Sécurité de l'information

Dernière mise à jour : 23 novembre 2018

iperceptions propose une solution en modèle SaaS (« software as a service » ou logiciel comme service) sous forme d’un abonnement annuel par l’entremise d’un portail Web avec connexion sécurisée. Le portail et toutes les données inactives sont hébergés dans des centres de données de niveau 3 certifiés selon la norme SSAE16 et situés au Canada. Un réseau mondial de points de présence en infonuagique est aussi utilisé pour la cueillette des données transitoires, notamment les données de saisie et de flux de clics.

Afin d’assurer un service ininterrompu, nos activités sont régies par un accord sur les niveaux de service qui prescrit une disponibilité de 99,5 %. La disponibilité mensuelle moyenne de 2014 à 2018 était de 99,9 %. Nos systèmes de production sont configurés de façon à permettre une grande disponibilité et extensibilité et font l’objet d’une surveillance 24 heures sur 24, 7 jours sur 7. Nous avons une équipe consacrée à l’exploitation en ligne qui peut être jointe en tout temps en composant le numéro de téléphone pour les urgences techniques. Nous disposons également d’un plan de continuité des affaires (PCA).

Les données sur la clientèle font partie des actifs les plus précieux de nos clients. C’est la raison pour laquelle notre priorité absolue est d’offrir à nos clients une solution globale et efficace qui met l’accent sur la sécurité de leurs données et la protection de leurs interactions et de leurs activités commerciales.

Conformité et certifications

Gouvernance

Les activités d’iperceptions sont encadrées par un programme de gouvernance, de gestion des risques et de conformité (GRC) en lien avec la sécurité de l’information et des politiques documentées en matière de confidentialité et de sécurité de l’information. Nos politiques en matière de sécurité sont conformes aux exigences de HITRUST CSF, un cadre commun de sécurité qui fournit aux organismes une approche exhaustive, flexible et efficace pour assurer leur conformité règlementaire et leur gestion du risque.

Le cadre HITRUST CSF, élaboré avec des professionnels de la sécurité de l’information, rassemble toutes les exigences règlementaires et les normes applicables en un seul système de sécurité. Puisque le cadre HITRUST CSF est basé à la fois sur le risque et la conformité, les organismes peuvent adapter leurs contrôles de sécurité à différents paramètres, dont le type d’organisme, sa taille, les systèmes en place et les exigences règlementaires.

Grâce aux améliorations et aux mises à jour constantes qui lui sont apportées, HISTRUST CSF est maintenant le cadre de sécurité le plus répandu dans le domaine de la santé aux États-Unis. Le niveau d’engagement et d’expertise dont témoigne HITRUST permet d’assurer que les organismes qui l’adoptent sont prêts à faire face aux nouvelles règles et aux nouveaux risques qui se présentent à eux.

Politiques

Nous avons en place des politiques en matière de sécurité de l’information portant sur les domaines suivants : la conformité, la formation des utilisateurs, les enquêtes sur le personnel, le code de conduite, l’accès logique, la sécurité réseau, la gestion des incidents, la mise sur pied et la gestion des systèmes d’information, la gouvernance de l’information, l’échange d’information, l’encodage, les vérifications et les revues ainsi que la sécurité de l’hébergement. Les politiques en matière de sécurité de l’information sont formellement reconnues par nos employés et nos fournisseurs, et elles font l’objet d’une formation sur une base annuelle. Nous menons régulièrement des évaluations des pratiques de sécurité de l’information documentées de nos fournisseurs. 

Sécurité physique

Les serveurs physiques et virtuels d’iperceptions sont hébergés dans des installations conformes aux normes de niveau III, à la certification SSAE 16 de type II et à la certification SOC II de type II. Nos installations comprennent un système de surveillance en tout temps par des personnes sur place, des contrôles biométriques, un système de vidéosurveillance et un verrouillage physique. Nos installations colocalisées sont alimentées en électricité de façon redondante et disposent chacune de systèmes d’alimentation sans coupure et de génératrices de secours. Tous les systèmes, appareils connectés au réseau et circuits sont constamment surveillés par iperceptions et par le gestionnaire des installations colocalisées en question. Les rapports de conformité les plus récents peuvent vous être transmis sur demande.

Sécurité du réseau 

Notre réseau est protégé par sept pare-feu certifiés ICSA, une technologie de routeur de pointe, des vérifications de sécurité régulières, une protection contre les attaques DoS au niveau du réseau et des applications ainsi qu’un système de sécurité multi-couche qui surveille diverses menaces potentielles, dont le trafic malveillant et les attaques réseau. Nous tenons des registres sur l’ensemble de nos systèmes réseau qui sont tous munis d’un système d’alerte.

Sécurité en matière de transmission des données

Toutes les communications à caractère confidentiel avec les serveurs d’iperceptions sont encodées selon la norme Transport Layer Security (TLS), un protocole qui crypte et achemine des courriels de façon sécurisée et minimise l’interception et l’usurpation entre les serveurs courriel. Les connexions par réseau virtuel privé sont attribuées uniquement au besoin, sur une base ponctuelle; le cas échéant, les employés utilisent un jeton d’authentification à deux facteurs pour se connecter à nos systèmes. Pour ce qui est des courriels, notre produit est optimisé pour les versions les plus récentes du protocole TLS. La transmission automatisée de fichiers de données et de produits livrables se fait par l’entremise des protocoles sécurisés FTPS, SFTP ou HTTPS.

