Sécurité et conformité
Certifications de conformité
Consoltec met tout en œuvre pour mériter votre confiance, aujourd’hui et à long terme.
Sécurité
Consoltec place la protection des données et la sécurité au cœur de ses préoccupations. Notre engagement envers la sécurité de l’information est constant, ce qui se traduit par une amélioration continue de notre programme de sécurité et par l’intégration permanente des meilleures pratiques au sein de notre organisation et de notre plate-forme.
Consoltec adhère aux principes de Secure by Design en utilisant des technologies modernes qui garantissent agilité, performance, fiabilité et disponibilité. Nous maintenons également un niveau élevé de sécurité de l’information et de respect de la vie privée, répondant ainsi aux exigences les plus strictes de tous nos clients.
Personnel
Les membres de l’équipe Consoltec jouent un rôle primordial dans la sécurité et la confidentialité de notre entreprise et de vos données.
1. Vérification des antécédents
Tous les candidats doivent réussir des vérifications standard d’antécédents et de crédit dans le cadre du processus d’embauche. Ils sont également tenus de signer une entente de confidentialité dans le cadre de leur contrat de travail.
2. Responsabilités
Nous veillons à ce que tous les membres des équipes R&D, IT & DevOps, Soutien à la clientèle et Ventes & Marketing soient sensibilisées à leurs responsabilités dans le maintien de la sécurité, de la confidentialité, de l’intégrité et de la disponibilité des données clients.
3. Formation
Chez Consoltec, nous dispensons une formation initiale sur la sécurité de l’information et la protection de la vie privée à tous les nouveaux employés, ainsi qu’une formation continue à l’ensemble de notre équipe. En complément de cette formation générale, des sessions plus spécialisées sont également proposées pour répondre aux besoins spécifiques
Sécurité applicative
Cycle de vie du développement logiciel
Chez Consoltec, nous exploitons les modèles DevOps et de livraison continue. La nature hautement automatisée de nos logiciels et de notre infrastructure, combinée à des versions fréquentes, nécessite que la sécurité soit intégrée au SDLC.
Voici un aperçu de certaines de nos pratiques en matière de sécurité, de confidentialité et d’assurance qualité : identification des exigences, examen des exigences, revues de conception, contrôles de développement (analyse statique, révisions de code), tests automatisés et manuels, analyses automatisées des vulnérabilités, gestion des modifications et contrôles de déploiement.
Protection des données
- Vos données sont chiffrées en transit à l’aide de Transport Layer Security (TLS) 1.2.
- Vos données sont chiffrées au repos à l’aide de l’AES 256 bits.
- Nous protégeons vos données contre tout accès non autorisé par plusieurs contrôles des accès.
- Des sauvegardes progressives sont faites à toutes les heures et complètement chaque jour.
Isolation des données
Pour garantir l’isolation des données et des processus, chaque client dispose d’instances dédiées de l’application FlowFit, d’une base de données séparée et de magasins de données. Vous n’avez accès qu’à vos données et il en va de même pour tous les autres clients.
Identité et authentification
Vous pouvez choisir parmi deux modèles d’authentification avec FlowFit :
1. Authentification unique (SSO) basée sur SAML
- Vous pouvez intégrer FlowFit à vos répertoires d’informations d’identification d’entreprise à l’aide du langage SAML v2.0 (Security Assertion Markup Language) pour conserver le contrôle total du processus d’authentification.
2. Comptes infonuagique FlowFit
- Vous pouvez également gérer les comptes d’utilisateurs directement dans FlowFit.
- Politique de mot de passe configurable.
- Les informations d’identification ne sont jamais stockées dans un format lisible par les utilisateurs. Nous utilisons un algorithme de hachage unidirectionnel sécurisé avec un sel.
Attribution des autorisations aux utilisateurs
L’accès à votre instance FlowFit est régi par les rôles et les droits d’accès configurés par vos administrateurs FlowFit désignés.
Contrôle de l’accès au tenant FlowFit
Pare-feu logique
Vous pouvez choisir de restreindre l’accès à une plage IP spécifique afin que votre instance FlowFit ne soit accessible que dans des emplacements physiques désignés et via le VPN de votre organisation.
Nous prenons également en charge une politique d’accès par utilisateur qui permet aux utilisateurs de se connecter en dehors de vos emplacements physiques désignés. Vous pouvez également restreindre les pays à partir desquels ils sont autorisés à accéder à votre instance FlowFit à l’aide de notre fonction de contrôle d’accès par géolocalisation IP.
