Aperçu général concernant la sécurité et la confidentialité des informations

En tant que premier réseau mondial spécialisé dans les risques et les performances au niveau de la chaîne d'approvisionnement, nous considérons que la confidentialité, l'intégrité et l'accès concernant vos données sont essentiels. Notre objectif est de vous aider à garder une longueur d'avance face aux risques. Nous mettons tout en œuvre pour que votre entreprise puisse opérer à la fois de manière plus sûre et plus efficace. Nous optimisons vos performances. Vous méritez le meilleur et nous sommes les seuls au monde à pouvoir l'offrir.

Last updated: November 2021

Introduction

Veriforce s'engage à garantir la confidentialité, l'intégrité et l'accès à l'égard de toutes vos données. Nous appliquons des normes internationales reconnues telles que l'ISO 27001 et le SOC2 pour illustrer notre engagement. Ces normes exigent des audits réguliers menés par des organismes indépendants qui sont là pour garantir notre conformité. Nos équipes dédiées à la conformité et aux risques ainsi qu'à l'ingénierie et aux RH veillent au respect des programmes de sécurité et de confidentialité.

Termes et définitions

ISMS - Système de gestion de la sécurité de l'information
ISO - Organisation internationale de normalisation
SOC - Contrôle des services et des organisations

Sécurité concernant les centres de données au sein du nuage informatique (Cloud)

L'infrastructure sur laquelle repose Veriforce est hébergée par Amazon Web Services, notre principal fournisseur d'infrastructure en tant que service (IaaS), et est située au Canada.

Sécurité physique

Tous les locaux doivent être accessibles au moyen d'un badge et situés dans des bâtiments dotés de services de sécurité spécifiques, notamment de caméras de surveillance. Des contrôles de sécurité supplémentaires sont en place dans les zones réservées aux serveurs et aux réseaux. L’accès aux badges est géré par notre département RH.

Tous les visiteurs doivent signer un registre à leur arrivée et à leur départ, et ce, sous la surveillance de leur accompagnateur. Les visiteurs ne sont autorisés que dans les zones communes telles que les salles de conférence et les salles de réunion. Les registres de présence sont passés en revue tous les 90 jours.

Protection des données

Toutes les données sont cryptées pendant le stockage et le transit grâce à des technologies de pointe. Les clés de chiffrement pour les applications web sont gérées par AWS et les bases de données ainsi que les réseaux locaux sont gérés au niveau local. Des processus sont en place pour gérer le cycle des clés de chiffrement et ces dernières sont renouvelées au moins tous les deux ans.

Sécurité des terminaux

Tous les employés sont tenus d'utiliser uniquement les ordinateurs portables fournis par l'entreprise. Ces ordinateurs portables sont cryptés et équipés de solutions antivirus. Des contrôles techniques empêchent l'altération des logiciels de sécurité et les lecteurs de médias amovibles sont désactivés. Aucun logiciel non autorisé ne peut être installé et les employés ne possèdent pas les droits d'accès pour modifier les réglages liés à la sécurité paramétrés par l'entreprise. Des protocoles pour garantir l'utilisation de mots de passe complexes ainsi qu'une durée de validité maximale sont également en place.

Sécurité des réseaux

Toutes les passerelles au sein de nos réseaux sont protégées par des pares-feux et des WAFS. Les systèmes de détection et de prévention des intrusions (IDS/IPS) surveillent le trafic pour détecter tout signe d'intrusion, de logiciel malveillant ou d'abus de réseau. La journalisation et la surveillance de l'activité se font à l'aide d'un fournisseur externe spécialisé en sécurité, disponible 24 heures sur 24 et 7 jours sur 7. Des protocoles de recours hiérarchique sont également en place.

Des analyses pour savoir si nous sommes vulnérables sont effectuées en permanence et des tests permettant de détecter les intrusions sont réalisés chaque année par un organisme indépendant qualifié. Les problèmes de sécurité identifiés lors des analyses et des tests sont résolus et des mises à jour sont apportées tous les mois. Les réseaux Wifi (y compris les réseaux domestiques des employés) utilisent le cryptage WAP2.

