'Amazon. AWS a des rapports SOC 2, qui sont examinés tous les ans. Vous trouverez les processus de gouvernance d'AWS ici : https://aws.amazon.com/compliance/.

Nos politiques et procédures de cryptographie sont conçues pour soutenir les processus opérationnels. Des mesures techniques ont été mises en œuvre en fonction des exigences opérationnelles pour la protection des données au repos et les données en transit conformément aux obligations de conformité juridiques, légales et réglementaires.

Notre politique de cryptographie exige que toutes les clés de chiffrement aient un responsable identifiable dans l'organisation. La gestion du cycle de vie des clés cryptographiques garantit la mise en place de contrôles de l'accès pour la génération, l'échange et le stockage de clés sécurisées, y compris la séparation des clés utilisées pour les données ou les sessions chiffrées.

Les données stockées au niveau du serveur (données au repos) sont chiffrées au moyen d'un algorithme AES-256 standard dans l'industrie. Les données qui sont transférées à destination et en provenance de notre service (données en transit) sont chiffrées au moyen du protocole TLS avec un échange de clés éphémère et l'utilisation des chiffres solides acceptés dans l'industrie. Les certificats utilisent une clé d'une puissance minimale de 2048 bits avec l'algorithme SHA-2 ou des algorithmes de signature plus puissants. Les clés privées sont générées et stockées dans nos systèmes de gestion secrets. Elles sont déployées et utilisées dans les systèmes de production au besoin au moyen de nos processus de contrôles des changements. Les certificats sont obtenus auprès d'un fournisseur réputé et suivent le processus de renouvellement ou de rotation intégré et standard dans l'industrie, basé sur l'expiration ou la révocation au besoin.

Les évaluations des risques de sécurité sont faites au moins une fois par an et tiennent compte de ce qui suit :

• Connaissance du lieu de stockage et de transmission des données sensibles dans les applications, les bases de données, les serveurs et l'infrastructure réseau
• Conformité aux périodes de conservation définies
• Classification des données et protection contre l'utilisation, l'accès, la perte, la destruction et la falsification non autorisés

Nous avons mis en œuvre un système de gestion de la sécurité de l'information axé sur les contrôles des normes ISO 27001 et SOC 2. Notre SGSI comprend les domaines ci-dessous dans la mesure où ils sont liés aux caractéristiques de l'entreprise :

• Politique de sécurité de l'information (le présent document)
• Politique de contrôle de l'accès
• Gestion de la disponibilité
• Politique en matière de rangement du bureau
• Politique sur la cryptographie
• Politique de gestion des fournisseurs de sécurité de l'information
• Politique d'enregistrement et de surveillance
• Politique sur les appareils mobiles
• Politique sur la sécurité réseau
• Politique de gestion des mots de passe
• Politique de gestion des correctifs
• Politique sur les logiciels
• Politique sur la gestion des vulnérabilités techniques
• Méthode d'évaluation des risques
• Politique sur les logiciels malveillants, les courriels et le SGSI
• Politique sur l'usage légitime d'Internet
• Politique sur les tests de pénétration
• Politique sur le télétravail
• Conservation et protection des documents

Il incombe aux gestionnaires de services de faire en sorte que les politiques, les procédures et les normes de sécurité pertinentes pour leur domaine de responsabilité soient connues et respectées.

Les niveaux d'acceptation des risques ont été définis dans la méthode de gestion des risques, et tous les risques sont atténués à un niveau acceptable dans des délais de résolution raisonnables et avec l'approbation des parties prenantes.

Nos politiques et procédures de sécurité de l'information sont publiées et sont consultables par tout le personnel concerné et les relations d'affaires externes. Le comité directeur de la sécurité de l'information est responsable du développement, de la tenue à jour et de la mise en œuvre des politiques sur la sécurité de l'information de notre service. La politique sur la sécurité de l'information est examinée tous les ans et approuvée par le comité directeur de la sécurité de l'information. La direction supérieure et les cadres hiérarchiques offrent leur soutien pour la sécurité de l'information au moyen d'une orientation et d'un engagement clairement documentés et s'assurent que les mesures ont été assignées. Un cadre supérieur de la direction qui est responsable de la gouvernance et des opérations de la sécurité de l'information, y compris la protection des données des clients, ce rôle relève du directeur financier.

