Skip to content

Sécurité et conformité

Consoltec does whatever it takes to deserve your trust, now and in the future. Consoltec met tout en œuvre pour mériter votre confiance, aujourd’hui et à long terme.

Chez nous, la sécurité n’est pas une considération secondaire; c’est une priorité. Nous sommes pleinement conscients de la sensibilité des informations et des données que nos clients nous confient et de l’importance d’une gestion saine de celles-ci.

Sécurité

Consoltec place la protection des données et la sécurité au cœur de ses préoccupations. Notre engagement envers la sécurité de l’information est constant, ce qui se traduit par une amélioration continue de notre programme de sécurité et par l’intégration permanente des meilleures pratiques au sein de notre organisation et de notre plate-forme.

Consoltec adhère aux principes de Secure by Design en utilisant des technologies modernes qui garantissent agilité, performance, fiabilité et disponibilité. Nous maintenons également un niveau élevé de sécurité de l’information et de respect de la vie privée, répondant ainsi aux exigences les plus strictes de tous nos clients.

Personnel

Les membres de l’équipe Consoltec jouent un rôle primordial dans la sécurité et la confidentialité de notre entreprise et de vos données.

1. Vérification des antécédents
Tous les candidats doivent réussir des vérifications standard d’antécédents et de crédit dans le cadre du processus d’embauche. Ils sont également tenus de signer une entente de confidentialité dans le cadre de leur contrat de travail.

2. Responsabilités
Nous veillons à ce que tous les membres des équipes R&D, IT & DevOps, Soutien à la clientèle et Ventes & Marketing soient sensibilisées à leurs responsabilités dans le maintien de la sécurité, de la confidentialité, de l’intégrité et de la disponibilité des données clients.

3. Formation
Chez Consoltec, nous dispensons une formation initiale sur la sécurité de l’information et la protection de la vie privée à tous les nouveaux employés, ainsi qu’une formation continue à l’ensemble de notre équipe. En complément de cette formation générale, des sessions plus spécialisées sont également proposées pour répondre aux besoins spécifiques

Sécurité applicative

Cycle de vie du développement logiciel

Chez Consoltec, nous exploitons les modèles DevOps et de livraison continue. La nature hautement automatisée de nos logiciels et de notre infrastructure, combinée à des versions fréquentes, nécessite que la sécurité soit intégrée au SDLC.
Voici un aperçu de certaines de nos pratiques en matière de sécurité, de confidentialité et d’assurance qualité : identification des exigences, examen des exigences, revues de conception, contrôles de développement (analyse statique, révisions de code), tests automatisés et manuels, analyses automatisées des vulnérabilités, gestion des modifications et contrôles de déploiement.

Protection des données

  • Vos données sont chiffrées en transit à l’aide de Transport Layer Security (TLS) 1.2.
  • Vos données sont chiffrées au repos à l’aide de l’AES 256 bits.
  • Nous protégeons vos données contre tout accès non autorisé par plusieurs contrôles des accès.
  • Des sauvegardes progressives sont faites à toutes les heures et complètement chaque jour.

Isolation des données

Pour garantir l’isolation des données et des processus, chaque client dispose d’instances dédiées de l’application FlowFit, d’une base de données séparée et de magasins de données. Vous n’avez accès qu’à vos données et il en va de même pour tous les autres clients.

Identité et authentification

Vous pouvez choisir parmi deux modèles d’authentification avec FlowFit :

  1. Authentification unique (SSO) basée sur SAML
    Vous pouvez intégrer FlowFit à vos répertoires d’informations d’identification d’entreprise à l’aide du langage SAML v2.0 (Security Assertion Markup Language) pour conserver le contrôle total du processus d’authentification.
  2. Comptes infonuagique FlowFit
    – Vous pouvez également gérer les comptes d’utilisateurs directement dans FlowFit.
    – Politique de mot de passe configurable.
    – Les informations d’identification ne sont jamais stockées dans un format lisible par les utilisateurs. Nous utilisons un algorithme de hachage unidirectionnel sécurisé avec un sel.

Attribution des autorisations aux utilisateurs

L’accès à votre instance FlowFit est régi par les rôles et les droits d’accès configurés par vos administrateurs FlowFit désignés.

