Déclaration de sécurité

Introduction

En tant que fournisseur de logiciels en ligne, Systèmes Acquiro, Inc. s'engage à fournir des logiciels hautement sécurisés et fiables. Notre plate-forme SaaS est hébergée dans un centre de données de pointe. De plus, nos programmeurs utilisent des technologies et des techniques de sécurité éprouvées et à la fine pointe de la technologie afin de protéger de façon optimale tous les systèmes, données et informations contre les accès non autorisés.

Centre de données

Nos serveurs sont situés dans un centre de données sécurisé à Montréal, Québec, Canada. Toutes les données d'Interceptum sont stockées exclusivement dans notre centre de données canadien; il ne flotte pas dans le "nuage". Le centre de données est géré par Internap Corporation - INAP (voir http://www.inap.com).

Sécurité Physique:

  • Personnel de sécurité sur place 24h / 24 et 7j / 7 et quais de chargement sécurisés
  • Mécanismes de verrouillage biométrique activés par empreintes digitales
  • Pièges à homme avec capteurs de poids pour déterminer si l'équipement est utilisé dans l'installation
  • Surveillance vidéo de 90 jours avec des caméras de sécurité disponibles pour les environnements de cage individuels, au besoin
  • Journaux d’entrées de sorties enregistrés
  • Accès protégé par mot de passe aux emplacements physiques et aux portails Web

Fiabilité Physique:

  • Systèmes mécaniques et électriques maintenus simultanément
  • La redondance complète pour le système d'alimentation du disjoncteur de service, des générateurs jusqu'à la distribution d'énergie
  • Compartimentation complète / séparation des chemins de distribution d'alimentation et de refroidissement
  • Systèmes de refroidissement complètement redondants des unités CRAC aux pompes, aux refroidisseurs et à la plomberie
  • Commutateurs de transfert statiques très fiables pour déplacer les charges vers et à partir des circuits primaires et secondaires
  • Chemins électriques primaires et secondaires alimentés par deux PDU différents et deux systèmes UPS différents
  • Tuyauterie mécanique redondante et isolable
  • Les ingénieurs de l'installation sont sur le site 24 heures sur 24 et 7 jours sur 7 et prennent en charge les centres d'exploitation réseau redondants (« Network Operations Centers »)

Conformité et accréditations

  • Les installations de colocation sécurisées d'INAP sont conçues pour respecter les normes nationales et internationales en matière de conformité, de service à la clientèle et d'environnement.
  • Les centres de données sont conformes aux réglementations mises en place par l'Institut Américain des Experts Comptables Publics (AICPA) pour les rapports de type II (SOC) et HIPAA (Loi de 1996 sur la Portabilité et la Responsabilité de l'Assurance Maladie).
  • Les audits annuels vérifient la conformité, via un tiers.

De plus, toutes les données sont traitées à cet emplacement et ne sont jamais déplacées vers une autre juridiction. En d'autres termes, toutes les données sont collectées au Canada, toutes les données sont traitées au Canada.

Sécurité

Sécurité des serveurs

Seuls les employés autorisés de Systèmes Acquiro peuvent accéder aux serveurs. Nos experts en sécurité corrigent régulièrement nos serveurs pour toute nouvelle vulnérabilité révélée. L'accès à nos serveurs est limité à des personnes spécifiques, dont l'accès est surveillé et audité pour la conformité.

Sécurité des données

Les services Interceptum sont protégés par une authentification forte et une autorisation pour garantir que seuls les utilisateurs autorisés peuvent accéder et modifier les données. Chaque utilisateur de votre compte Interceptum a un nom d'utilisateur et un mot de passe unique.

Les services Interceptum utilisent un cookie de session uniquement pour enregistrer les informations d'authentification cryptées pendant la durée d'une session spécifique. Le cookie de session n'inclut ni le nom d'utilisateur ni le mot de passe de l'utilisateur. Interceptum n'utilise pas de cookies pour stocker d'autres informations confidentielles sur les utilisateurs et les sessions, mais implémente à la place des méthodes de sécurité plus avancées basées sur des données dynamiques et des identifiants de session codés.

Audit d'information

Les services Interceptum offrent également des capacités d'audit complètes, de sorte que toute modification des données peut être retracée jusqu'à l'utilisateur qui a effectué le changement.

Conservation des données / copies de sauvegarde

Systèmes Acquiro crée une copie de sauvegarde de nuit tous les jours vers 2h00 HE. Systèmes Acquiro préserve les sauvegardes pendant une période de 180 jours. Après 180 jours, les sauvegardes sont définitivement supprimées et les données ne peuvent plus être récupérées.

Systèmes Acquiro stocke les copies de sauvegardes sur un serveur distant sécurisé séparé des serveurs opérationnels exécutant les services Interceptum pour s'assurer qu'aucune donnée n'est perdue en cas de défaillance catastrophique des serveurs opérationnels. Les serveurs de sauvegarde sont situés dans la même juridiction que les serveurs opérationnels.

