Passer au contenu principal

Sécurité Live Aware

Mis à jour il y a plus d’une semaine

Sécurité organisationnelle

  • Programme de sécurité de l'information

    • Nous avons mis en place un programme de sécurité de l'information qui est communiqué à l'ensemble de l'organisation. Notre programme de sécurité de l'information suit les critères définis par le cadre SOC 2. SOC 2 est une procédure d'audit de sécurité de l'information largement connue et créée par l'American Institute of Certified Public Accountants.

  • Audits de tiers

    • Notre organisation est soumise à des évaluations indépendantes de tiers pour tester nos contrôles de sécurité et de conformité.

  • Tests d'intrusion de tiers

    • Nous réalisons au moins annuellement une intrusion de tiers indépendante pour garantir que la posture de sécurité de nos services n'est pas compromise.

  • Rôles et responsabilités

    • Les rôles et les responsabilités liés à notre programme de sécurité de l'information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus de passer en revue et d'accepter toutes les politiques de sécurité.

  • Formation à la sensibilisation à la sécurité

    • Les membres de notre équipe sont tenus de suivre une formation à la sensibilisation à la sécurité des employés couvrant les pratiques standard de l'industrie et des sujets de sécurité de l'information tels que le hameçonnage et la gestion des mots de passe.

  • Confidentialité

    • Tous les membres de l'équipe doivent signer et respecter un accord de confidentialité standard de l'industrie avant leur premier jour de travail.

  • Vérifications des antécédents

    • Nous effectuons des vérifications des antécédents sur tous les nouveaux membres de l'équipe conformément aux lois locales.

Sécurité Cloud

  • Sécurité de l'infrastructure Cloud

    • Tous nos services et stockages de données sont hébergés sur Google Cloud Platform (GCP) et MUX. Ils mettent tous les deux en œuvre un programme de sécurité robuste avec de multiples certifications. Pour plus d'informations sur les processus de sécurité de nos fournisseurs, veuillez visiter Sécurité GCP et MUX

  • Sécurité de l'hébergement des données

    • Toutes nos données sont hébergées sur les bases de données GCP et MUX. Ces bases de données sont toutes situées aux États-Unis. Veuillez consulter la documentation spécifique des fournisseurs liée ci-dessus pour plus d'informations.

  • Chiffrement au repos

    • Toutes les bases de données sont chiffrées au repos.

  • Chiffrement en transit

    • Nos applications chiffrent en transit uniquement avec TLS/SSL.

  • Journalisation et surveillance

    • Nous surveillons activement et journalisons divers services cloud.

  • Continuité des activités et reprise après sinistre

    • Nous utilisons les services de sauvegarde de notre fournisseur d'hébergement des données pour réduire tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l'équipe en cas de défaillances affectant les utilisateurs.

  • Gestion des incidents

    • Nous avons un processus pour gérer les événements de sécurité de l'information qui comprend des procédures d'escalade, une atténuation rapide et une communication.

  • IA

    • Nous utilisons des systèmes d'IA qui nécessitent des données pour l'analyse, mais nous désactivons toutes les autorisations de formation de données. Nous configurons tous les paramètres de confidentialité pour protéger les données des clients. Pour plus de détails, veuillez consulter les politiques des fournisseurs suivants : OpenAI Enterprise, OpenAI Trust et VertexAI

  • Isolation des données

    • Nous utilisons un Cloud Privé Virtuel (VPC) pour tous les services et données que nous gérons, les isolant des autres utilisateurs de notre fournisseur de cloud et d'Internet dans son ensemble.

    • Au sein de notre VPC, nous sommes architecturés comme un environnement multi-locataire partagé. Les données de plusieurs clients peuvent être combinées dans une seule base de données ou un compte de stockage cloud et traitées sur une ressource de calcul partagée.

    • Pour l'accès des clients via notre application, l'architecture d'accès aux données de notre service garantit que les données transmises en dehors de notre VPC sont limitées à celles auxquelles l'utilisateur authentifié a été autorisé à accéder, en fonction des rôles RBAC accordés par le client.

Sécurité de l'accès

  • Autorisations et authentification

    • L'accès à l'infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.

    • Lorsque disponible, nous utilisons l'authentification à deux facteurs (2FA) et des politiques de mots de passe robustes pour garantir la protection des accès aux services cloud.

  • Contrôle d'accès privilégié minimal

    • Nous suivons le principe du contrôle d'accès privilégié minimal en ce qui concerne l'identité et la gestion des accès.

  • Examens d'accès trimestriels

    • Nous effectuons des examens d'accès trimestriels de tous les membres de l'équipe ayant accès à des systèmes sensibles.

  • Exigences en matière de mots de passe

    • Tous les membres de l'équipe doivent respecter un ensemble minimum d'exigences de mots de passe et de complexité pour les accès.

  • Gestionnaires de mots de passe

    • Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour que les membres de l'équipe puissent gérer les mots de passe et maintenir leur complexité.

Gestion des fournisseurs et des risques

  • Évaluations annuelles des risques

    • Nous réalisons au moins des évaluations annuelles des risques pour identifier toute menace potentielle, y compris les considérations liées à la fraude.

  • Gestion des risques des fournisseurs

    • Les risques des fournisseurs sont évalués et les examens appropriés des fournisseurs sont réalisés avant d'autoriser un nouveau fournisseur.

Contactez-nous

Si vous avez des questions, des commentaires ou des préoccupations ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter [email protected]

Avez-vous trouvé la réponse à votre question ?