Contrôle de l’accès au tenant FlowFit

Pare-feu logique

Vous pouvez choisir de restreindre l’accès à une plage IP spécifique afin que votre instance FlowFit ne soit accessible que dans des emplacements physiques désignés et via le VPN de votre organisation.

Nous prenons également en charge une politique d’accès par utilisateur qui permet aux utilisateurs de se connecter en dehors de vos emplacements physiques désignés. Vous pouvez également restreindre les pays à partir desquels ils sont autorisés à accéder à votre instance FlowFit à l’aide de notre fonction de contrôle d’accès par géolocalisation IP.

Vulnérabilités

L’équipe de sécurité de Consoltec utilise une combinaison de logiciels d’analyse et d’exploitation des vulnérabilités automatisés et manuels afin de détecter ou de confirmer la présence de vulnérabilités dans notre infrastructure et nos applications SaaS. Notre équipe de sécurité est responsable de l’évaluation, de la priorisation et de la correction des vulnérabilités confirmées.

Tests d’intrusion

Consoltec charge également une société de sécurité tierce d’effectuer des tests d’intrusion authentifiés et non authentifiés sur l’infrastructure et l’application SaaS de Consoltec. Les tests d’intrusion tiers sont effectués au moins une fois par an. Une attestation de réalisation est disponible sur demande.

Sécurité opérationnelle

Sauvegardes de données

Les données client sont sauvegardées toutes les heures et répliquées en temps quasi réel dans la région Azure secondaire désignée. Les sauvegardes sont effectuées sans impact sur la disponibilité de nos instances client de FlowFit. Les données clients sont toujours transmises via un canal de communication sécurisé et cryptées au repos.

Disponibilité de FlowFit

FlowFit est architecturé, conçu et codé selon les principes cloud natifs par notre équipe et tire pleinement parti des services d’infrastructure Azure pour fournir une haute disponibilité de manière transparente sur plusieurs centres de données (zones de disponibilité Azure).

Incidents de sécurité

Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, une divulgation ou une altération de données. Consoltec dispose d’une procédure de gestion des incidents qui couvre l’ensemble du cycle de vie d’un incident potentiel, notamment : planifier et préparer, détecter et signaler, accéder, répondre et post-mortem.

Consoltec informera rapidement le client sans retard injustifié en cas d’incident de sécurité raisonnablement suspecté ou confirmé affectant un client.

Propriété et contrôle des données

Propriété des données

Vous conservez la pleine propriété et le contrôle de vos données téléchargées ou créées dans FlowFit.

Accès par des employés de Consoltec à vos données

Dans le cadre de la fourniture du service, il est nécessaire que certains personnels autorisés de Consoltec aient accès aux systèmes qui traitent ou stockent vos données. Il leur est toutefois interdit d’accéder à vos données sauf si cela est nécessaire. Par exemple, afin de reproduire ou de diagnostiquer un problème que vous rencontrez avec FlowFit, nous pouvons avoir besoin d’accéder à vos données. Consoltec a développé et communiqué à tout le personnel une politique de traitement des données clients qui régit la manière dont les données des clients peuvent être consultées et comment. De plus, nous ne copions jamais vos données en dehors de vos environnements de production ou de préparation séparés.

Annulation de votre abonnement FlowFit

Consoltec rend vos données accessibles pour récupération à tout moment pendant la durée de votre abonnement et pendant une durée de 60 jours après la résiliation de votre abonnement. Après 60 jours, Consoltec désactivera le compte et supprimera vos données en toute sécurité.

Contactez-nous pour connaître notre Procédure de résiliation du service.

Suppression sécurisée des données

Nous disposons d’une procédure de suppression sécurisée des données clients à la résiliation de l’abonnement. Un administrateur système Consoltec se verra confier la tâche et supprimera toutes les données client (base de données, stockage de fichiers, sauvegardes, clés de cryptage ainsi que votre instance de FlowFit). Nous vous fournirons également un rapport de destruction des données signé par le RSSI qui s’assurera que la procédure a été suivie et que les données ont été supprimées conformément à la procédure Procédure de résiliation du service.

Infrastructure infonuagique et hébergement

Nous hébergeons FlowFit dans les centres de données Azure aux États-Unis, au Canada ou en Europe selon votre choix. Azure maintient plusieurs certifications et attestations pour ses opérations d’hébergement. Pour plus d’informations sur leur programme de certification et de conformité, veuillez visiter le Centre de gestion de la confidentialité Microsoft et Conformité Microsoft.