Destruction des données

Systèmes Acquiro détruit définitivement toutes les données supprimées via l'interface graphique des services Interceptum ou les services Web et les API après 180 jours une fois la suppression effectuée à l'aide des services. Une fois la suppression effectuée, les données sont immédiatement inaccessibles via les serveurs opérationnels. Les données supprimées ne seront disponibles que via les copies de sauvegarde quotidiennes jusqu'à ce que les copies de sauvegarde soient définitivement supprimées.

Cryptage

Systèmes Acquiro utilise un cryptage fort à la pointe de la technologie lorsque les services Interceptum sont utilisés par des utilisateurs ou des systèmes distants utilisant nos services Web et API. Toutes les connexions sont cryptées en utilisant le cryptage TLS (Transport Layer Security) (également connu sous le nom de HTTPS ou SSL) avec un cryptage fort et des certificats SSL avec des clés de 2048 bits. Nous corrigeons régulièrement nos serveurs lorsque des vulnérabilités liées aux connexions TSL / SSL sont divulguées. Voir le rapport SSL pour plus d'informations sur les spécificités de notre installation SSL. (https://www.ssllabs.com/ssltest/analyze.html?d=interceptum.com)

Contrôles d'accès basés sur l'adresse IP (Internet Protocol)

L'accès aux services Interceptum pour les comptes clients individuels peut être limité à certaines plages d'adresses IP ou peut être refusé pour certaines plages d'adresses IP. Contactez le support pour plus d'informations sur la façon dont cela peut être activé pour votre compte.

Sécurité lors du développement

Meilleures pratiques de sécurité

L'équipe de développement logiciel Systèmes Acquiro suit toujours les meilleures pratiques pour mettre en œuvre des contrôles de sécurité et de confidentialité solides dans les services Interceptum. Nous suivons toutes les recommandations du Open Web Application Security Project (voir https://www.owasp.org).

Révisions de code

Avant que du nouveau code ne soit déployé sur des serveurs opérationnels, les modifications au code font l'objet d'un processus rigoureux d'examen par les pairs afin de garantir que les meilleures pratiques de sécurité ont été respectées. Les vérifications de code portent sur les vulnérabilités d’injection SQL, les vulnérabilités de type Cross-Site Scripting (XSS), etc.

Tests d'assurance qualité

En plus des révisions de code, tout changement de code passe par un processus interne approfondi de test d'assurance qualité.

Divulgation

Systèmes Acquiro maintient une politique de divulgation complète des événements pour les incidents de sécurité qui affectent les données client. En cas d'incident de sécurité affectant vos données, une notification sera envoyée à votre administrateur de compte.

Sécurité des ressources humainres

Enquêtes de sécurité

Systèmes Acquiro effectue des vérifications des antécédents de tous les employés au moment de l'embauche (dans la mesure permise par la loi) et exige que des accords de non-divulgation et / ou de confidentialité soient signés par tout le personnel. Les politiques de Systèmes Acquiro interdisent aux employés d'utiliser des informations confidentielles (y compris des données clients) à d'autres fins que pour des raisons professionnelles légitimes, telles que le soutien technique, et cette obligation continue après la fin de leur emploi.

Le défaut de l'employé ou d’un contracteur de coopérer pleinement lors de la vérification des antécédents ou de toute malhonnêteté ou omission de l'information concernant la vérification des antécédents par un employé amène leur exclusion professionnelle de chez Systèmes Acquiro.

Termes d'emploi

Systèmes Acquiro exploite un processus d'intégration comprenant au minimum les étapes suivantes:

  • Communication aux nouveaux employés des politiques, du code de conduite et des normes de comportement.
  • Signature de l'employé du contrat de travail (qui comprend un accord de confidentialité) et de la politique de sécurité de l'information de Systèmes Acquiro.
  • Vérification des antécédents (sous réserve des lois locales).

Formation

Une formation générale sur la sécurité de l'information est obligatoire pour tous les nouveaux employés (à temps plein et temporaire) dans le cadre de leur intégration. Une exigence de formation annuelle obligatoire en matière de sécurité et de protection de la vie privée permet aux employés d'actualiser leurs connaissances et leur compréhension.

Le personnel de développement et d'opérations SaaS reçoit une formation complémentaire spécifique au développement de produits, au déploiement et à la gestion d'applications sécurisées. Une formation supplémentaire sur la sécurité est également offerte aux employés qui traitent les données des clients.

Cessation d'emploi

Systèmes Acquiro maintient un processus formel de résiliation ou de changement d'emploi qui, immédiatement après la cessation ou le changement d'emploi, exige le retour de tous les actifs de Systèmes Acquiro ou de Clients, désactive ou ajuste les droits d'accès et rappelle aux ex-employés et ex-contractants les restrictions d'emploi restantes et obligations contractuelles. Tous les accès (logiques et physiques) sont terminés au plus tard à la date de cessation d’emploi.

Obtenez un devis! Abonnez-vous!