Déclaration de sécurité

Introduction

En tant que fournisseur de logiciels en ligne, Systèmes Acquiro, Inc. s'engage à fournir des logiciels hautement sécurisés et fiables. Notre plate-forme SaaS est hébergée dans un centre de données de pointe. De plus, nos programmeurs utilisent des technologies et des techniques de sécurité éprouvées et à la fine pointe de la technologie afin de protéger de façon optimale tous les systèmes, données et informations contre les accès non autorisés.

Centre de données

Nos serveurs sont hébergés sur Amazon AWS dans la région Canada Centre située près de Montréal, Québec, Canada. Toutes les données d'Interceptum sont stockées exclusivement sur nos serveurs canadiens; elles ne flottent pas dans le "nuage".

Sécurité Physique:

  • Personnel de sécurité sur place 24h / 24 et 7j / 7
  • AWS fournit un accès physique au centre de données uniquement aux employés approuvés
  • Mécanismes d'authentification multi-facteurs pour accéder aux centres de données
  • Les points d'entrée et de sortie des salles de serveurs sont sécurisés avec des dispositifs qui exigent que chaque individu fournisse une authentification multifacteur avant d'autoriser l'entrée ou la sortie
  • Journaux d’entrées de sorties enregistrés

Fiabilité Physique:

  • Systèmes d'alimentation électrique entièrement redondants conçus pour être maintenables sans impact sur les opérations
  • Les centres de données AWS utilisent des mécanismes pour contrôler le climat et maintenir une température de fonctionnement appropriée pour les serveurs
  • Le personnel et les systèmes surveillent et contrôlent la température

Conformité et accréditations

  • Les centres de données Amazon AWS sont conçus pour respecter les normes nationales et internationales de conformité, de service client et environnementales.
  • Les centres de données Amazon AWS sont conformes aux réglementations établies par l'American Institute of Certified Public Accountants (AICPA) pour les rapports de type II de contrôle des organisations de services (SOC) et HIPAA ((Loi de 1996 sur la Portabilité et la Responsabilité de l'Assurance Maladie).
  • Des audits annuels vérifient la conformité, par l'intermédiaire d'un tiers.

Des informations plus détaillées sur les contrôles des centres de données AWS d'Amazon sont disponibles ici : Contrôles AWS.

De plus, toutes les données sont traitées à cet emplacement et ne sont jamais déplacées vers une autre juridiction. En d'autres termes, toutes les données sont collectées au Canada, toutes les données sont traitées au Canada.

Sécurité

Sécurité des serveurs

Seuls les employés autorisés de Systèmes Acquiro peuvent accéder aux serveurs. Nos experts en sécurité corrigent régulièrement nos serveurs pour toute nouvelle vulnérabilité révélée. L'accès à nos serveurs est limité à des personnes spécifiques, dont l'accès est surveillé et audité pour la conformité.

Sécurité des données

Les services Interceptum sont protégés par une authentification forte et une autorisation pour garantir que seuls les utilisateurs autorisés peuvent accéder et modifier les données. Chaque utilisateur de votre compte Interceptum a un nom d'utilisateur et un mot de passe unique.

Les services Interceptum utilisent un cookie de session uniquement pour enregistrer les informations d'authentification cryptées pendant la durée d'une session spécifique. Le cookie de session n'inclut ni le nom d'utilisateur ni le mot de passe de l'utilisateur. Interceptum n'utilise pas de cookies pour stocker d'autres informations confidentielles sur les utilisateurs et les sessions, mais implémente à la place des méthodes de sécurité plus avancées basées sur des données dynamiques et des identifiants de session codés.

Audit d'information

Les services Interceptum offrent également des capacités d'audit complètes, de sorte que toute modification des données peut être retracée jusqu'à l'utilisateur qui a effectué le changement.

Conservation des données / copies de sauvegarde

Systèmes Acquiro crée une copie de sauvegarde de nuit tous les jours vers 3h00 HE. Systèmes Acquiro préserve les sauvegardes pendant une période de 180 jours. Après 180 jours, les sauvegardes sont définitivement supprimées et les données ne peuvent plus être récupérées.

Systèmes Acquiro stocke les copies de sauvegardes sur un serveur distant sécurisé séparé des serveurs opérationnels exécutant les services Interceptum pour s'assurer qu'aucune donnée n'est perdue en cas de défaillance catastrophique des serveurs opérationnels. Les serveurs de sauvegarde sont situés dans la même juridiction que les serveurs opérationnels.

Destruction des données

Systèmes Acquiro détruit définitivement toutes les données supprimées via l'interface graphique des services Interceptum ou les services Web et les API après 180 jours une fois la suppression effectuée à l'aide des services. Une fois la suppression effectuée, les données sont immédiatement inaccessibles via les serveurs opérationnels. Les données supprimées ne seront disponibles que via les copies de sauvegarde quotidiennes jusqu'à ce que les copies de sauvegarde soient définitivement supprimées.

