Sécurité organisationnelle
Programme de sécurité de l'information
Nous avons mis en place un programme de sécurité de l'information qui est communiqué à l'ensemble de l'organisation. Notre programme de sécurité de l'information suit les critères définis par le cadre de la norme ISO 27001. L’ISO 27001 est une norme de sécurité de l'information largement reconnue.
Audits tiers
Notre organisation est soumise à des évaluations indépendantes par des tiers pour tester nos contrôles de sécurité et de conformité.
Tests d’intrusion tiers
Nous effectuons un test d’intrusion tiers indépendant au moins une fois par an pour nous assurer que la sécurité de nos services n’est pas compromise.
Rôles et responsabilités
Les rôles et responsabilités liés à notre programme de sécurité de l'information et à la protection des données de nos clients sont bien définis et documentés. Les membres de notre équipe sont tenus d'examiner et d'accepter toutes les politiques de sécurité.
Formation de sensibilisation à la sécurité
Les membres de notre équipe sont tenus de suivre une formation de sensibilisation à la sécurité des employés couvrant les pratiques standard de l'industrie et des sujets de sécurité de l'information tels que le phishing et la gestion des mots de passe.
Confidentialité
Tous les membres de l'équipe sont tenus de signer et de respecter un accord de confidentialité standard de l'industrie avant leur premier jour de travail.
Vérification des antécédents
Nous vérifiions les antécédents de tous les nouveaux membres de l'équipe conformément aux lois locales.
Sécurité cloud
Sécurité des infrastructures cloud
Tous nos services sont hébergés chez Amazon Web Services (AWS). Ce service utilise un programme de sécurité robuste à authentification multifacteur. Pour plus d'informations sur les processus de sécurité de notre fournisseur, veuillez consulter AWS Security.
Sécurité de l'hébergement des données
Toutes nos données sont hébergées sur des bases de données Amazon Web Services (AWS). Ces bases de données sont toutes situées au sein de l'UE. Veuillez consulter la documentation spécifique au fournisseur pour plus d'informations (lien ci-dessus).
Chiffrement au repos
Toutes les bases de données sont chiffrées au repos.
Chiffrement en transit
Nos applications chiffrent en transit avec TLS/SSL uniquement.
Analyse de vulnérabilité
Nous effectuons une analyse des vulnérabilités et surveillons activement les menaces.
Journalisation et surveillance
Nous surveillons et enregistrons activement divers services cloud.
Continuité des activités et reprise après sinistre
Nous utilisons les services de sauvegarde de notre fournisseur d'hébergement de données pour limiter tout risque de perte de données en cas de panne matérielle. Nous utilisons des services de surveillance pour alerter l'équipe en cas de défaillance affectant les utilisateurs.
Réponse aux incidents
Nous avons un processus de gestion des événements de sécurité de l'information qui comprend des procédures d'alerte de la hiérarchie ainsi qu’une atténuation et une communication rapides.
Sécurité d'accès
Autorisations et authentification
L'accès à l'infrastructure cloud et aux autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.
Le cas échéant, nous avons une authentification unique (SSO), une authentification à 2 facteurs (2FA) et des politiques de mots de passe solides pour garantir la protection de l'accès aux services cloud.
Contrôle d'accès suivant le principe du moindre privilège
Nous suivons le principe du moindre privilège en ce qui concerne la gestion des identités et des accès.
Examens d'accès trimestriels
Nous effectuons des examens d'accès trimestriels de tous les membres de l'équipe ayant accès aux systèmes sensibles.
Exigences relatives au mot de passe
Tous les membres de l'équipe sont tenus de respecter un ensemble minimal d'exigences de mot de passe et de complexité d'accès.
Gestionnaires de mots de passe
Tous les ordinateurs portables fournis par l'entreprise utilisent un gestionnaire de mots de passe pour les membres de l'équipe afin de gérer les mots de passe et de maintenir leur complexité.
Gestion des fournisseurs et des risques
Évaluations annuelles des risques
Nous effectuons au moins une évaluation des risques par an pour identifier toute menace potentielle, y compris les risques de fraude.
Gestion du risque fournisseur
Le risque est déterminé et des examens appropriés sont effectués avant d'autoriser un nouveau fournisseur.
Contactez-nous
Si vous avez des questions, des commentaires ou des préoccupations, ou que vous souhaitez signaler un problème de sécurité potentiel, veuillez contacter security@easytranslate.com.