Les examens des politiques sont effectués annuellement par le comité directeur de la sécurité de l'information ou à la suite de changements à l'organisation pour s'assurer de sa cohérence continue avec la stratégie de sécurité, de son efficacité, la gouvernance d'entreprise, de sa pertinence et de son applicabilité aux obligations de conformité juridiques, légales ou réglementaires.

Les évaluations des risques correctives sont réalisées annuellement pour évaluer les changements apportés aux systèmes existants afin de déterminer la probabilité et l'incidence de tous les risques repérés. Le traitement des risques et l'effet associé aux risques relevés sont évalués et liés aux considérations budgétaires prévues, en tenant compte de toutes les catégories de risques fondées sur les résultats d'audit, l'analyse des menaces et des vulnérabilités, les risques sectoriels et les risques de conformité. Toutes les évaluations des risques sont menées à terme afin de vérifier les politiques, procédures, normes et contrôles pour s'assurer qu'ils demeurent pertinents et efficaces face à tout risque de conformité. Les résultats des évaluations des risques sont :

• communiqués à la haute direction lorsque le risque porte sur le processus de traitement des risques;
• mis à jour dans le registre des risques;
• et leur priorité est établie en fonction de leur effet possible sur les systèmes de production.

Nos Ressources humaines ont défini une présélection pour tout le personnel. Des vérifications de référence sont obtenues pour tous les employés au moment de l'embauche, des vérifications des antécédents criminels et de crédit étant faites pour les personnes qui occupent des rôles opérationnels dans l'environnement de production en nuage. Tout le personnel doit signer une entente de confidentialité avant l'emploi pour s'assurer de la protection des renseignements des clients et des données. La formation de sensibilisation à la sécurité de l'information est offerte au cours de l'intégration des employés. Une formation particulière est offerte aux développeurs sur les pratiques de codage sécurisées. Des registres officiels sont tenus pour l'achèvement de la formation interne du personnel. Les cessations d'emploi d'employés et les changements de poste sont initiés par les gestionnaires des services. Notre équipe des Ressources humaines examine ces demandes et les présente au moyen de notre système de tickets pour les exigences de déprovisionnement et de provisionnement. Notre équipe des Ressources humaines possède un processus de départ des employés pour s'assurer que tout l'équipement est retourné et que les comptes sont clos pour garantir que l'accès aux environnements de production est supprimé.

Un programme de formation de sensibilisation à la sécurité a été établi pour tous les entrepreneurs, utilisateurs tiers et employés et il est obligatoire. Toutes les personnes ayant accès à des données confidentielles et restreintes reçoivent une formation de sensibilisation appropriée et des mises à jour régulières des procédures organisationnelles, des processus et des politiques relatives à leur fonction professionnelle dans l'organisation. Les rôles et les responsabilités des entrepreneurs, des employés et des utilisateurs tiers sont documentés lorsqu'ils ont trait aux ressources d'information et à la sécurité de l'information.

Les responsabilités des utilisateurs sont définies dans les descriptions de poste pour tout le personnel, et ils sont informés de leurs rôles et responsabilités en ce qui concerne ce qui suit :

• Maintien de la sensibilisation et de la conformité aux politiques et procédures établies ainsi qu'aux obligations légales, statutaires ou réglementaires applicables
• Maintien d'un environnement de travail sûr et sécurisé
• Signalement de toute activité suspecte si elle est détectée

Nous avons une politique de nettoyage de l'écran qui exige que les postes de travail laissés sans surveillance ne présentent aucun document sensible visible et que les sessions informatiques des utilisateurs soient désactivées après une période d'inactivité établie.