Confidentialité

Consoltec s’engage à protéger vos données incluant les informations personnelles de vos employés. En conséquence, nous aidons votre organisation à rester et à démontrer sa conformité aux lois et réglementations sur la protection de la vie privée telles que la loi LPRPDE du Canada, la loi 25 du Québec et le RGPD de l’UE. Apprenez-en davantage sur la position de Consoltec sur ces réglementations en consultant la section Conformité qui suit.

Compliance

AICPA SOC Logo

SOC 2 Type I et II

Consoltec est conforme au Service Organization Controls (SOC) 2 Type I et II de l’AICPA, l’une des attestations de sécurité les plus recherchées pour les fournisseurs SaaS.

Le rapport SOC 2 Type I et II fournit l’assurance que le programme de sécurité des informations et l’environnement de contrôle de Consoltec sont conformes aux critères de sécurité des services de confiance développés et maintenus par l’AICPA. Le rapport couvre les contrôles que Consoltec a mis en œuvre d’un point de vue organisationnel et technique, et comprend la gestion des accès, le cryptage, les modifications et le déploiement du code, la surveillance, la gestion des vulnérabilités, la gestion des incidents, la gestion des risques, la gestion des ressources humaines, la gestion des fournisseurs, etc.

Le rapport aide les entreprises qui cherchent à utiliser un service cloud comme FlowFit à évaluer et traiter correctement les risques associés. Les rapports SOC 2 Type I et II de Consoltec sont disponibles sous NDA pour tous nos clients existants et potentiels.

Veuillez contacter le délégué à la protection des données de Consoltec pour demander une copie : dpo@consoltec.ca.

Cloud Security Alliance: registre de sécurité, de confiance et d'assurance (CSA STAR)

La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une large coalition de praticiens du secteur, d’entreprises et d’autres parties prenantes importantes. Cette organisation se consacre à la définition des meilleures pratiques pour garantir un environnement de cloud computing plus sécurisé et à aider les clients potentiels du cloud à prendre des décisions éclairées lors de la sélection d’un fournisseur de cloud.

Le registre de sécurité, de confiance et d’assurance (CSA STAR) et le questionnaire CSA Consensus Assessments Initiative (CAIQ) v4.0.3 fournissent un ensemble complet de questions que les clients peuvent utiliser pour évaluer la profondeur et l’étendue des mesures de sécurité, de confidentialité et d’assurance des fournisseurs de cloud.

L’équipe de sécurité de Consoltec a compilé les réponses aux 261 questions du questionnaire. Ce document est une ressource précieuse pour comprendre comment Consoltec respecte et dépasse les exigences établies par la CSA.

Contactez-nous pour consulter le questionnaire.

Québec : Loi sur la protection des renseignements personnels dans le secteur privé

Cette loi s’adresse aux employeurs du secteur privé et encadre la protection des renseignements personnels qu’un employeur recueille, détient, utilise ou divulgue à des tiers dans le cadre de ses activités. La loi est en cours de modification au moment de la rédaction. Les employeurs devraient consulter leur avocat au sujet des lois et réglementations applicables.

Consultez la Loi sur la protection des renseignements personnels dans le secteur privé et contactez-nous pour connaître notre Politique de gestion et de protection des renseignements personnels.

Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne (UE) qui a remplacé la directive 95/46/CE. Son but est de réviser les règles existantes sur le traitement des données personnelles des citoyens de l’UE par les organisations. En outre, le RGPD vise à harmoniser les lois sur la protection des données à travers l’Europe. Une caractéristique clé du RGPD est l’introduction de nouveaux droits pour les personnes concernées, donnant ainsi aux citoyens européens plus de pouvoir et de contrôle sur leur vie privée.

La position de Consoltec sur le RGPD

Chez Consoltec, nous sommes profondément engagés en faveur du RGPD, car ce règlement renforce la protection de la sécurité et de la vie privée des individus. C’est pourquoi Consoltec a pris l’engagement ferme de mettre en place des contrôles et des processus additionnels afin de garantir une totale conformité au RGPD.

Consoltec suit les sept principes de traitement des données de la législation RGPD :

  1. Égalité, équité et transparence
  2. Limitation du but
  3. Minimisation des données
  4. Précision
  5. Limite de stockage
  6. Intégrité et confidentialité
  7. Responsabilité

Consoltec's position on the GDPR Les informations personnelles collectées par Consoltec

Lorsque nos services sont utilisés, Consoltec peut collecter et traiter deux catégories de données: données client et autres informations.