Vulnérabilités
L’équipe de sécurité de Consoltec utilise une combinaison de logiciels d’analyse et d’exploitation des vulnérabilités automatisés et manuels afin de détecter ou de confirmer la présence de vulnérabilités dans notre infrastructure et nos applications SaaS. Notre équipe de sécurité est responsable de l’évaluation, de la priorisation et de la correction des vulnérabilités confirmées.
Tests d’intrusion
Consoltec charge également une société de sécurité tierce d’effectuer des tests d’intrusion authentifiés et non authentifiés sur l’infrastructure et l’application SaaS de Consoltec. Les tests d’intrusion tiers sont effectués au moins une fois par an. Une attestation de réalisation est disponible sur demande.
Sécurité opérationnelle
Sauvegardes de données
Les données client sont sauvegardées toutes les heures et répliquées en temps quasi réel dans la région Azure secondaire désignée. Les sauvegardes sont effectuées sans impact sur la disponibilité de nos instances client de FlowFit. Les données clients sont toujours transmises via un canal de communication sécurisé et cryptées au repos.
Disponibilité de FlowFit
FlowFit est architecturé, conçu et codé selon les principes cloud natifs par notre équipe et tire pleinement parti des services d’infrastructure Azure pour fournir une haute disponibilité de manière transparente sur plusieurs centres de données (zones de disponibilité Azure).
Incidents de sécurité
Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, une divulgation ou une altération de données. Consoltec dispose d’une procédure de gestion des incidents qui couvre l’ensemble du cycle de vie d’un incident potentiel, notamment : planifier et préparer, détecter et signaler, accéder, répondre et post-mortem.
Consoltec informera rapidement le client sans retard injustifié en cas d’incident de sécurité raisonnablement suspecté ou confirmé affectant un client.
Propriété et contrôle des données
Propriété des données
Vous conservez la pleine propriété et le contrôle de vos données téléchargées ou créées dans FlowFit.
Accès par des employés de Consoltec à vos données
Dans le cadre de la fourniture du service, il est nécessaire que certains personnels autorisés de Consoltec aient accès aux systèmes qui traitent ou stockent vos données. Il leur est toutefois interdit d’accéder à vos données sauf si cela est nécessaire. Par exemple, afin de reproduire ou de diagnostiquer un problème que vous rencontrez avec FlowFit, nous pouvons avoir besoin d’accéder à vos données. Consoltec a développé et communiqué à tout le personnel une politique de traitement des données clients qui régit la manière dont les données des clients peuvent être consultées et comment. De plus, nous ne copions jamais vos données en dehors de vos environnements de production ou de préparation séparés.
Annulation de votre abonnement FlowFit
Consoltec rend vos données accessibles pour récupération à tout moment pendant la durée de votre abonnement et pendant une durée de 60 jours après la résiliation de votre abonnement. Après 60 jours, Consoltec désactivera le compte et supprimera vos données en toute sécurité.
Contactez-nous pour connaître notre Procédure de résiliation du service.
Suppression sécurisée des données
Nous disposons d’une procédure de suppression sécurisée des données clients à la résiliation de l’abonnement. Un administrateur système Consoltec se verra confier la tâche et supprimera toutes les données client (base de données, stockage de fichiers, sauvegardes, clés de cryptage ainsi que votre instance de FlowFit). Nous vous fournirons également un rapport de destruction des données signé par le RSSI qui s’assurera que la procédure a été suivie et que les données ont été supprimées conformément à la procédure Procédure de résiliation du service.
Infrastructure infonuagique et hébergement
Nous hébergeons FlowFit dans les centres de données Azure aux États-Unis, au Canada ou en Europe selon votre choix. Azure maintient plusieurs certifications et attestations pour ses opérations d’hébergement. Pour plus d’informations sur leur programme de certification et de conformité, veuillez visiter le Centre de gestion de la confidentialité Microsoft et Conformité Microsoft.
Politique de confidentialité des données
Chez Consoltec, nous nous engageons à protéger vos données et à gagner votre confiance. Notre approche en matière de sécurité et de confidentialité est globale, proactive et validée de manière indépendante. Nous adhérons au Règlement général sur la protection des données (RGPD), applicable aux personnes physiques au sein de l’Espace économique européen (EEE), aux normes établies par la Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) pour la protection des informations sensibles des patients (PHI), ainsi qu’à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25) et au California Consumer Privacy Act (CCPA).