Nous avons une politique de contrôle de l'accès en place qui précise la manière de gérer le contrôle de l'accès à tous les composants système et à l'information sensible dans l'organisation. Les politiques régissant le bon usage ou l'accès aux données et aux métadonnées sont comprises dans l'Énoncé de confidentialité de Caseware (https://www.caseware.com/privacy-statement/). Caseware collecte, utilise et divulgue l'information seulement aux fins suivantes :

• Pour vérifier votre identité
• Pour vous fournir les services Caseware Cloud
• Pour vous contacter à des fins d'information sur les produits, de mises à jour des services, d'avis de facturation ou d'avis liés aux services Caseware Cloud
• Pour surveiller ou améliorer l'utilisation du système, la performance des serveurs et des logiciels
• Pour aider à résoudre les problèmes de soutien technique
• Pour respecter toute loi, réglementation, ordonnance judiciaire, assignation ou autre procédure juridique d'enquête et pour protéger Caseware Cloud, ses sociétés affiliées et d'autres personnes contre tout préjudice
• Pour améliorer et renforcer les offres de services de Caseware Cloud

Des politiques et des procédures ont été établies pour stocker et gérer les renseignements sur l'identité de toutes les personnes qui accèdent à l'infrastructure de production en nuage et pour déterminer leur niveau d'accès. Des politiques et des procédures de contrôle de l'accès ont été établies, et des processus opérationnels et des mesures techniques correspondants ont été mis en œuvre, afin de restreindre l'accès des utilisateurs conformément à la séparation des tâches définie afin de faire face aux risques économiques associés à un conflit d'intérêts entre un utilisateur et un rôle. Le référentiel de contrôle de l'accès est géré par le fournisseur. Nous utilisons un gestionnaire d'identités privilégiées et un système de gestion des mots de passe.

L'accès aux outils d'audit, qui interagissent avec l'environnement de production en nuage, et leur utilisation sont segmentés et restreints afin d'éviter la compromission et l'utilisation malveillante de données de journal. L'accès des utilisateurs aux ports de diagnostic et de configuration est restreint aux personnes et aux applications autorisées.

Les contrôles en place permettent de s'assurer que seuls des logiciels approuvés sont installés dans l'infrastructure de production en nuage.

L'accès au répertoire du code des applications est strictement contrôlé. Seul le personnel de développement autorisé peut accéder au code des applications, à la propriété intellectuelle et aux logiciels exclusifs dans des environnements contrôlés, en fonction du rôle et après approbation avant que l'accès soit accordé.

Le service Caseware Cloud exige une authentification par mot de passe pour accéder au système de base. Une fois dans le système, les utilisateurs doivent se voir attribuer des rôles de sécurité pour effectuer des opérations supplémentaires et accéder à certains contenus. Grâce aux rôles de sécurité, vous pouvez contrôler qui a accès à un contenu donné. Il incombe à votre organisation d'adopter des politiques de sécurité appropriées sur les mots de passe et les rôles de sécurité utilisant les fonctions de sécurité fournies dans Caseware Cloud. Caseware donne l'accès aux clients, qui contrôlent ensuite leurs propres utilisateurs et comptes administratifs, y compris le provisionnement et le déprovisionnement. Nous employons l'authentification à deux facteurs. L'accès de l'utilisateur est autorisé et validé de nouveau tous les trimestres, pour s'assurer que le principe de droit d'accès minimal est fondé sur la fonction de tâche. Concernant les violations d'accès détectées, les corrections sont suivies selon les politiques et procédures établies d'accès des utilisateurs. Le déprovisionnement opportun (révocation ou modification) de l'accès des utilisateurs aux données ou aux applications gérées, aux systèmes d'infrastructure et aux composants réseau a été mis en œuvre conformément aux politiques et aux procédures établies et selon l'évolution du statut de l'utilisateur comme la cessation d'emploi ou d'autres relations professionnelles, un changement d'emploi ou une mutation. Le fournisseur gère le provisionnement et le déprovisionnement du compte de services. L'authentification du compte de services utilise l'authentification à plusieurs facteurs.

