Déclaration de sécuritéIntroductionEn tant que fournisseur de logiciels en ligne, Systèmes Acquiro, Inc. s'engage à fournir des logiciels hautement sécurisés et fiables. Notre plate-forme SaaS est hébergée dans un centre de données de pointe. De plus, nos programmeurs utilisent des technologies et des techniques de sécurité éprouvées et à la fine pointe de la technologie afin de protéger de façon optimale tous les systèmes, données et informations contre les accès non autorisés. Centre de donnéesNos serveurs sont hébergés sur Amazon AWS dans la région Canada Centre située près de Montréal, Québec, Canada. Toutes les données d'Interceptum sont stockées exclusivement sur nos serveurs canadiens; elles ne flottent pas dans le "nuage". Sécurité Physique:
Fiabilité Physique:
Conformité et accréditations
Des informations plus détaillées sur les contrôles des centres de données AWS d'Amazon sont disponibles ici : Contrôles AWS. De plus, toutes les données sont traitées à cet emplacement et ne sont jamais déplacées vers une autre juridiction. En d'autres termes, toutes les données sont collectées au Canada, toutes les données sont traitées au Canada. SécuritéSécurité des serveursSeuls les employés autorisés de Systèmes Acquiro peuvent accéder aux serveurs. Nos experts en sécurité corrigent régulièrement nos serveurs pour toute nouvelle vulnérabilité révélée. L'accès à nos serveurs est limité à des personnes spécifiques, dont l'accès est surveillé et audité pour la conformité. Sécurité des donnéesLes services Interceptum sont protégés par une authentification forte et une autorisation pour garantir que seuls les utilisateurs autorisés peuvent accéder et modifier les données. Chaque utilisateur de votre compte Interceptum a un nom d'utilisateur et un mot de passe unique. Les services Interceptum utilisent un cookie de session uniquement pour enregistrer les informations d'authentification cryptées pendant la durée d'une session spécifique. Le cookie de session n'inclut ni le nom d'utilisateur ni le mot de passe de l'utilisateur. Interceptum n'utilise pas de cookies pour stocker d'autres informations confidentielles sur les utilisateurs et les sessions, mais implémente à la place des méthodes de sécurité plus avancées basées sur des données dynamiques et des identifiants de session codés. Audit d'informationLes services Interceptum offrent également des capacités d'audit complètes, de sorte que toute modification des données peut être retracée jusqu'à l'utilisateur qui a effectué le changement. Conservation des données / copies de sauvegardeSystèmes Acquiro crée une copie de sauvegarde de nuit tous les jours vers 3h00 HE. Systèmes Acquiro préserve les sauvegardes pendant une période de 180 jours. Après 180 jours, les sauvegardes sont définitivement supprimées et les données ne peuvent plus être récupérées. Systèmes Acquiro stocke les copies de sauvegardes sur un serveur distant sécurisé séparé des serveurs opérationnels exécutant les services Interceptum pour s'assurer qu'aucune donnée n'est perdue en cas de défaillance catastrophique des serveurs opérationnels. Les serveurs de sauvegarde sont situés dans la même juridiction que les serveurs opérationnels. Destruction des donnéesSystèmes Acquiro détruit définitivement toutes les données supprimées via l'interface graphique des services Interceptum ou les services Web et les API après 180 jours une fois la suppression effectuée à l'aide des services. Une fois la suppression effectuée, les données sont immédiatement inaccessibles via les serveurs opérationnels. Les données supprimées ne seront disponibles que via les copies de sauvegarde quotidiennes jusqu'à ce que les copies de sauvegarde soient définitivement supprimées. CryptageSystèmes Acquiro utilise un cryptage fort à la pointe de la technologie lorsque les services Interceptum sont utilisés par des utilisateurs ou des systèmes distants utilisant nos services Web et API. Toutes les connexions sont cryptées en utilisant le cryptage TLS (Transport Layer Security) (également connu sous le nom de HTTPS ou SSL) avec un cryptage fort et des certificats SSL avec des clés de 2048 bits. Nous corrigeons régulièrement nos serveurs lorsque des vulnérabilités liées aux connexions TSL / SSL sont divulguées. Voir le rapport SSL pour plus d'informations sur les spécificités de notre installation SSL. (https://www.ssllabs.com/ssltest/analyze.html?d=interceptum.com) Contrôles d'accès basés sur l'adresse IP (Internet Protocol) L'accès aux services Interceptum pour les comptes clients individuels peut être limité à certaines plages d'adresses IP ou peut être refusé pour certaines plages d'adresses IP. Contactez le support pour plus d'informations sur la façon dont cela peut être activé pour votre compte. Sécurité lors du développementMeilleures pratiques de sécuritéL'équipe de développement logiciel Systèmes Acquiro suit toujours les meilleures pratiques pour mettre en œuvre des contrôles de sécurité et de confidentialité solides dans les services Interceptum. Nous suivons toutes les recommandations du Open Web Application Security Project (voir https://www.owasp.org). Révisions de codeAvant que du nouveau code ne soit déployé sur des serveurs opérationnels, les modifications au code font l'objet d'un processus rigoureux d'examen par les pairs afin de garantir que les meilleures pratiques de sécurité ont été respectées. Les vérifications de code portent sur les vulnérabilités d’injection SQL, les vulnérabilités de type Cross-Site Scripting (XSS), etc. Tests d'assurance qualitéEn plus des révisions de code, tout changement de code passe par un processus interne approfondi de test d'assurance qualité. DivulgationSystèmes Acquiro maintient une politique de divulgation complète des événements pour les incidents de sécurité qui affectent les données client. En cas d'incident de sécurité affectant vos données, une notification sera envoyée à votre administrateur de compte. Sécurité des ressources humainesEnquêtes de sécuritéSystèmes Acquiro effectue des vérifications des antécédents de tous les employés au moment de l'embauche (dans la mesure permise par la loi) et exige que des accords de non-divulgation et / ou de confidentialité soient signés par tout le personnel. Les politiques de Systèmes Acquiro interdisent aux employés d'utiliser des informations confidentielles (y compris des données clients) à d'autres fins que pour des raisons professionnelles légitimes, telles que le soutien technique, et cette obligation continue après la fin de leur emploi. Le défaut de l'employé ou d’un contracteur de coopérer pleinement lors de la vérification des antécédents ou de toute malhonnêteté ou omission de l'information concernant la vérification des antécédents par un employé amène leur exclusion professionnelle de chez Systèmes Acquiro. Termes d'emploiSystèmes Acquiro exploite un processus d'intégration comprenant au minimum les étapes suivantes:
FormationUne formation générale sur la sécurité de l'information est obligatoire pour tous les nouveaux employés (à temps plein et temporaire) dans le cadre de leur intégration. Une exigence de formation annuelle obligatoire en matière de sécurité et de protection de la vie privée permet aux employés d'actualiser leurs connaissances et leur compréhension. Le personnel de développement et d'opérations SaaS reçoit une formation complémentaire spécifique au développement de produits, au déploiement et à la gestion d'applications sécurisées. Une formation supplémentaire sur la sécurité est également offerte aux employés qui traitent les données des clients. Cessation d'emploiSystèmes Acquiro maintient un processus formel de résiliation ou de changement d'emploi qui, immédiatement après la cessation ou le changement d'emploi, exige le retour de tous les actifs de Systèmes Acquiro ou de Clients, désactive ou ajuste les droits d'accès et rappelle aux ex-employés et ex-contractants les restrictions d'emploi restantes et obligations contractuelles. Tous les accès (logiques et physiques) sont terminés au plus tard à la date de cessation d’emploi. |