Protocoles du programme de conformité général
Iterable a établi un programme de sécurité qui démontre son engagement à respecter toutes les lois, règles et normes déontologiques en ce qui concerne son activité et son rôle en tant que plateforme de marketing de croissance. Le recrutement est soumis à une procédure de sélection et à des vérifications des antécédents préalables à l’embauche, et au respect des normes de sécurité d’Iterable. Iterable fournit à ses employés les outils dont ils ont besoin pour se conformer aux exigences stipulées par les lois et normes établies par Iterable. Dans un contexte d’évolution continue du paysage réglementaire, tous les employés sont tenus de respecter la lettre ainsi que l’esprit des lois, des règles, ainsi que des politiques d’Iterable affectant leurs opérations. Le programme de sécurité d’Iterable comprend :
- Conformité à toutes les politiques et procédures desdifférents services de l’entreprise.
- Les politiques de l’entreprise couvrent un large éventail de thématiques ayant trait à la confidentialité, à la sécurité et à la conformité générale, tandis que les politiques et les documents de procédure des services sont propres aux différents groupes au sein d’Iterable.
- Les politiques sont formalisées et documentées via un processus d’implémentation des politiques et sont révisées/mises à jour sur la base des changements réglementaires et opérationnels.
- Les employés et autres parties concernées doivent confirmer avoir pris connaissance de toutes les politiques et normes et doivent s’engager à les respecter.
- Participation à toutes les formations obligatoires dispensées par Iterable.
- Les formations sont soit attribuées sur la base de la fonction ou du poste, tels que définis par le superviseur direct d’un employé, soit dispensées dans toute l’organisation par l’équipe sécurité et conformité.
- Les formations obligatoires comprennent des sessions annuelles en ligne et des sessions en présentiel, des travaux à distance, et la gestion sécurisée des informations personnellement identifiantes (« IPI ») soulignant l’importance des principes de confidentialité et de la sécurité des données et des informations.
- Les IPI désignent toutes les informations ayant trait à une personne physique ou entité juridique identifiée ou identifiable.
Contrôle des accès
Pour sécuriser les données sensibles (p. ex. les IPI), Iterable emploie un certain nombre de mesures d’authentification et d’autorisation conçues pour protéger contre les accès non autorisés.
- Authentification : Iterable impose l’utilisation d’un identifiant utilisateur unique propre à chaque employé.
- Les comptes permettent d’identifier l’activité de chacun sur le réseau et les systèmes d’Iterable, dont l’accès aux données (IPI) des clients.
- Ce compte unique est utilisé pour tous les systèmes chez Iterable.
- Lors de son embauche, chaque employé se voit affecter un identifiant utilisateur par l’équipe de Sécurité de l’information d’Iterable et un ensemble de privilèges par défaut, décrit ci-dessous.
- À la résiliation de son contrat de travail, l’identifiant utilisateur et l’accès du compte de l’employé aux ressources réseau d’Iterable sont désactivés.
- Si des mots de passe sont utilisés à des fins d’authentification (p. ex. connexion à un système), les systèmes appliquent les politiques de mot de passe d’Iterable, dont l’expiration, les limites de réutilisation et un niveau de complexité minimal pour les mots de passe.
- Le cas échéant, Iterable emploie et impose l’utilisation d’un système d’authentification bifactorielle, qui inclut un accès aux environnements et aux ressources de production.
- La connexion aux applications tierces et non essentielles est gérée par le système de connexion à identifiant unique d’Okta, qui utilise également une authentification bifactorielle.
- Autorisation : Les droits et niveaux d’accès sont basés sur la fonction et le poste d’un employé, en utilisant les concepts du « moindre privilège nécessaire » et du « besoin d’en savoir » pour adapter les privilèges d’accès aux responsabilités définies.
- Les employés d’Iterable se voient accorder seulement un ensemble limité d’autorisions par défaut pour accéder aux ressources de l’entreprise, comme leur boîte de réception et leur intranet.
- Les employés se voient accorder l’accès à certaines ressources supplémentaires en function de leurs responsabilités professionnelles spécifiques.
- Les responsables des données ou des systèmes ou d’autres cadres décrits dans la politique de sécurité d’Iterable doivent approuver les demandes de ressources supplémentaires, et ce seulement à l’issue de la procédure de demande d’accès.
- Iterable consigne tous les accès administratifs aux systèmes et aux données de production.
- L’équipe de sécurité des informations d’Iterable examine ensuite ces registres en fonction des besoins.