Caseware Cloud déploie une protection évolutive des points de terminaison et un point de terminaison de sécurité axée sur le SaaS pour tous les hôtes de son infrastructure. Tous les utilisateurs, les processus et toute l'activité réseau sont recueillis et stockés dans un emplacement central protégé contre la falsification et analysés presque en temps réel pour détecter les comportements suspicieux ainsi que les analyses manuelles. La protection, la conservation et la gestion du cycle de vie des journaux d'audit respectent les obligations de conformité juridiques, légales et réglementaires applicables et donnent une responsabilité unique pour l'accès des utilisateurs afin de détecter les comportements réseau potentiellement suspects ou les anomalies liées à l'intégrité des fichiers, qui sont nécessaires pour soutenir les capacités d'enquête et d'analyse en cas d'atteinte à la sécurité. Nos outils ont la capacité de détecter ou d'empêcher les comportements non autorisés ou anormaux en fonction du trafic réseau ou de l'activité de l'hôte. Tous les événements d'authentification, réussis ou échoués, sont consignés.

Nos environnements de production et hors production sont séparés afin d'éviter les changements non autorisés ou les fuites de renseignements. La séparation des environnements comprend une séparation logique et la séparation des tâches pour le personnel qui accède à ces environnements dans le cadre de ses fonctions.

Notre système de production et notre environnement système sont protégés par des pare-feu gérés de manière centrale et garantissent la séparation des environnements de production et hors production. Notre environnement de production est conçu, développé, déployé et configuré pour garantir que l'accès des utilisateurs de notre équipe des opérations et des clients est correctement segmenté par rapport à celui des autres utilisateurs, en fonction des considérations suivantes :

• Politiques et procédures établies
• Isolement des actifs essentiels à l'entreprise ou des données et sessions sensibles des utilisateurs qui exigent des contrôles internes renforcés et des niveaux élevés d'assurance
• Conformité aux obligations légales, statutaires et réglementaires

L'infrastructure de production en nuage a une source de temps fiable et mutuellement acceptée qui sert à synchroniser les horloges système de tous les systèmes d'information pertinents afin de faciliter le suivi et la reconstitution des chronologies d'activité.

Les politiques et les procédures ont été mises en œuvre pour garantir l'examen cohérent des ententes de services entre les fournisseurs et les clients dans l'ensemble de la chaîne d'approvisionnement pertinente. Les examens sont réalisés au moins une fois par an pour déterminer la non-conformité aux ententes établies. Les cas de non-conformité sont signalés comme des mesures permettant de régler des conflits ou des incohérences au niveau des services.

Des politiques et des procédures ont été établies, et les processus opérationnels et les mesures techniques correspondants mis en œuvre, afin d'éviter l'exécution de logiciels malveillants dans l'environnement de production en nuage ou les appareils des utilisateurs finaux, ainsi que dans les composants des réseaux et des systèmes de l'infrastructure informatique. Des politiques et des procédures ont été établies, et les processus et mesures techniques correspondants ont été mis en œuvre pour la détection rapide des vulnérabilités dans les applications, le réseau de l'infrastructure et les composants système appartenant à l'organisation ou gérés par celle-ci. Nous effectuons également des évaluations continues des vulnérabilités des applications et du code de nos produits et faisons doublement examiner par des pairs tous les changements apportés au code pour nous assurer de l'efficacité des contrôles de sécurité mis en œuvre. Notre méthode de gestion des risques est utilisée pour établir la priorité de la correction des vulnérabilités repérées. Les changements sont gérés au moyen de notre processus de gestion du changement défini pour tous les correctifs proposés par les fournisseurs, les changements de configuration ou les changements apportés à nos applications. Notre solution contre les logiciels malveillants est gérée de manière centralisée et s'exécute sur tous les systèmes. La solution contre les logiciels malveillants comprend des mécanismes pour détecter ou empêcher l'hameçonnage. Les mises à jour des signatures contre les logiciels malveillants sont déployées dans un délai d'un jour.