Centric Software Security & aSécurité et conformité de Centric Software
Avec nous, vos données sont en sécurité.
Sécurité des données intégrée dès la conception.
La confiance des plus grandes entreprises au monde.
Originaires de la Silicon Valley, nous savons combien la confiance dans les partenaires logiciels est importante pour les entreprises. La protection de vos données et le respect de vos règles de conformité sont donc notre priorité. La mise au point de nos applications web repose donc sur une méthodologie intégrant la sécurité dès l’origine.
Forts de notre équipe de spécialistes du domaine de la sécurité informatique, de notre environnement d’hébergement robuste et sûr et de notre respect strict des normes ISO 27001, nous sommes assurés de la stabilité, de la fiabilité et de la conformité de nos solutions. Dans ce domaine, notre réputation est en jeu.
Sécurité de pointe
De la gestion des fournisseurs externes − notamment les partenaires d’hébergement −, au déploiement d’équipes spécialistes de la sécurité, via le suivi de l’évolution des bonnes pratiques, notre approche est conçue pour s’adapter aux différentes infrastructures de sécurité et pour aller au-delà des normes internationales officiellement reconnues.
Sécurité physique
Les systèmes d’information et l’infrastructure technique de Centric Software sont hébergés au sein de centres de données de niveau mondial, détenteurs de multiples certifications sectorielles. Les contrôles de sécurité physiques de ces centres de données comportent une surveillance 24 h/24 et 7 j/7, des caméras, l’enregistrement des visiteurs, un nombre limité d’entrées autorisées, et l’ensemble des mesures exigées d’un équipement de traitement de données de haute sécurité.
En savoir plus sur nos fournisseurs de services cloud :
Amazon Web Services | Microsoft Azure| Google Cloud Platform| Centric Data Center
Sécurité des données et conformité
Centric Software met en œuvre des pratiques de gouvernance, de gestion des risques et de conformité alignées sur les infrastructures de sécurité de l’information reconnues à l’échelle mondiale.
SOC2 Type 2
Centric Software a été évaluée selon les critères définis au paragraphe 1.26 du guide de l’Institut américain des comptables publics certifiés (American Institute of Certified Public Accountants, AICPA) consacré aux contrôles des entreprises de services portant sur leur aptitude à appliquer efficacement les principes de sécurité, de disponibilité et de confidentialité au niveau de leurs processus de conception et de mise en œuvre [titre original en anglais : Guide Reporting on Controls at a Service Organization Relevant to the suitability of the design and operating effectiveness for the security, availability, and confidentiality principles].
SOC3 Type 2
Centric Software a été évaluée selon les critères définis au paragraphe 1.26 du guide de l’Institut américain des comptables publics certifiés (American Institute of Certified Public Accountants, AICPA) consacré aux contrôles des entreprises de services portant sur leur aptitude à appliquer efficacement les principes de sécurité, de disponibilité et de confidentialité au niveau de leurs processus de conception et de mise en œuvre [titre original en anglais : Guide Reporting on Controls at a Service Organization Relevant to the suitability of the design and operating effectiveness for the security, availability, and confidentiality principles].
RGPD
Le Règlement général sur la protection des données (RGPD) a introduit des règles applicables aux entreprises proposant des biens et des services aux résidents de l’Union européenne (UE), ou assurant la collecte et le traitement de données personnelles relatives aux citoyens de l’UE, quel que soit le site où est implantée cette entreprise. Centric Software s’engage à protéger les données personnelles. Les ressources ci-dessous contiennent des informations importantes sur nos méthodes de traitement des données personnelles.
ISO/IEC 27001:2013
La certification de Centric Software pour les normes ISO/IEC 27001:2013, ISO 27017:2015 et ISO 27018:2019 a été délivrée par A-LIGN, un organisme de certification indépendant et accrédité dans le processus d'audit.
ISO/IEC 27017:2015
ISO/IEC 27017:2015 provides guidance on the information security aspects of cloud computing, recommending the implementation of cloud-specific information security controls that supplement the guidance of the ISO/IEC 27002 and ISO/IEC 27001 standards.
ISO/IEC 27018:2019
ISO/IEC 27018:2019 is a code of practice that focuses on protection of personal data in the cloud. It is based on ISO/IEC information security standard 27002 and provides implementation guidance on ISO/IEC 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Protecting data at every stage.
Trust is built on openness. So being accountable and clear about the processes we have in place to protect the security, integrity and compliance of our systems and your data is fundamentally important to us. In this section, you can find out more about the various policies we follow and the security measures we take to secure our platform and your data.