Contrôle de l’accès 

L’accès aux données chez iperceptions est régi par des droits d’accès et l’authentification se fait par nom d’utilisateur et mot de passe. Notre architecture de sécurité assure la ségrégation des données en fonction du principe du « besoin de savoir », de sorte que seuls les employés ayant réellement besoin d’accéder aux données précises d’un client peuvent le faire. Nous disposons également d’autres mesures de contrôle de l’accès, dont des restrictions réseau selon l’adresse IP de l’utilisateur. L’équipe de l’exploitation en ligne d’iperceptions, de même que certains membres de notre équipe de développement, sont les seules personnes ayant accès aux serveurs de la compagnie et aux bases de données de production. Les autres employés d’iperceptions n’ont pas accès à ces serveurs.

Sécurité en matière d’applications

La plateforme SaaS d’iperceptions se conforme aux pratiques exemplaires de l’industrie en matière de stockage d’identifiants sécurisés en enregistrant les mots de passe par recours aux techniques du hachage et du salage. Elle accepte les privilèges d’accès granulaires basés sur les tâches et les paramètres configurables d’authentification pour les délais associés aux déconnexions pour cause d’inactivité, pour la longueur, la complexité et l’expiration des mots de passe ainsi que pour le nombre maximum d’essais de saisie. La plateforme SaaS d’iperceptions tient aussi un registre de vérification rigoureux qui enregistre les évènements comme les connexions par les utilisateurs et les changements aux paramètres de configuration.

Nous confions les tests annuels de pénétration de nos applications à des fournisseurs externes de services.

Sécurité des données

Les données archivées et les sauvegardes font l’objet d’un traitement aussi exigeant que les données actives. L’accès aux sauvegardes et au processus de restauration des données est limité. Nous avons en place un processus pour l’élimination des dossiers et des supports. Les copies sur support physique, comme le papier, sont déchiquetées ou détruites de façon à rendre toute reconstruction impossible. Le matériel de stockage des données est purgé avant leur destruction ou leur utilisation à d’autres fins.

Gestion des incidents

Nous avons en place un processus qui nous oblige à aviser dans les vingt-quatre (24) heures tout client touché par un incident concernant la sécurité de l’information qui est susceptible de permettre ou qui a permis un accès illicite aux données. Les incidents de sécurité comprennent les évènements suivants : l’atteinte à la sécurité physique ou logique, l’accès physique ou logique non autorisé, les programmes malveillants, les attaques DoS, la violation de la confidentialité ainsi que l’accès aux systèmes par un employé ou un fournisseur sans la permission nécessaire ou dans l’intention d’en faire une utilisation illicite. Les clients seront avisés de la date et de l’heure approximatives de l’incident. De plus, un résumé des faits pertinents et des mesures adoptées pour corriger les processus en cause et remédier aux conséquences de l’incident leur est communiqué.

Confidentialité

La politique de confidentialité d’iperceptions est affichée sur son site Web. La politique indique quelles informations sont recueillies, comment elles sont utilisées, à qui elles sont communiquées et de quelle manière le client peut en contrôler la diffusion. iperceptions se conforme aux accords sur la sphère de sécurité entre les États-Unis et l’Union européenne (U.S.-EU Safe Harbour Framework) et entre les États-Unis et la Suisse (U.S.-Swiss Safe Harbour Framework) comme appliqués par le Department of Commerce des États-Unis.

Afin de livrer ses services, iperceptions doit recueillir certaines informations sur ses utilisateurs, dont leur nom et leur prénom, leur adresse courriel et le mot de passe associé au compte leur permettant d’accéder à la plateforme SaaS d’iperceptions. Sauf autorisation explicite, iperceptions ne divulgue ces informations confidentielles à aucun tiers et ne les utilise d’aucune autre façon que celles nécessaires pour la prestation des services convenus. Avec leur consentement explicite, iperceptions peut envoyer aux utilisateurs des messages de mise à jour concernant les services demandés à l’adresse courriel fournie à l’occasion de la demande. 

iperceptions utilise des témoins de connexion et des outils de stockage des sessions sur les navigateurs Web de ses utilisateurs de même que sur les interfaces du portail Saas destinées aux utilisateurs. Les témoins de connexion et les outils de stockage des sessions peuvent parfois contenir un identifiant numérique unique, mais ils ne contiennent jamais d’informations de nature personnelle ou confidentielle, comme des mots de passe. La suppression des témoins de connexion ne nuit en rien à l’expérience des visiteurs, des répondants ou des utilisateurs finaux ou au bon fonctionnement des produits d’iperceptions. Nous offrons une documentation détaillée et transparente qui explique comment nous utilisons les témoins de connexion et les outils de stockage des sessions.

Pour nous joindre

Nous accueillons les questions avec plaisir, sommes heureux de fournir toute clarification requise, et demeurons réceptifs aux demandes de vérification de la part de nos clients. Pour de plus amples renseignements, veuillez communiquer avec nous à l’adresse legal@iperceptions.com.