Cryptage

Systèmes Acquiro utilise un cryptage fort à la pointe de la technologie lorsque les services Interceptum sont utilisés par des utilisateurs ou des systèmes distants utilisant nos services Web et API. Toutes les connexions sont cryptées en utilisant le cryptage TLS (Transport Layer Security) (également connu sous le nom de HTTPS ou SSL) avec un cryptage fort et des certificats SSL avec des clés de 2048 bits. Nous corrigeons régulièrement nos serveurs lorsque des vulnérabilités liées aux connexions TSL / SSL sont divulguées. Voir le rapport SSL pour plus d'informations sur les spécificités de notre installation SSL. (https://www.ssllabs.com/ssltest/analyze.html?d=interceptum.com)

Contrôles d'accès basés sur l'adresse IP (Internet Protocol)

L'accès aux services Interceptum pour les comptes clients individuels peut être limité à certaines plages d'adresses IP ou peut être refusé pour certaines plages d'adresses IP. Contactez le support pour plus d'informations sur la façon dont cela peut être activé pour votre compte.

Sécurité lors du développement

Meilleures pratiques de sécurité

L'équipe de développement logiciel Systèmes Acquiro suit toujours les meilleures pratiques pour mettre en œuvre des contrôles de sécurité et de confidentialité solides dans les services Interceptum. Nous suivons toutes les recommandations du Open Web Application Security Project (voir https://www.owasp.org).

Révisions de code

Avant que du nouveau code ne soit déployé sur des serveurs opérationnels, les modifications au code font l'objet d'un processus rigoureux d'examen par les pairs afin de garantir que les meilleures pratiques de sécurité ont été respectées. Les vérifications de code portent sur les vulnérabilités d’injection SQL, les vulnérabilités de type Cross-Site Scripting (XSS), etc.

Tests d'assurance qualité

En plus des révisions de code, tout changement de code passe par un processus interne approfondi de test d'assurance qualité.

Divulgation

Systèmes Acquiro maintient une politique de divulgation complète des événements pour les incidents de sécurité qui affectent les données client. En cas d'incident de sécurité affectant vos données, une notification sera envoyée à votre administrateur de compte.

Sécurité des ressources humaines

Enquêtes de sécurité

Systèmes Acquiro effectue des vérifications des antécédents de tous les employés au moment de l'embauche (dans la mesure permise par la loi) et exige que des accords de non-divulgation et / ou de confidentialité soient signés par tout le personnel. Les politiques de Systèmes Acquiro interdisent aux employés d'utiliser des informations confidentielles (y compris des données clients) à d'autres fins que pour des raisons professionnelles légitimes, telles que le soutien technique, et cette obligation continue après la fin de leur emploi.

Le défaut de l'employé ou d’un contracteur de coopérer pleinement lors de la vérification des antécédents ou de toute malhonnêteté ou omission de l'information concernant la vérification des antécédents par un employé amène leur exclusion professionnelle de chez Systèmes Acquiro.

Termes d'emploi

Systèmes Acquiro exploite un processus d'intégration comprenant au minimum les étapes suivantes:

  • Communication aux nouveaux employés des politiques, du code de conduite et des normes de comportement.
  • Signature de l'employé du contrat de travail (qui comprend un accord de confidentialité) et de la politique de sécurité de l'information de Systèmes Acquiro.
  • Vérification des antécédents (sous réserve des lois locales).

Formation

Une formation générale sur la sécurité de l'information est obligatoire pour tous les nouveaux employés (à temps plein et temporaire) dans le cadre de leur intégration. Une exigence de formation annuelle obligatoire en matière de sécurité et de protection de la vie privée permet aux employés d'actualiser leurs connaissances et leur compréhension.

Le personnel de développement et d'opérations SaaS reçoit une formation complémentaire spécifique au développement de produits, au déploiement et à la gestion d'applications sécurisées. Une formation supplémentaire sur la sécurité est également offerte aux employés qui traitent les données des clients.

Cessation d'emploi

Systèmes Acquiro maintient un processus formel de résiliation ou de changement d'emploi qui, immédiatement après la cessation ou le changement d'emploi, exige le retour de tous les actifs de Systèmes Acquiro ou de Clients, désactive ou ajuste les droits d'accès et rappelle aux ex-employés et ex-contractants les restrictions d'emploi restantes et obligations contractuelles. Tous les accès (logiques et physiques) sont terminés au plus tard à la date de cessation d’emploi.

Obtenez un devis! Abonnez-vous!