Nous avons mis en place un programme de sécurité de l'information qui est communiqué à l'ensemble de l'organisation. Notre programme de sécurité de l'information suit les critères définis par le cadre SOC 2. SOC 2 est une procédure d'audit de sécurité de l'information largement connue et créée par l'American Institute of Certified Public Accountants.

Notre organisation est soumise à des évaluations indépendantes de tiers pour tester nos contrôles de sécurité et de conformité.

Nous réalisons au moins annuellement une intrusion de tiers indépendante pour garantir que la posture de sécurité de nos services n'est pas compromise.

Les rôles et les responsabilités liés à notre programme de sécurité de l'information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus de passer en revue et d'accepter toutes les politiques de sécurité.

Les membres de notre équipe sont tenus de suivre une formation à la sensibilisation à la sécurité des employés couvrant les pratiques standard de l'industrie et des sujets de sécurité de l'information tels que le hameçonnage et la gestion des mots de passe.

Tous les membres de l'équipe doivent signer et respecter un accord de confidentialité standard de l'industrie avant leur premier jour de travail.

Nous effectuons des vérifications des antécédents sur tous les nouveaux membres de l'équipe conformément aux lois locales.

Tous nos services et stockages de données sont hébergés sur Google Cloud Platform (GCP) et MUX. Ils mettent tous les deux en œuvre un programme de sécurité robuste avec de multiples certifications. Pour plus d'informations sur les processus de sécurité de nos fournisseurs, veuillez visiter Sécurité GCP et MUX

Toutes nos données sont hébergées sur les bases de données GCP et MUX. Ces bases de données sont toutes situées aux États-Unis. Veuillez consulter la documentation spécifique des fournisseurs liée ci-dessus pour plus d'informations.

Toutes les bases de données sont chiffrées au repos.

Nos applications chiffrent en transit uniquement avec TLS/SSL.

Nous surveillons activement et journalisons divers services cloud.

Nous utilisons les services de sauvegarde de notre fournisseur d'hébergement des données pour réduire tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l'équipe en cas de défaillances affectant les utilisateurs.

Nous avons un processus pour gérer les événements de sécurité de l'information qui comprend des procédures d'escalade, une atténuation rapide et une communication.

Nous utilisons des systèmes d'IA qui nécessitent des données pour l'analyse, mais nous désactivons toutes les autorisations de formation de données. Nous configurons tous les paramètres de confidentialité pour protéger les données des clients. Pour plus de détails, veuillez consulter les politiques des fournisseurs suivants : OpenAI Enterprise, OpenAI Trust et VertexAI

Nous utilisons un Cloud Privé Virtuel (VPC) pour tous les services et données que nous gérons, les isolant des autres utilisateurs de notre fournisseur de cloud et d'Internet dans son ensemble.

Au sein de notre VPC, nous sommes architecturés comme un environnement multi-locataire partagé. Les données de plusieurs clients peuvent être combinées dans une seule base de données ou un compte de stockage cloud et traitées sur une ressource de calcul partagée.

Pour l'accès des clients via notre application, l'architecture d'accès aux données de notre service garantit que les données transmises en dehors de notre VPC sont limitées à celles auxquelles l'utilisateur authentifié a été autorisé à accéder, en fonction des rôles RBAC accordés par le client.

L'accès à l'infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.

Lorsque disponible, nous utilisons l'authentification à deux facteurs (2FA) et des politiques de mots de passe robustes pour garantir la protection des accès aux services cloud.

Nous suivons le principe du contrôle d'accès privilégié minimal en ce qui concerne l'identité et la gestion des accès.

Nous effectuons des examens d'accès trimestriels de tous les membres de l'équipe ayant accès à des systèmes sensibles.

Tous les membres de l'équipe doivent respecter un ensemble minimum d'exigences de mots de passe et de complexité pour les accès.

Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour que les membres de l'équipe puissent gérer les mots de passe et maintenir leur complexité.

Nous réalisons au moins des évaluations annuelles des risques pour identifier toute menace potentielle, y compris les considérations liées à la fraude.

Les risques des fournisseurs sont évalués et les examens appropriés des fournisseurs sont réalisés avant d'autoriser un nouveau fournisseur.