Politiques de sécurité
Centric Software applique, analyse et met à jour régulièrement sa politique de sécurité des données, au minimum une fois par an. Les collaborateurs doivent souscrire à cette politique et suivre régulièrement des formations en lien avec leur profil de poste spécifique. La formation est conçue pour assurer l’application de l’ensemble des spécifications et des règlements auxquels est soumise Centric Software.
Gestion des ressources
Centric Software applique une politique de gestion des ressources incluant l’identification, la hiérarchisation, la conservation et la destruction des informations et des ressources. Les appareils fournis par l’entreprise sont équipés de disques durs chiffrés, de logiciels antivirus dernier cri et de systèmes de prévention et de détection des intrusions au niveau des terminaux. Seuls les appareils fournis par l’entreprise sont autorisés à accéder au réseau interne de la société et au réseau de production.
Gestion des incidents
Centric Software applique un processus de réponse aux incidents de sécurité couvrant la réponse initiale, l’analyse, le signalement aux consommateurs et/ou aux individus impactés (suivant le cas de figure), l’information au public et la correction. Ce processus est révisé régulièrement et testé deux fois par an.
Notification de violation
Malgré l’ensemble des efforts déployés, aucune méthode de transmission de données via internet, ni aucune méthode de stockage électronique ne sauraient être totalement sûres. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, si Centric Software avait connaissance d’une violation de la sécurité en cours, nous informerions les utilisateurs concernés, conformément aux dispositions légales ou à toute autre prescription, afin que ces derniers puissent prendre les mesures nécessaires à leur protection. Nos procédures de notification en cas de violation respectent nos obligations dans le cadre des législations et des réglementations promulguées au niveau local, régional et étatique.
Gestion de la continuité des activités
Les sauvegardes sont chiffrées et stockées au sein d’un environnement secondaire en vue de préserver leur confidentialité et leur intégrité. Centric Software utilise une stratégie de sauvegarde visant à assurer un minimum d’interruptions de service et de pertes de données et à atteindre l’objectif de délai de récupération (Recovery Time Objective, RTO) et l’objectif de point de reprise (Recovery Point Objective, RPO). Le plan de continuité des activités (Business Continuity Plan, BCP) est testé et mis à jour régulièrement en vue de garantir son efficacité dans l’éventualité d’un sinistre.
Journal de connexions et surveillance
Les systèmes d’application et d’infrastructure enregistrent les données au sein d’un journal de connexions géré de manière centralisée, pour permettre aux collaborateurs de Centric Software détenteurs d’une autorisation, de résoudre les problèmes, de gérer la sécurité et de procéder à des analyses. Les journaux d’activité sont conservés conformément aux exigences réglementaires.
Critères de lancements d’application sécurisés
Centric Software a également rédigé un cahier des charges de mise en service sécurisée applicable à chaque sortie d’une nouvelle version du logiciel. Celui-ci prévoit :
des vérifications de dépendance pour toutes les bibliothèques de code associées aux vulnérabilités rendues publiques et aux versions non prises en charge.
des tests statiques de la sécurité des applications (SAST) pour lesquels les testeurs ont accès à l’infrastructure sous-jacente, à la conception et à la mise en œuvre. L’application fait l’objet de tests intérieur-extérieur.
des tests dynamiques de la sécurité des applications (DAST) pour lesquels les testeurs ne disposent d’aucune information sur les technologies ou les infrastructures prenant en charge l’application. L’application fait l’objet de tests extérieur-intérieur.
des évaluations par les pairs du code informatique, encadrées par des membres expérimentés de l’équipe de développement, en vue d’assurer la conformité aux standards internes.
des tests de pénétration externes pour garantir l’absence de toute vulnérabilité à un seuil critique, élevé ou modéré, au sein de l’application ou de la plateforme qui l’héberge.
des contrôles de conformité réglementaire, en vue d’assurer le respect des normes en vigueur et l’adéquation aux différentes législations en matière de confidentialité et de protection des données.
Questions fréquentes
Pour toutes autres questions concernant la sécurité et la conformité, veuillez compléter le formulaire figurant à la page Contactez-nous. Pour toute question juridique, merci de nous contacter à l’adresse suivante : legal@centricsoftware.com
Les clients de Centric Software doivent utiliser le portail support qui leur est réservé pour signaler toute anomalie liée à nos produits ou à nos services. Les experts en sécurité informatique souhaitant nous informer en privé d’éventuelles suspicions de vulnérabilités sont priés de nous contacter en s’adressant directement à l’équipe sécurité de Centric Software à l’adresse e-mail suivante : security@centricsoftware.com. Dans le but d’enrichir votre signalement et d’accompagner nos équipes dans l’évaluation des vulnérabilités suspectées, chaque signalement doit idéalement comporter une description détaillée du risque perçu, le périmètre ciblé, et le degré de sévérité, une preuve de concept (proof of concept, POC) et tout autre document utile.