MESURES TECHNIQUES ET ORGANISATIONNELLES DE SECURITE

 

MESURES DE SECURITE

Ce document décrit les mesures techniques et organisationnelles de sécurité ainsi que les contrôles mis en œuvre par Cision afin de protéger les données personnelles et d’assurer en permanence la confidentialité, l’intégrité et la disponibilité des produits et services de Cision.

Ce document est une vue générale des mesures techniques et organisationnelles de sécurité de Cision. Plus de détails sur les mesures mises en œuvre sont disponibles sur demande. Cision se réserve le droit de réviser ces mesures techniques et organisationnelles à tout moment, sans préavis, dès lors que ces révisions ne réduisent pas et n’affaiblissent pas de manière substantielle la protection mise en place pour les données personnelles que Cision utilise pour la fourniture de ses solutions. Dans le cas improbable où Cision réduirait de manière substantielle son niveau de sécurité, Cision notifiera ses clients. 

Cision met en œuvre les mesures techniques et organisationnelles de sécurité suivantes afin de protéger les données personnelles :

  1. Une organisation et une équipe dédiée en charge du développement, de la mise en œuvre et du maintien du programme de sécurité de l’information de Cision.

  2. Des procédures d’audit et d’évaluation des risques, aux fins d'examens périodiques et d'évaluation des risques pour l'organisation de Cision, du suivi et du maintien de la conformité aux politiques et procédures de Cision, et de la communication sur l'état de la sécurité de l'information et de la conformité à la direction de Cision.

  3. Maintenir la politique de sécurité de l’information et s'assurer que les politiques de confidentialité et les mesures sont régulièrement revues et, si nécessaire, les améliorer.

  4. La communication avec les applications Cision utilise des protocoles cryptographiques tels que TLS pour protéger les informations en transit sur les réseaux publics. À la périphérie du réseau, des pares-feux, des pares-feux d'application web et une protection DDoS sont utilisés pour filtrer les attaques. En ce qui concerne le réseau interne, les applications suivent un modèle à plusieurs niveaux qui permet d'appliquer des contrôles de sécurité entre chaque couche.

  5. Le contrôle de sécurité des données comprend la ségrégation logique des données, un accès et une surveillance restreints (par exemple à certains rôles de l’entreprise) et, le cas échéant, l'utilisation de technologies de cryptage standards du marché.

  6. Des contrôles d’accès logiques conçus pour gérer l'accès électronique aux données et aux fonctionnalités du système, selon les niveaux d'autorisation et les fonctions dans l’entreprise (par exemple : autoriser l’accès aux seuls utilisateurs qui en ont le besoin sur la base de privilèges minimaux, utiliser des identifiants uniques et des mots de passe pour tous les utilisateurs, réviser périodiquement et révoquer/changer l’accès rapidement lorsque l’emploi prend fin ou que des changements de fonction se produisent).

  7. Un contrôle des mots de passe conçu pour gérer et vérifier leur complexité et leur utilisation, y compris l’interdiction pour les utilisateurs de partager leurs mots de passe.

  8. L'audit du système ou la consignation des événements et les procédures de surveillance pour enregistrer de manière proactive l'accès des utilisateurs et l'activité du système pour un examen périodique.

  9. Les locaux destinés aux serveurs, le centre de calcul et autres zones contenant des informations confidentielles sont sécurisés et protégés de tout risque physique et environnemental : (i) protection contre tout accès physique non autorisé, (ii) gestion, surveillance et enregistrement des entrées et sorties dans les locaux Cision (iii) protection contre les risques environnementaux tels que la chaleur, le feu et les dégâts des eaux.

  10. Les procédures opérationnelles et de contrôle assurant la configuration, la surveillance et la maintenance des systèmes technologiques et d'informations sont conformes aux normes de l’industrie, ce qui inclut la sécurisation des retraits des systèmes et des supports pour rendre toutes les informations ou données contenues indéchiffrables ou irrécupérables, avant leur élimination finale de Cision.

  11. Une modification des procédures de gestion et des mécanismes de suivi a été mise en place afin de tester, d'approuver et de surveiller tous les changements apportés à la technologie et aux ressources informatiques de Cision.

  12. Des procédures de gestion d’incidents et de problèmes, définies pour permettre à Cision d'enquêter, de réagir, d'atténuer et de notifier des événements liés à la technologie Cision et aux ressources informatiques.

  13. Des contrôles de sécurité réseaux prévoyant l'utilisation de pares-feux d'entreprise et d'architectures DMZ, de systèmes de détection d’intrusion et de toutes autres procédures de corrélation de trafic et d’évènements définies pour protéger les systèmes contre toute intrusion et de limiter le champ d’action de toute attaque.

  14. Mise en place de systèmes d’évaluation des vulnérabilités, de technologies de protection contre les menaces, de gestion des mises-à-jour, et de procédures de surveillance conçues pour identifier, évaluer, atténuer et protéger contre les menaces identifiées sur la sécurité, les virus et autres codes malveillants.

  15.  Les procédures de continuité et de reprise d’activités après sinistre sont conçues pour maintenir le service et/ou rétablir le service en cas de situations d’urgence prévisibles ou de désastres.

 

AddThis Sharing Sidebar
Share to LinkedIn
, Number of shares2
Share to Pinterest
, Number of shares
Share to Google+ More AddThis Share options
, Number of shares28
Hide
Show
AddThis Sharing