Courriers électroniques

Veriforce applique les normes les plus strictes en ce qui concerne la sécurité relative aux courriels. Pour ce faire, nous utilisons une solution basée sur le nuage informatique (Cloud) qui analyse et vérifie les messages électroniques afin de détecter toute menace ou tout logiciel malveillant. Tous les employés ont reçu une formation concernant les courriers électroniques dès leur entrée en fonction. Des séances de remise à niveau sont régulièrement organisées. Des campagnes simulant des tentatives d’hameçonnage sont régulièrement menées et une formation supplémentaire est fournie aux employés qui échouent aux tests. Les employés ne peuvent utiliser leur messagerie professionnelle que dans le cadre de leur travail. Un système de prime a été mis en place pour récompenser les employés qui signalent la présence de courriels suspects.

Gestion de l'accès

Une vérification des antécédents est requise pour tous les nouveaux employés. Ces derniers sont également tenus d'accepter le code de conduite de notre entreprise ainsi que les accords de confidentialité en vigueur. Les employés doivent également suivre une formation sur la sécurité et la confidentialité requise au niveau des données dans les 30 jours suivant leur recrutement. D'autres cours obligatoires sur la sécurité sont assignés chaque mois et un suivi est assuré pour veiller à ce qu'ils soient complétés.

Veriforce suit un processus strict avant de donner ou de retirer l'accès à ses ressources afin d'assurer la séparation entre les demandes d'accès, les modifications et les ruptures de contrats. Toutes les demandes sont suivies jusqu'à ce qu'elles aboutissent. Les demandes concernant les ruptures de contrats sont traitées dans les 24 heures.

L'accès de nos employés, à nos locaux ou à notre réseau informatique, est contrôlé et les registres de présence sont examinés tous les trimestres. Nos responsables vérifient régulièrement les accès afin de s'assurer que tous les employés se plient à la procédure en place. Veriforce a adopté des horaires de travail polyvalents qui permettent à certains employés de travailler à la fois à distance et à temps partiel et à d'autres de travailler à distance et à temps plein. Une politique sur le travail à domicile a été mise en place afin de veiller à ce que tous les employés respectent les critères de base requis pour assurer la sécurité et la protection des données.

Développement de logiciels - Cycle de vie sécurisé

La norme SDLC (Software Development Lifecycle) de Veriforce intègre des mesures en matière de sécurité qui s'appliquent à l'ensemble des processus requis lors de la planification, du développement et de la mise en service de nos plates-formes. Nous faisons l'objet d'un audit externe annuel effectué selon la norme SOC2. Vous pouvez consulter à tout moment les rapports des audits SOC2 de type II.

Capacité de réaction aux incidents

Veriforce dispose d'une procédure permettant de faire face à différents types d'incidents. Cette procédure est mise à jour et testée régulièrement. Veriforce a à sa disposition une équipe d'experts médico-légaux et juridiques pour l'aider à gérer et à résoudre n'importe quel type d'incident. Les rôles et les responsabilités en cas d'incident sont clairement définis. Tous les incidents sont répertoriés et font l'objet d'un suivi jusqu'à ce qu'une solution soit trouvée. Enfin, cette procédure inclut une analyse complète permettant de trouver la cause de chaque incident et prévoit l'envoi de notification pour alerter tous les clients concernés.

Continuité des activités et reprise après sinistre

Veriforce a mis en place des procédures officielles régulièrement mises à jour en matière de continuité des activités et de reprise après sinistre. Ces procédures prévoient une série de scénarios variés qui ont pour but de nous préparer à faire face aux catastrophes naturelles et aux pandémies. Des tests relatifs à la continuité des activités et à la reprise après sinistre sont effectués chaque année.