Données client :

Cette catégorie regroupe toutes les informations personnelles ou non personnelles que le client peut avoir soumises lors de ses interactions avec nos services (FlowFit). Cette catégorie comprend également certains types d’informations ou de données indirectement créées par l’utilisation par le client de nos services (FlowFit), tels que les journaux d’application, les conversations de support, etc.

Il appartient au Client de vérifier le fondement juridique de la collecte et du traitement des informations personnelles via les services de Consoltec (FlowFit) et de gérer les éventuelles demandes des personnes concernées.

Autres informations :

Dans ses intérêts légitimes, Consoltec doit collecter et traiter certaines informations personnelles pour fonctionner en tant qu’entreprise. Consoltec peut collecter et traiter des informations personnelles sur ses utilisateurs pour réaliser ses activités de facturation, de comptabilité et d’audit, et peut envoyer des enquêtes aux utilisateurs du client et recueillir des commentaires pour améliorer ses services et ses offres. Ces informations ne sont utilisées que pour les activités internes.

Cependant, nous pouvons être obligés de divulguer ou de partager vos données personnelles afin de nous conformer à toute obligation légale, commerciale ou autre, y compris, mais sans s’y limiter, l’échange d’informations avec d’autres sociétés et organisations à des fins de protection contre la fraude et de réduction du risque de crédit.

Responsable des données et du traitement des données

Comme mentionné précédemment, Consoltec collecte et traite deux catégories de données (les données clients et autres informations). Pour les données client, le client est le responsable du traitement des données et Consoltec est le sous-traitant. Pour d’autres informations, Consoltec est le responsable du traitement des données.

Conservation des informations personnelles

  • Données client : Consoltec conservera toutes les données client conformément aux instructions du client. Habituellement, Consoltec conserve toutes les données jusqu’à la fin des services de traitement de données entre le client et Consoltec. Le client peut être en mesure de modifier ou de supprimer toute information directement dans le service FlowFit et peut demander de l’aide à Consoltec si nécessaire.
  • Autres informations : Consoltec conservera toutes les autres informations aussi longtemps que nécessaire pour poursuivre ses intérêts commerciaux légitimes, comme décrit ci-dessus à la section Les informations personnelles collectées par Consoltec.

Assistance RGPD

Consoltec collaborera volontiers et assistera chaque client souhaitant se conformer aux obligations prévues aux articles 32 à 36 du RGPD.

Demandes des personnes concernées (DSR)

Avec les nouvelles dispositions du RGPD, les droits des citoyens européens concernant leurs informations personnelles ont été considérablement renforcés et les citoyens européens peuvent désormais faire diverses demandes :

  • Découverte : Processus de détermination des données nécessaires à l’exécution d’une DSR.
  • Accès : Récupération et transmission potentielle à la personne concernée par les informations découvertes.
  • Rectifier : Implémentation des modifications ou d’autres modifications de données personnelles demandées.
  • Restreindre : Modification de l’accès ou du traitement des données de personne en restreignant l’accès ou en supprimant des données du service FlowFit.
  • Exporter : Fournir un « format structuré, communément utilisé, lisible par l’ordinateur » de données personnelles à la personne concernée, comme fourni par le « droit de portabilité des données » de la RGPD.
  • Supprimer : Suppression définitive de données personnelles du service FlowFit.

Le processus est similaire à celui mis en œuvre pour la Loi 25 au Québec.
Consoltec gère les demandes des personnes concernées différemment selon le type d’informations :

  • Données client : Dans le cas où Consoltec reçoit des demandes de personnes concernées impliquant des données client, Consoltec transmettra la demande au client, qui agit en tant que responsable du traitement des données. Consoltec n’agit jamais sans les ordres du client. Il appartient au client de gérer ces demandes. Dans la mesure du possible, Consoltec peut aider le client s’il ne peut pas répondre à la demande de la personne de manière indépendante.
  • Autres informations : Consoltec gérera les demandes des personnes concernées impliquant d’autres informations.

Addendum sur le traitement des données (DPA)

Consoltec met à disposition un Addendum sur le traitement des données (Data Processing Addendum ou DPA) pour nos clients.

Voulez-vous en savoir plus?