Sécurité organisationnelle
Programme de sécurité de l'information
Nous avons mis en place un programme de sécurité de l'information qui est communiqué à l'ensemble de l'organisation. Notre programme de sécurité de l'information suit les critères définis par le cadre SOC 2. SOC 2 est une procédure d'audit de sécurité de l'information largement connue et créée par l'American Institute of Certified Public Accountants.
Audits de tiers
Notre organisation est soumise à des évaluations indépendantes de tiers pour tester nos contrôles de sécurité et de conformité.
Tests d'intrusion de tiers
Nous réalisons au moins annuellement une intrusion de tiers indépendante pour garantir que la posture de sécurité de nos services n'est pas compromise.
Rôles et responsabilités
Les rôles et les responsabilités liés à notre programme de sécurité de l'information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus de passer en revue et d'accepter toutes les politiques de sécurité.
Formation à la sensibilisation à la sécurité
Les membres de notre équipe sont tenus de suivre une formation à la sensibilisation à la sécurité des employés couvrant les pratiques standard de l'industrie et des sujets de sécurité de l'information tels que le hameçonnage et la gestion des mots de passe.
Confidentialité
Tous les membres de l'équipe doivent signer et respecter un accord de confidentialité standard de l'industrie avant leur premier jour de travail.
Vérifications des antécédents
Nous effectuons des vérifications des antécédents sur tous les nouveaux membres de l'équipe conformément aux lois locales.
Sécurité Cloud
Sécurité de l'infrastructure Cloud
Tous nos services et stockages de données sont hébergés sur Google Cloud Platform (GCP) et MUX. Ils mettent tous les deux en œuvre un programme de sécurité robuste avec de multiples certifications. Pour plus d'informations sur les processus de sécurité de nos fournisseurs, veuillez visiter Sécurité GCP et MUX
Sécurité de l'hébergement des données
Toutes nos données sont hébergées sur les bases de données GCP et MUX. Ces bases de données sont toutes situées aux États-Unis. Veuillez consulter la documentation spécifique des fournisseurs liée ci-dessus pour plus d'informations.
Chiffrement au repos
Toutes les bases de données sont chiffrées au repos.
Chiffrement en transit
Nos applications chiffrent en transit uniquement avec TLS/SSL.
Journalisation et surveillance
Nous surveillons activement et journalisons divers services cloud.
Continuité des activités et reprise après sinistre
Nous utilisons les services de sauvegarde de notre fournisseur d'hébergement des données pour réduire tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l'équipe en cas de défaillances affectant les utilisateurs.
Gestion des incidents
Nous avons un processus pour gérer les événements de sécurité de l'information qui comprend des procédures d'escalade, une atténuation rapide et une communication.
IA
Nous utilisons des systèmes d'IA qui nécessitent des données pour l'analyse, mais nous désactivons toutes les autorisations de formation de données. Nous configurons tous les paramètres de confidentialité pour protéger les données des clients. Pour plus de détails, veuillez consulter les politiques des fournisseurs suivants : OpenAI Enterprise, OpenAI Trust et VertexAI
Isolation des données
Nous utilisons un Cloud Privé Virtuel (VPC) pour tous les services et données que nous gérons, les isolant des autres utilisateurs de notre fournisseur de cloud et d'Internet dans son ensemble.
Au sein de notre VPC, nous sommes architecturés comme un environnement multi-locataire partagé. Les données de plusieurs clients peuvent être combinées dans une seule base de données ou un compte de stockage cloud et traitées sur une ressource de calcul partagée.
Pour l'accès des clients via notre application, l'architecture d'accès aux données de notre service garantit que les données transmises en dehors de notre VPC sont limitées à celles auxquelles l'utilisateur authentifié a été autorisé à accéder, en fonction des rôles RBAC accordés par le client.
Sécurité de l'accès
Autorisations et authentification
L'accès à l'infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.
Lorsque disponible, nous utilisons l'authentification à deux facteurs (2FA) et des politiques de mots de passe robustes pour garantir la protection des accès aux services cloud.
Contrôle d'accès privilégié minimal
Nous suivons le principe du contrôle d'accès privilégié minimal en ce qui concerne l'identité et la gestion des accès.
Examens d'accès trimestriels
Nous effectuons des examens d'accès trimestriels de tous les membres de l'équipe ayant accès à des systèmes sensibles.
Exigences en matière de mots de passe
Tous les membres de l'équipe doivent respecter un ensemble minimum d'exigences de mots de passe et de complexité pour les accès.
Gestionnaires de mots de passe
Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour que les membres de l'équipe puissent gérer les mots de passe et maintenir leur complexité.
Gestion des fournisseurs et des risques
Évaluations annuelles des risques
Nous réalisons au moins des évaluations annuelles des risques pour identifier toute menace potentielle, y compris les considérations liées à la fraude.
Gestion des risques des fournisseurs
Les risques des fournisseurs sont évalués et les examens appropriés des fournisseurs sont réalisés avant d'autoriser un nouveau fournisseur.
Contactez-nous
Si vous avez des questions, des commentaires ou des préoccupations ou si vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter [email protected]