Gestion des ressources de données
Les ressources de données d’Iterable, qui comprennent des IPI clients ainsi que des données d’entreprise, sont régies par les politiques et procédures de sécurité d’Iterable. Tous les employés d’Iterable qui gèrent les ressources de données sont tenus de se conformer aux politiques et procédures d’Iterable, qui ont été rédigées conformément à plusieurs réglementations, dont le Règlement général sur la protection des données (« RGPD »). Ressources d’information : chaque couche de la pile d’applications et de stockage d’Iterable nécessite systématiquement l’authentification et l’autorisation des demandes émanant d’autres composantes. L’authentification de service à service est basée sur un protocole de sécurité dérivé de certifications x509 émis par une autorité de certification reconnue. L’accès aux environnements de production par les ingénieurs administratifs des applications de production est contrôlé de la même manière. Une plateforme centralisée de gestion de l’identité est utilisée pour définir et contrôler l’accès du personnel aux services de production, à l’aide d’une extension du protocole de sécurité mentionné ci-dessus qui authentifie les certificats du personnel grâce à des certificats x509 persistants, l’émission de ces certificats étant à son tour protégée par une authentification multifactorielle. Toutes les connexions aux environnements de production passent par des proxies VPN (réseau privé virtuel). Ces proxies fournissent un chiffrement AES 256 bits ainsi qu’un audit centralisé des connexions aux environnements de production.
Élimination des supports
Lorsqu’un périphérique de stockage (physique ou virtuel) a atteint la fin de sa vie utile, les procédures d’Iterable comprennent un processus de mise hors service conçu pour éviter que les données des clients ne soient divulguées à des individus non autorisés. Iterable utilise les techniques détaillées dans les documents DoD 5220.22-M (« National Industrial Security Program Operating Manual ») ou NIST 800-88 (« Guidelines for Media Sanitization ») pour détruire les données dans le cadre du processus de mise hors service. Tous les périphériques de stockage magnétique mis hors service sont démagnétisés et physiquement détruits conformément aux pratiques standard du secteur.
Surveillance et audit
Le programme de surveillance et d’audit d’Iterable analyse les politiques et les directives procédurales utilisées par les services via des entretiens, des visites d’accompagnement et des observations, et évalue la sensibilisation et le respect des politiques et procédures susmentionnées. Grâce à ses initiatives de surveillance et d’audit, Iterable veille à ce que ses représentants soient adéquatement formés et équipés pour atteindre les objectifs internes et externes d’Iterable, tout en respectant toutes les lois, règles et directives obligatoires.
Le programme de surveillance de la sécurité d’Iterable analyse les informations réseau internes et les actions des employés sur les systèmes. Le trafic Internet est inspecté afin d’identifier tout comportement suspect sur les réseaux internes et de production et de détecter la présence d’un trafic potentiellement imputable à des logiciels malveillants ou à des botnets. L’analyse est effectuée à l’aide d’une combinaison d’outils open source et commerciaux. Un système de corrélation est utilisé afin d’appuyer cette analyse.
Sécurité réseau
Iterable utilise plusieurs couches de défense (défense en profondeur) pour aider à protéger le réseau virtuel des attaques externes. Seuls les services et protocoles autorisés conformes aux exigences de sécurité d’Iterable sont autorisés à transiter sur les réseaux d’entreprise et de production. La stratégie de sécurité réseau d’Iterable comprend les éléments suivants :
- Ségrégation réseau à l’aide d’un pare-feu et de technologies de contrôle des accès aux normes du secteur.
- Gestion du pare-feu réseau et des règles de contrôle des accès qui utilisent la gestion du changement et l’évaluation par les pairs.
- Accès limité pour les appareils en réseau de la part du personnel non autorisé.
- Acheminement de tout le trafic externe via des proxies frontaux pour aider à détecter et à interrompre le trafic malveillant.
- Iterable fournit des services basés sur le protocole HTTPS (protocole de transfert hypertexte sécurisé) pour des connexions navigateur plus sûres.
- Les services comme app.iterable.com prennent en charge le protocole HTTPS par défaut pour les clients connectés à leur compte.
- Les informations envoyées via HTTPS sont chiffrées à partir du moment où elles quittent les serveurs d’Iterable et jusqu’à ce qu’elles atteignent l’ordinateur du visiteur.