Nos pratiques en matière de confidentialité des données sont conçues pour garantir le respect de ces réglementations, en vous offrant transparence, contrôle et confiance sur la manière dont nous collectons, utilisons, stockons et traitons vos informations personnelles. Nous prenons vos droits au sérieux et nous efforçons de maintenir les normes les plus élevées en matière de protection des données et de confidentialité.
Veuillez consulter notre « Politique de confidentialité des données » et notre « Politique sur l’exercice des droits des consommateurs » conforme au CCPA. Les résidents de Californie doivent remplir un « Formulaire de demande du consommateur » pour exercer leurs droits comme indiqué dans cette dernière politique.
Notre cadre de conformité
SOC 2 Type 2
Nous détenons une attestation SOC 2 Type 2, vérifiée par des auditeurs indépendants. Celle-ci confirme que nos contrôles internes répondent aux critères des services de confiance en matière de sécurité, de disponibilité et de confidentialité, et qu’ils sont efficaces sur la durée.
Certifié ISO 27001:2022
Nous sommes certifiés ISO/IEC 27001:2022, la norme mondiale pour les systèmes de management de la sécurité de l’information (SMSI). Cette certification couvre notre développement, nos opérations, notre infrastructure et notre gouvernance d’entreprise.
Conformité HIPAA
Nous avons fait l’objet d’un audit indépendant et sommes déclarés conformes à la loi HIPAA (Health Insurance Portability and Accountability Act), garantissant ainsi une protection renforcée de toutes les données de santé traitées sur notre plateforme.
Conformité CCPA
Nos services sont conformes à la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Nous offrons aux résidents californiens un accès transparent, des droits de suppression et l’assurance que nous ne vendons pas d’informations personnelles.
Conformité au RGPD
Nous respectons le Règlement général sur la protection des données (RGPD) de l’Union européenne. En tant que sous-traitant de données, nous mettons en œuvre des garanties strictes, des principes de minimisation des données et des mécanismes contractuels (par exemple, des accords de traitement des données) pour aider nos clients à s’acquitter de leurs responsabilités au titre du RGPD.
Disponible sur demande
Certificat ISO 27001:2022
Rapport d’attestation SOC 2 Type 2
Déclaration de conformité au RGPD
Déclaration de conformité HIPAA
Déclaration de conformité CCPA
Assistance RGPD
Consoltec se fera un plaisir de collaborer avec chaque client et de l’assister dans ses démarches de conformité aux obligations prévues aux articles 32 à 36 du RGPD.
Consoltec met à disposition un Addendum sur le traitement des données (Data Processing Addendum ou DPA) pour nos clients.
Pour de plus amples renseignements, veuillez s.v.p. contacter notre responsable de la protection des données à l’adresse dpo@consoltec.ca.
Cloud Security Alliance: registre de sécurité, de confiance et d'assurance (CSA STAR)
La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une large coalition de praticiens du secteur, d’entreprises et d’autres parties prenantes importantes. Cette organisation se consacre à la définition des meilleures pratiques pour garantir un environnement de cloud computing plus sécurisé et à aider les clients potentiels du cloud à prendre des décisions éclairées lors de la sélection d’un fournisseur de cloud.
Le registre de sécurité, de confiance et d’assurance (CSA STAR) et le questionnaire CSA Consensus Assessments Initiative (CAIQ) v4.0.3 fournissent un ensemble complet de questions que les clients peuvent utiliser pour évaluer la profondeur et l’étendue des mesures de sécurité, de confidentialité et d’assurance des fournisseurs de cloud.
L’équipe de sécurité de Consoltec a compilé les réponses aux 261 questions du questionnaire. Ce document est une ressource précieuse pour comprendre comment Consoltec respecte et dépasse les exigences établies par la CSA.
Contactez-nous pour consulter le questionnaire.
Voulez-vous en savoir plus?
2 aperçus article de blogue SOC 2 type 1 et SOC 2 type 2:
https://consoltec.ca/fr/flowfit-est-fier-detre-maintenant-certifie-soc-2-type-ii/
https://consoltec.ca/fr/flowfit-remporte-la-certification-soc-2-type-1/