Engagement en matière de sécurité de l'information

Notre engagement envers la sécurité de l’information

Chez Salesupply, nous nous engageons à protéger vos données et à garantir une sécurité de l’information et une conformité en matière de confidentialité robustes. Ce guide interactif décrit notre approche et les mesures que nous avons mises en œuvre pour protéger les informations qui nous sont confiées. Explorez nos piliers de sécurité ci-dessous.

Notre cadre de sécurité

Cette section présente les politiques, la gouvernance et les certifications fondamentales qui constituent l’épine dorsale de notre système de gestion de la sécurité de l’information (ISMS). Cliquez sur chaque sujet pour en savoir plus.

Politiques formelles

Nous avons une politique de sécurité de l’information clairement documentée, approuvée par notre conseil d’administration le 8 janvier 2021. Cette politique est distribuée via un système en ligne et est obligatoire pour tout le personnel de Salesupply. Elle sera révisée annuellement. Nos accords de traitement des données (DPAs) avec les clients et les sous-traitants définissent davantage nos engagements en matière de protection des données et de confidentialité.

Gestion des risques

Notre politique de sécurité de l’information stipule que les risques identifiés sont soumis à une évaluation des risques, et que le plan d’évaluation et de traitement des risques est élaboré sur la base des directives ISO 27005.

Responsabilité dédiée

Le conseil d’administration est responsable de la politique de sécurité de l’information. Le responsable de la sécurité de l’information (CTO) est chargé de maintenir et de coordonner le système de gestion de la sécurité de l’information (ISMS).

Certifications

Nos serveurs sont hébergés dans des centres de données certifiés ISO 27001, garantissant les normes les plus élevées en matière de sécurité physique et environnementale.

Protection des données: mesures organisationnelles

Nos employés et nos processus sont fondamentaux pour notre posture de sécurité. Nous détaillons ici les contrôles organisationnels que nous avons mis en place pour protéger vos données tout au long de leur cycle de vie.

Vérification des employés et confidentialité

Des vérifications des antécédents sont effectuées sur les nouveaux employés, y compris l’obtention de références professionnelles. Tous les employés signent des contrats de travail qui incluent des clauses de confidentialité et un accusé de réception de la politique de sécurité de l’information. Tout le personnel est responsable de la protection des informations et de la signalement des incidents de sécurité. Des accords de non-divulgation (NDAs) sont utilisés avec nos partenaires.

Droit d’audit

Nos accords de traitement des données incluent des droits d’audit pour le contrôleur (notre client) afin de vérifier la conformité, avec un préavis raisonnable et sans frais supplémentaires, conformément à l’accord.

Gestion des actifs et élimination sécurisée

Tous les actifs d’information sont enregistrés et ont des propriétaires attitrés. L’élimination sécurisée des supports est effectuée conformément aux procédures documentées pour éviter les fuites de données provenant d’actifs retirés.

Gestion des incidents

Notre politique de sécurité de l’information détaille la gestion des incidents, y compris les canaux de signalement, l’enquête et la communication aux parties concernées. Nos accords de traitement des données exigent que Salesupply notifie le contrôleur sans retard injustifié après avoir pris connaissance d’une violation de données personnelles.

Diligence raisonnable des fournisseurs

Nos accords de traitement des données soulignent l’exigence pour Salesupply de s’assurer que les sous-traitants se conforment aux réglementations en matière de protection des données et d’informer le contrôleur des changements prévus concernant les sous-traitants. La politique de sécurité de l’information stipule que « les fournisseurs qui traitent les actifs d’information de Salesupply ou de ses clients doivent se conformer aux exigences de cette politique ».

Continuité des activités

Un plan de continuité des activités (BCP) est en place pour minimiser l’interruption des services en cas d’événements inattendus, garantissant la résilience et la disponibilité de nos services.

Mesures de sécurité techniques robustes

Nous utilisons une approche technique à plusieurs niveaux pour protéger nos systèmes et vos données contre les menaces. Vous trouverez ci-dessous les principaux contrôles techniques que nous avons mis en œuvre.

Sécurité des points de terminaison

Le chiffrement complet du disque (BitLocker) est mis en œuvre sur tous les ordinateurs portables à l’aide d’un minimum d’AES-256. Tous les supports amovibles sont désactivés. L’utilisation d’appareils mobiles privés à des fins professionnelles n’est pas autorisée. Les utilisateurs réguliers n’ont pas de droits d’administrateur local sur leurs ordinateurs.

Sécurité physique

Les bureaux de Salesupply sont équipés de systèmes de sécurité, de systèmes d’alarme, de vidéosurveillance et de contrôle d’accès par cartes-clés. Nos centres de données certifiés ISO 27001 disposent de contrôles d’accès physique, de surveillance et d’alarmes.

Sécurité du réseau

Les pare-feu contrôlent le trafic réseau et bloquent l’accès non autorisé. Séparation des environnements (développement, test, production).nLes réseaux sans fil sont sécurisés à l’aide de WPA2-Enterprise et le contrôle d’accès au réseau (NAC) est utilisé pour vérifier l’autorisation des appareils et restreindre l’accès aux appareils autorisés.

Protection contre les logiciels malveillants

Une protection avancée contre les logiciels malveillants (antivirus, anti-logiciels espions) est installée sur tous les serveurs et points de terminaison et est continuellement mise à jour.

Communications sécurisées

Des solutions d’accès à distance sécurisé (par ex., VPN) avec authentification multifacteur (MFA) sont utilisées pour l’accès à distance au réseau de l’entreprise. L’accès aux interfacs d’administration et aux comptes privilégiés est restreint et surveillé. Des méthodes de transfert de données sécurisées, y compris des connexions chiffrées (VPN, SSL/TLS) et SFTP, sont utilisées pour l’échange de données avec des tiers.

Détection d’intrusion

Des systèmes de détection et de prévention des intrusions (IDS/IPS) sont mis en œuvre pour surveiller le trafic réseau afin de détecter les activités malveillantes et les violations de politiques.

Durcissement du système

Les systèmes sont configurés conformément aux meilleures pratiques de l’industrie et aux bases de sécurité (par exemple, CIS Benchmarks, NIST) pour réduire leur surface d’attaque.

Journalisation et surveillance

Les journaux système et les pistes d’audit sont conservés pour les systèmes et applications critiques afin de détecter les incidents de sécurité et les activités inhabituelles. La journalisation des données personnelles est minimisée et traitée conformément aux politiques de confidentialité. Les journaux sont révisés régulièrement.

Sauvegarde et disponibilité des données

Des sauvegardes régulières des données et des systèmes critiques sont effectuées. L’intégrité et la restaurabilité des sauvegardes sont régulièrement testées. La redondance pour les systèmes critiques et les composants de l’infrastructure est mise en œuvre pour garantir une haute disponibilité.