Sécurité de l'information

iperceptions offre une solution basée sur un modèle SaaS sous une souscription annuelle, via un portail Web avec authentification sécurisée. Le portail, et toutes les données, sont hébergées dans un centre de données certifié SSAE-16 TIER 1, situé au Canada.  Un réseau infonuagique distribué sur plusieurs régions géographiques assure la collection des données clients.

Afin d’assurer un service ininterrompu, nos opérations sont régies par une entente de service de 99,5 % de disponibilité.  La moyenne de disponibilité mensuelle était de 99,9 % pour la période de 2014 à 2017. De plus, les systèmes de production sont configurés de manière évolutive afin d’assurer une haute disponibilité, tout en étant surveillé 24/7.  Nous avons une équipe d’opérations en ligne dédiée qui est en soutien 24/7, joignable par une ligne de communication d’urgence.  La compagnie entretient un plan de continuité des affaires (BCP).

Les données clients sont un des actifs les plus importants que nous avons.  Voilà pourquoi nous priorisons l’offre d’une solution haute performance, tout en gardant les données client de façon sécuritaire, protégeant ainsi leur entreprise.

Conformité et Certifications

Gouvernance

Les opérations chez iperceptions sont encadrées par un programme de gouvernance de risque et de conformité (GRC) de la sécurité de l'information et de protection de la vie privée.  Notre ligne directrice en matière de sécurité est en lien avec le Cloud Controls Matrix v3.0 (CCM)  et le  Consensus Assesment Initiative Questionnaire V1.1 de la Cloud Security Alliance

Cloud Security Alliance (CSA) est une organisation sans but lucratif ayant pour mission de promouvoir l’utilisations des meilleures pratiques afin d’assurer la sécurité infonuagique.  CSA a du matériel accessible publiquement qui documente les contrôles de sécurité pour les offres des services infonuagiques.  Nous avons complété leur questionnaire Consensus Assessment Initiative, basé sur les résultats de notre analyse de vérification préalable.

Le questionnaire complété est disponible pour révision, sur demande.

Politiques

Nous avons des politiques de sécurité de l’information documentées qui couvrent les domaines suivants : conformité, formation des usagers, sélection du personnel, code de conduite, accès logiques, sécurité réseau, traitement des incidents, développement et maintenance des systèmes d’information, gouvernance de l’information, partage d’information, gestion du chiffrement, audits & révision et sécurité de l’hébergement.  La politique de sécurité de l’information est formellement reconnue par les employés et fournisseurs et une formation est donnée chaque année.  Nous procédons à une évaluation régulière et documentée de la posture en sécurité de l’information de nos fournisseurs.

Sécurité physique

Les serveurs virtuels et physiques de iperceptions sont hébergés dans un centre de données certifié Tier I, SSAE-16.  Nos installations sont protégées par la présence physique de gardiens, des accès biométriques, des systèmes de surveillance vidéo et des points d’accès verrouillés.  Le centre de colocation est alimenté par des systèmes d’alimentation électrique redondants, chacun avec un système d'alimentation sans coupure (UPS) et des génératrices d'urgence.  Tous les équipements réseau et les circuits sont surveillés en permanence par iperceptions et par le centre de colocation.  Le rapport de conformité le plus récent est disponible sur demande.

Sécurité réseau

Notre réseau est protégé par un pare-feu redondant ICSA-certifié couche 7. Nous utilisons des routeurs évolués, faisons des audits réguliers, et disposons de protection contre les dénis de service sur les couches réseau et applicatives. Ces mesures sont en corrélation avec des tests de vulnérabilité multicouches et visent à conserver une bonne visibilité en amont du trafic malicieux et des attaques réseau. Des journaux appropriés et des alertes automatiques sont maintenues sur tous les systèmes réseaux.

Sécurité des communications

Toutes les communications avec les serveurs de iperceptions utilisent les standards TLS de l’industrie.  La transmission automatique des données à nos clients se fait par une passerelle par FTPS, SFTP ou HTTPS. Pour les courriels, notre produit supporte « Transport Layer Security » (TLS), un protocole qui chiffre et livre les courriels de façon sécure, limitant la possibilité d’écoute électronique (eavesdropping) et l’usurpation d’adresses (spoofing) entre les serveurs de courriel. L'accès au réseau virtuel privé (VPN) est limité est accordé en cas de besoin uniquement, et tout accès à nos systèmes par VPN nécessite un  jeton (token) et trois facteurs d'identification.

Contrôle d’accès

Tous les accès aux données chez iperceptions sont régis par des droits d’accès, et sont authentifiés à l’aide d’un nom d’usager et d’un mot de passe. Notre architecture de sécurité assure une séparation efficace des données des clients et aux accès additionnels incluant les restrictions de réseau IP.

L’équipe des Opérations en ligne et certains membres spécifiques de l’équipe des développeurs sont les seuls individus qui ont accès aux serveurs de iperceptions et de la base de données.  Les autres employés de iperceptions n’ont aucun accès aux serveurs de production.

Sécurité des applications

La plate-forme SaaS de iperceptions suit les meilleures pratiques en conservant les mots de passe à l’aide de fonctions de hachage (hashing) et de valeur aléatoire (salt). 

La plate-forme SaaS de iperceptions supporte des droits d’accès granulaires et des paramètres d’authentification configurables pour la durée d’inactivité d’une session, la longueur des mots de passe, leur complexité et leur expiration, le nombre maximum d’essai et l’authentification à deux facteurs.  La plate-forme de iperceptions comporte l’application robuste de journaux d’audits, pour inclure les événements de sécurité tels que l’authentification des usagers et les changements de configuration.

Nous sous-traitons de tests manuels de pénétration d'application chaque année.

Sécurité Des Données

Les données archivées et les sauvegardes sont traitées de la même façon que les données actives. Les accès aux sauvegardes ainsi que les restaurations sont restreints.  Nous gardons les données lors de la disposition des médias.  Les copies physiques, sur le papier par exemple, sont broyées ou détruites à un point de non reconstruction.  Tous les supports média sont aseptisés avant leur réutilisation ou leur destruction.

Gestion des Incidents

Nous maintenons une politique de notification aux clients affectés dans une période de vingt-quatre (24) heures suivant un incident de sécurité de l’information qui a résulté en un accès non-autorisé aux données probable ou avéré.  Les incidents de sécurité sont les suivants : accès physique non autorisé ou brèche, accès logique non autorisé ou brèche, maliciel, déni de service, violation de confidentialité, accès inapproprié aux systèmes par un employé ou contracteur en excès de ses droits d’usager.  Les clients sont avisés de la date et de l’heure approximative de l’incident. De plus, un sommaire des faits pertinents et des actions correctives mises en place leur est communiqué.

Confidentialité

La politique de la confidentialité de iperceptions est publiée sur son site web.  La politique détaille le type d’information récolté, comment ces informations sont utilisées, avec qui elle sont partagées et mentionne la possibilité pour les individus de contrôler la diffusion de l’information.

iperceptions utilise des fichiers témoins et stocke les informations de sessions dans le fureteur des clients-visiteurs et également dans le fureteur des usagers sur le portail SaaS. La politique de fichiers témoins d'iperceptions est publiée sur son site internet.

Pour nous joindre

Nous accueillons les questions avec plaisir, sommes heureux de fournir toute clarification requise, et demeurons réceptifs aux demandes d'audit de la part de nos clients. Au besoin, veuillez communiquer avec nous à legal@iperceptions.com