CONFIANCE ET SÉCURITÉ

Ce document décrit l’approche adoptée par Sourcepoint en matière de protection des données personnelles, de sécurité et de conformité sur son portefeuille de produits. Sont incluses des informations détaillées sur nos pratiques en matière de protection des données personnelles et de sécurité, y compris nos dispositifs de contrôle organisationnels et techniques visant à protéger la confidentialité, l’intégrité, la disponibilité et la résilience des données de l’entreprise et des clients. 

 

Une équipe spécialisée 

Forts de plus de 35 ans d’expérience professionnelle, le Chief Privacy Counsel et le Directeur de la Sécurité de l’Information de Sourcepoint mettent tout en œuvre pour s’assurer que Sourcepoint maintienne une culture en matière de protection des données personnelles et de sécurité qui aille au-delà de la simple conformité. 

Formation et sensibilisation 

Une sensibilisation à la sécurité et à la protection des données personnelles est réalisée au moins une fois par an. Le personnel de Sourcepoint suit une formation dans le cadre de l’intégration dans la société, puis à intervalles réguliers, jusqu’à une fois par trimestre. Une formation spécialisée en fonction du rôle dans l’entreprise est dispensée aux principales parties prenantes, notamment aux développeurs de logiciel et aux cadres supérieurs. 

Gestion des vulnérabilités et des correctifs 

Le programme de gestion des vulnérabilités et des correctifs de Sourcepoint consiste en la mise en place de tests annuels de pénétration réalisés par un tiers indépendant, d’un contrôle des vulnérabilités du réseau et des applications, ainsi que de correctifs mensuels pour les vulnérabilités considérées comme élevées ou critiques. 

Prévention des logiciels malveillants 

Les terminaux des utilisateurs sont configurés avec des solutions contre les logiciels malveillants approuvées par l’entreprise qui sont mises à jour régulièrement. Enregistrement et surveillance  Sauf disposition contraire dans les directives réglementaires, les logs des systèmes de production sont conservés pendant 90 jours minimum. Les logs sont protégés contre tout accès, modification ou destruction non autorisé(e). Ils sont passés en revue périodiquement et configurés pour générer des alertes lorsqu’une mesure de limitation des risques immédiate pourrait s’avérer nécessaire. 

Gestion des incidents 

Sourcepoint dispose d’un programme documenté d’intervention en cas d’incident qui comprend au minimum une formation annuelle de l’ensemble du personnel sur leurs responsabilités de signaler toute faiblesse ou vulnérabilité en matière de sécurité. Le processus fournit des conseils sur les obligations de notification des clients qui respectent, voire dépassent toutes les exigences réglementaires. 

Contrôle d’accès 

Les pratiques de contrôle d’accès de Sourcepoint sont fondées sur les principes du moindre privilège et de l’accès sélectif. Une authentification forte, dont notamment une authentification à plusieurs facteurs, une détection des mots de passe piratés et des examens trimestriels de l’accès minimisent le risque de tout accès non autorisé aux ressources protégées. 

Gestion des risques des tiers 

Les fournisseurs tiers de Sourcepoint sont évalués conformément aux normes de sécurité et de protection des données personnelles de Sourcepoint, en tenant toujours compte des cas d’utilisation et des données consultées ou traitées. Sourcepoint travaille uniquement avec des fournisseurs tiers qui répondent à ces critères. 

Développement de logiciel 

Sourcepoint a recours à une méthodologie de développement de logiciel agile dont les différentes phases incluent la conception, le développement, l’assurance qualité et le déploiement. L’intégralité du code d’application est contrôlée par des pairs à des fins de qualité et de sécurité. Les applications web sont développées selon les meilleures pratiques de codage sécurisées, y compris, mais sans s’y limiter, pour éviter les dix plus grands risques en matière de sécurité des applications de l’OWASP. Les environnements de production et de non-production sont isolés de manière logique ou physique. 

Gestion des changements 

Tous les changements apportés au système, aux applications ou au réseau de Sourcepoint sont étudiés et approuvés dans le cadre de la gestion des changements. La valeur et l’impact ainsi que le risque potentiel pour l’entreprise de tous les changements sont évalués. 

Sauvegardes et continuité de l’activité 

Des sauvegardes complètes des bases de données sont réalisées au moins une fois par jour. Les sauvegardes sont chiffrées et conservées pendant une durée maximale de treize mois.  Les plans de continuité de l’activité sont passés en revue et testés au moins une fois par an. Les environnements de production sont souvent hébergés sur plusieurs zones de disponibilité afin de garantir la continuité des services en cas d’indisponibilité d’une zone ou d’un centre de données. 

Attestation de tiers 

Dans le cadre de son engagement à aider ses clients à bénéficier d’une sécurité des informations et d’une gestion de la protection des données personnelles du plus haut niveau, Sourcepoint maintient ses accréditations ISO/IEC 27001 et 27701, qui font l’objet d’un audit annuel. 

Minimisation/conservation des données 

Sourcepoint met tout en œuvre pour limiter la collecte et la conservation de données d’identification au minimum nécessaire. Sourcepoint a recours à des techniques d’anonymisation et de dépersonnalisation afin de réduire les risques de divulgation non autorisée ou accidentelle. Les données d’identification ne sont conservées que pendant la durée nécessaire et conformément aux lignes directives réglementaires applicables.

Le rôle de sous-traitant de Sourcepoint 

Au titre d’importateur de données et de sous-traitant, Sourcepoint traitera les adresses IP afin de déterminer l’emplacement géographique des visiteurs des sites de ses clients. Les informations de géolocalisation des visiteurs des sites web clients sont exclusivement traitées afin de pouvoir afficher les messages spécifiques à la zone géographique en question. Un UUID généré de manière aléatoire sera assigné aux visiteurs des sites clients à des fins de configuration des décisions de consentement uniquement. 

Nous contacter 

Veuillez adresser toutes les demandes d’informations relatives à la sécurité à informationsecurity@sourcepoint.com et les demandes relatives à la protection des données personnelles à privacy@sourcepoint.com.

 

Let's explore what we can do together.

We'll be in touch within 48 hours

    First name *

    Last name *

    Email address *

    Company *

    Message *

    * indicates required fields