Sauvegarde et restauration

Veriforce a établi un programme officiel en ce qui concerne les sauvegardes avec la mise en place à la fois de sauvegardes incrémentielles quotidiennes et de sauvegardes complètes hebdomadaires. Les sauvegardes sont cryptées et stockées en dehors du site pour garantir leur accès et leur sécurité. Les sauvegardes sont également testées régulièrement pour garantir leur intégrité.

Cyberassurance

Veriforce est couvert par une police d'assurance parfaitement adaptée aux incidents liés à la cybersécurité et travaille en étroite collaboration avec ses compagnies d'assurance pour respecter toutes les conditions préalables ainsi que les exigences en matière de protection.

Gestion des fournisseurs

Veriforce a mis en place une procédure concernant la gestion des fournisseurs. Cette procédure prévoit une évaluation des risques pour tous les fournisseurs, nouveaux ou existants, afin de s'assurer qu'ils répondent à nos exigences en matière à la fois de sécurité des informations et de respect de la vie privée. Des accords et des contrats de traitement de données (le cas échéant) sont en place. Une liste de tous les fournisseurs et prestataires de services engagés dans le traitement secondaire des données est tenue à jour et mise à la disposition de nos clients.

Sous-processeur Objectif du traitement Localisation des données
AWS Hébergement des infrastructures Canada
Asana Gestion des projets Etats-Unis
Marker Outils destinés aux webinaires Etats-Unis
Celeritas Tech Support informatique Canada
ComplyWorks South Africa Services de soutien à la clientèle Afrique du Sud
Constant Contact Commercialisation et communication avec les entrepreneurs Etats-Unis
Elavon Traitement des paiements par carte de crédit Canada and Etats-Unis
Google Translate Traduction des communications via clavardage/chat Etats-Unis
Google Workspace Gestion des données Etats-Unis
GitLab Communication interne Etats-Unis
Netsuite Logiciel comptable Etats-Unis
Ring Central Assistance technique via les centres d'appels Etats-Unis
Salesforce & Marketing Cloud Gestion de la relation client
(basée au Canada, accessible depuis le Canada et les États-Unis)
Canada et les États-Unis
Slack Communication interne Etats-Unis
Strikedeck Analyse des données Etats-Unis
Veriforce Activités de support client Etats-Unis
Wordpress Recrutement des clients via le site Web Etats-Unis
Zendesk Soutien au client Etats-Unis

Confidentialité des données

Veriforce est un processeur et non un contrôleur de données. Veriforce traite les données de ses clients uniquement selon les instructions et les dispositions contractuelles passées avec eux. Veriforce ne vendra, ne distribuera et ne mettra jamais à disposition les données privées de ses clients. Veriforce a mis en place un programme de protection des données au niveau international qui est appliqué à toutes les opérations et qui a été conçu pour se conformer aux exigences de plusieurs juridictions. Une politique de confidentialité définit les droits et les obligations autour de cette question. Veriforce est conforme aux exigences du GDPR. Il a mis en place des contrats relatifs au traitement des données ainsi que des clauses contractuelles standard lorsque cela est nécessaire. Les clients sont propriétaires de leurs données et celles-ci ne sont conservées qu'aussi longtemps que la loi ou leur contrat l'exige. Les utilisateurs et les clients peuvent demander à ce que leurs données personnelles soient modifiées ou supprimées à tout moment.

Attestations

Veriforce a entamé des démarches pour obtenir des attestations et passer des audits externes spécifiques à son secteur d'activité :

Icon of a digital connections
SOC2 Type 2

Veriforce a fait l'objet d'audits externes et
dispose de tous les rapports d'audit effectués
conformément à la norme SOC2.

Icon of three gears
ISO 27 001

Veriforce a obtenu l'attestation
ISO 27 001:2013 délivrée par ABS.

Icon of a digital connections
Climate Smart Certified

Veriforce a complété le programme de
certification Climate Smart pour réduire
l'empreinte carbone.

Pour plus d'informations, veuillez contacter le département conformité et risque par courriel à security@veriforce.com.