Sécurité physique et environnementale
Iterable utilise Amazon Web Services pour ses besoins d’hébergement d’infrastructures. Par conséquent, la sécurité physique est gérée et appliquée par Amazon. L’accès aux centres de données d’Amazon est strictement contrôlé au niveau du périmètre et au niveau des points d’entrée/sortie à l’aide de gardiens et de dispositifs de vidéosurveillance, de détection des intrusions, et d’autres moyens informatiques. Le personnel des centres de données doit utiliser une authentification bifactorielle au moins deux fois pour accéder au centre de données. Seuls les employés et les prestataires disposant de privilèges adaptés et ayant une nécessité opérationnelle légitime ont accès au centre de données.
Des équipements automatiques de détection et de lutte contre les incendies ont été installés pour réduire le risque. Le système de détection des incendies utilise des détecteurs de fumée dans tous les environnements des centres de données, les espaces d’infrastructures mécaniques et électriques, les chambres réfrigérantes et les salles d’équipement des générateurs. Ces zones sont protégées par des systèmes sous eau, de préaction à double verrouillage ou à agent gazeux. Les systèmes électriques des centres de données sont conçus pour être totalement redondants et permettre une maintenance sans aucun impact sur les opérations, 24 heures sur 24 et 7 j/7. Des onduleurs fournissent une alimentation auxiliaire en cas de défaillance électrique pour les charges critiques et essentielles du site. Les centres de données utilisent des générateurs pour fournir une alimentation de secours à l’installation tout entière.
Les climatiseurs sont nécessaires pour maintenir une température fonctionnelle constante pour les serveurs et autres équipements, ce qui évite la surchauffe et limite les interruptions de service. Les centres de données sont conditionnés de manière à maintenir des conditions atmosphériques à des niveaux optimaux.
Gestion des vulnérabilités
L’équipe de Sécurité des informations d’Iterable est tenue de gérer les vulnérabilités dans les plus brefs délais. L’équipe de Sécurité des informations d’Iterable détecte les risques sécuritaires à l’aide d’outils commerciaux, d’opérations de pénétration automatisée et manuelle, d’évaluation de la sécurité des logiciels, et d’audits externes. L’équipe de Sécurité des informations est chargée de la surveillance et du suivi des vulnérabilités détectées.
Confiance et assurance
Le programme Confiance et assurance d’Iterable recouvre la transparence, la diligence raisonnable et l’exactitude conformément à la gouvernance SOC 2 et RGPD.
- Conformité à la réglementation : Iterable a une approche globale de ses engagements en matière de traitement de données.
- Nombre de nos clients ont une présence mondiale. Nous proposons donc un Addendum relatif au traitement des données afin de garantir la conformité avec des règles comme le Règlement général sur la protection des données (« RGPD »).
- Si votre organisation est soumise au RGPD, notre équipe conformité peut vous aider à souscrire à l’Addendum relatif à la protection des données.
- Confidentialité des données : Les clients d’Iterable restent propriétaires de leurs données.
- Les données téléchargées par les clients d’Iterable restent leur propriété. Conformément à ses engagements en matière de confidentialité, Iterable ne scanne pas les données à des fins publicitaires, et ne les vend ni ne les communique à des tierces parties.
- En outre, lorsque les clients résilient leur relation avec Iterable, nous nous engageons à supprimer les données de nos systèmes.
- Enfin, nos clients peuvent facilement administrer leurs données à l’aide de notre interface de programmation des applications (« API ») afin de faciliter la portabilité des données sans imposer de frais supplémentaires.
- SSAE-16 SOC 2 : Les clients d’Iterable peuvent compter sur une vérification indépendante de nos programmes de sécurité, de confidentialité et de conformité.
- Dans le cadre de notre programme d’assurance, nous effectuons régulièrement un audit tiers indépendant.
- L’auditeur indépendant examine notre programme de gouvernance, notre infrastructure virtuelle et nos opérations afin de certifier la conformité avec les normes d’audit et les critères communs décrits dans SSAE-16 SOC 2.
- HIPAA : Les consommateurs placent leur confiance dans l’industrie de la santé et attendent de leurs fournisseurs de soins et de couverture maladie qu’ils traitent de manière responsable leurs informations de santé, en respectant notamment les normes définies par HIPAA pour protéger la confidentialité et la sécurité des informations de santé protégées.
- La confiance est l’une des valeurs fondamentales d’Iterable.
- Nous nous associons aux clients afin de fournir aux consommateurs un accès instantané à leurs informations, tout en leur apportant les contenus personnalisés auxquels ils aspirent.
- Leurs informations de santé protégées sont entre de bonnes mains avec nous.
- Pour plus d’informations au sujet de la conformité HIPAA d’Iterable et pour découvrir comment signer un Accord de partenariat, contactez un membre de l’équipe Iterable.